Безопасен ли DeFi? Решать вам!
Больше переводов статей вы найдёте по ссылке @crypt0_az
Ландшафт DeFi состоит из знакомых финансовых продуктов, таких как получение кредитов и займов, торговых бирж и инвестиционных стратегий в полностью цифровой форме.
Традиционные посредники, такие как банки и брокерские конторы, заменяются автоматическим программным кодом.
- Код DeFi имеет открытый исходный код, позволяющий любому изучать и улучшать его;
- Транзакции DeFi передаются в одноранговые блокчейн-сети, позволяя участвовать всем желающим.
В перспективе – это глобальная система децентрализованных финансов.
Но. Пользователи DeFi сталкиваются с рядом проблем, связанных с безопасностью
- взломы (компьютеры, мобильные телефоны, программное обеспечение для кошельков, веб-сайты DeFi);
- уязвимости смарт-контрактов (ошибки, которые позволяют хакерам красть средства из виртуальных банков);
- финансовые аферы (креативность мошенников безгранична!).
Smart-инвесторы, которые готовы провести тщательное исследование, могут инвестировать с определенной степенью безопасности и получать финансовые выгоды. Мы создали DeFi Education, чтобы помочь вам.
Сегодня мы собираемся поделиться информацией о том, как безопасно использовать DeFi, опираясь на наш опыт в области безопасности программного обеспечения и будучи опытными пользователями DeFi в течение нескольких лет.
Транзакции становятся необратимыми после подтверждения в блокчейне. Это означает, что в случае совершения мошеннической транзакции средства будут потеряны навсегда.
Обращение к классической правовой системе вряд ли приведет к возврату средств, особенно учитывая, что некоторые из наиболее известных хакеров имеют связи с правительствами недружественных государств. По иронии судьбы, ваш лучший шанс спасти ваши средства – помощь "белого хакера".
Сохранность ваших средств DeFi в значительной степени зависит от вашего образования и дисциплины.
Важно принять соответствующие меры безопасности, чтобы обеспечить:
- единоличный доступ к закрытым ключам, которые контролируют ваши средства;
- вашу осведомленность о продуктах, которые вы используете (избегайте мошенничества)
Мораль: DeFi настолько безопасен, насколько продуманы ваши действия
“Твои ключи, твой Биткоин. Не твои ключи, не твой Биткоин.”
Простое правило, но что понимают под “ключами” в этой знаменитой цитате?
Закрытые ключи – компонент системы криптографии, которая обеспечивает работу блокчейнов, таких как Биткоин и Эфириум. Закрытый ключ – это секретное число, которое математически связано с публичным адресом (производным от открытого ключа), на котором могут храниться криптоактивы.
Все перемещения средств в криптовалюте связаны с тем, что владелец закрытых ключей для адреса учетной записи транслирует *подписанное* сообщение, инструктирующее блокчейн перевести средства на другую учетную запись. Действительная подпись требует владения закрытым ключом.
Закрытые ключи предназначены для того, чтобы их нельзя было взломать, поэтому, если злоумышленник не знает ваш закрытый ключ, он не сможет отправить действительную транзакцию, которая выводит средства из вашего хранилища.
Закрытый ключ – это просто длинное число. А люди плохо запоминают числа.
Seed-фраза – полезное изобретение, которое кодирует число в виде набора из 12-24 легко запоминаещихся слов. Если вам известны эти слова, программное обеспечение может ‘извлечь’ целый набор закрытых ключей и соответствующих им общедоступных адресов.
Это означает, что вы можете восстановить доступ ко всем своим крипто аккаунтам в любое время, из любой точки мира, запомнив 12 слов! Нет лучшего способа перевести деньги через границы, который не заставлял бы вас отказаться от хранения.
Seed-фраза – код доступа к вашим деньгам, и она всегда должна храниться в секрете.
Некоторые инвесторы создают надежные физические резервные копии своих seed-фраз, выгравировав их на огнеупорных металлических пластинах. И существуют сложные схемы с несколькими подписями, гарантирующие, что средства могут быть переведены только в том случае, если транзакцию подпишет минимальное количество доверенных сторон. Мультиподпись подходит для планирования недвижимости, корпоративного использования и для частных лиц со значительными криптоактивами.
Существуют законные сторонние поставщики услуг хранения институционального уровня, которые имеют страховку, используют холодное хранение и прошли процедуры аудита. Они не подходят большинству инвесторов из-за высоких минимальных размеров счета. Некоторые кастодианы, вероятно, безопасны.
Но. Большинство “розничных” инвесторов хранят свою криптовалюту в компаниях, которые не выдержали бы никакой строгой собственной проверки. Большинство из этих ковбойских фирм, скорее всего, инвестируют деньги клиентов, используют их для своих операций или иным образом подвергают клиентов рискам.
Это может быть даже раскрыто в Правилах и условиях, а может и не быть.
Когда в прошлом году BlockFi объявила о банкротстве, подписчики DeFi Education не были удивлены. Мы уже глубоко изучили обманчивый маркетинг, стоящий за блокировкой процентных счетов, что привело к рекордным штрафам со стороны регулирующих органов США. Поразительно, но компании было разрешено продолжать работать, и люди продолжали вносить средства.
“У BlockFi никогда не было достаточного обеспечения, чтобы полностью погасить все выданные кредиты”, на 15 февраля 2022 года
Криптокомпании, которые хотят получить ваш депозит, имеют хорошо отлаженную маркетинговую машину. Возможно, вы даже видели дорогостоящую рекламу (даже права на название стадиона) и слышали об их политическом вкладе и благотворительной деятельности.
Но вы не можете отследить их бухгалтерию в режиме реального времени!
Одним из величайших преимуществ DeFi является то, что вы можете видеть резервы любого протокола и в режиме реального времени узнать, способен ли он выполнять обязательства. Еще лучше то, что смарт-контракты могут быть разработаны таким образом, чтобы протокол не мог продолжать нести обязательства, будучи неплатежеспособным.
Это не тот случай, когда вы используете стороннее хранилище.
Клиенты внесли почти 1,6 миллиарда долларов в виде биткоинов на криптобиржу FTX. После подачи заявления о банкротстве удалось найти биткоины только на сумму 1 миллион долларов.
Кто сейчас контролирует “пропавший” биткоин? Вероятно, мы никогда этого не узнаем.
Документы о банкротстве FTX, опубликованные в рамках реструктуризации Kroll
Мораль: самостоятельное хранение – лучшее решение для большинства, кто может научиться делать это правильно
Криптовалютный “кошелек” – это программное или аппаратное обеспечение, которое выполняет две функции:
Если вы использовали только программный кошелек – программу на вашем компьютере или телефоне (пример, MetaMask), то закрытый ключ (seed- фраза) хранится на вашем устройстве. Это означает, что если ваше устройство взломано, злоумышленник может украсть всю вашу криптовалюту!
Аппаратный кошелек – это автономное устройство, которое генерирует и хранит ваши приватные ключи. Для совершения транзакций вам необходимо подключить его к своему компьютеру или к своему мобильному устройству. Средства будут переведены только после одобрения транзакции.
Аппаратный кошелек не защищает вас от обмана при подписании транзакции. Вам все еще нужно изучить хорошие методы обеспечения безопасности и следовать им.
Автономная подпись – это безопасный метод, который включает в себя создание и подписание криптовалютных транзакций на автономном устройстве, таком как защищенном от взлома компьютерном кошельке, а затем трансляцию транзакции в блокчейн с помощью онлайн-устройства.
Как и аппаратный кошелек, автономная подпись значительно снижает риск того, что ваши закрытые ключи могут быть украдены хакером, поскольку они никогда не вводятся на устройстве, подключенном к Интернету.
DeFi работает на основе смарт-контрактов: самоисполняющихся компьютерных программ, которые запускаются на блокчейне и предназначены для автоматического выполнения транзакций при выполнении условий.
Примером условия может быть: разрешить пользователю снимать все внесенное им обеспечение только после того, как его кредит будет полностью погашен. Ошибка в выполнении этих условий может позволить заемщику взять кредит, изъять залоговое обеспечение и никогда не погасить свой долг.
Насколько распространены взломы и баги? Rekt News публикует таблицу лидеров по значительным потерям криптовалют, многие из которых являются протоколами DeFi.
Даже если вредоносной активности нет, плохо разработанный смарт-контракт может не вернуть средства инвестора из-за ошибки в программном обеспечении. Примером может служить ситуация, когда контракт ожидает наличия определенного баланса эфира, но кто-то случайно отправляет эфир на адрес контракта. Если код не предназначен для обработки этого случая, средства могут быть безвозвратно потеряны.
Обратите внимание, сколько убытков классифицировано как не прошедшие аудит.
Очень важно, чтобы протоколы и приложения DeFi проходили тщательный аудит безопасности авторитетными независимыми сторонними аудиторскими фирмами. Эти аудиты предназначены для выявления ошибок в коде, уязвимостей, которые могут быть использованы злоумышленниками (включая экономические эксплойты), но они также проливают свет на мастерство и профессионализм разработчиков программного обеспечения протокола.
Мораль: аудит не предотвращает взлом протокола, но он является важным шагом в процессе обеспечения безопасности – избегайте не прошедших аудит протоколов и протоколов с плохими отчетами.
По платной подписке мы более детально рассматриваем аудит смарт-контрактов, чтобы помочь вам определить безопасные протоколы DeFi и минимизировать риск. Важно усвоить это, потому что награда достигается за то, что вы рано принимаете DeFi. К тому времени, когда протокол считается в целом безопасным в использовании, большая часть инвестиционных выгод уже реализована.
Эффект Линди предполагает, что протоколы и проекты, которые существуют в течение более длительного времени, с большей вероятностью избегут сбоев, чем более новые. Протоколы “Линди” успели пройти тщательное изучение и тестирование.
Остерегайтесь, когда приложения DeFi получают обновления или новые возможности. Это может включать в себя расширение функций, новые интеграции, предоставление некачественного обеспечения, которое ставит под угрозу платежеспособность всего протокола кредитования, или инвестирование растущей доли активов в активы, внесенные в черный список, централизованные или даже вне сети.
Оригинальным и, следовательно, наиболее надежным протоколом стейблкоина Линди (обеспеченная долговая позиция) является Maker DAO, описанный здесь (часть 1, часть 2, обновление). Однако, как вы увидите в нашем обновлении, Maker достиг такого масштаба, что сталкивается с новыми проблемами и, возможно, уже не так безопасен в использовании. Заслуживающие доверия альтернативы включают LUSD от Liquity.
Советы по повышению вашей безопасности
Это самый быстрый и дешевый способ повысить безопасность.
Если вы работаете с DeFi на том же компьютере, который используете для просмотра веб-страниц и открытия вложений электронной почты, то только вопрос времени, когда вредоносная программа обманом заставит вас подписать вредоносную транзакцию. Мы видели код, который заменяет адреса Ethereum в буфере обмена копирования и вставки, и есть изощренная целевая вредоносная программа, подобная той, которая даже одурачила основателя smart DeFi (Хью Карпа).
- Мобильные горячие кошельки? Если вы используете их, храните только то, что вы можете позволить себе потерять
По разным причинам довольно сложно обезопасить мобильный телефон. Хороший способ обезопасить себя – хранить в своем физическом кошельке только ту сумму, которую вам было бы удобно носить с собой в виде наличных.
Большая часть ваших крипто-сбережений должна находиться на счете, к которому вы никогда не получите доступа, а ключи (аппаратный кошелек, приватный ключ или seed-фразу) должны храниться в надежном месте. Если вам нужно вывести средства, выполните базовый перевод ETH или токена на другой адрес, который вы контролируете. Храните ценные NFT также в этом кошельке. Никогда не “подключайте” его к веб-сайту и не подписывайте никаких сообщений.
Шаги 1-4 доведите свою безопасность до такой степени, что вы, скорее всего, проиграете из-за своих собственных ошибок (социальная инженерия, поддельные транзакции), а не из-за прямой кражи ваших ключей или взлома вашего устройства. Существует много хороших мошенников, которые могут обмануть вас. Знаете ли вы, что можно потерять все USDC в вашем кошельке, просто подписав сообщение? Узнайте о подписях без газа, одобрениях токенов (и о том, как отозвать их в чрезвычайной ситуации). У нас есть больше информации можно найти здесь (по платной подписке)
Для вас будет лучше, если кафе / отель, в котором вы находитесь, не будет знать, что вы вошли в свой крипто-кошелек или аккаунт. Лучше, если рекламные сети не будут знать. Лучше, если Google не будет знать, поскольку он и так знает о вас слишком много. В конечном итоге вся эта информация просочится и сделает некоторых криптопользователей мишенью для преступлений. Использование VPN также предотвратит перенаправление в сети бесплатного Wi-Fi на вредоносный сайт вместо нужного вам приложения DeFi.
...следите за управлением протоколом, чтобы быть начеку при любых серьезных изменениях. DeFi Ed может сэкономить вам время.
USDC от Circle, USDT от Tether и BUSD от Paxos / Binance – все они имеют функции “черного списка” в своих смарт-контрактах. Включение этого параметра делает средства замороженными.
Этот пост проливает свет на то, что можно узнать о криптобезопасности. Чтобы получить доступ к нашим глубоким знаниям об основных протоколах DeFi, включая наши мнения о безопасности, подпишитесь на нас.
Предупреждение: Ничто из вышеизложенного не должно рассматриваться как юридическая или финансовая консультация любого рода. Это мнения анонимной группы мультяшных животных с Уолл-стрит и опытом работы в области программного обеспечения.
Ссылка на статью https://defieducation.substack.com/p/is-defi-safe-thats-up-to-you