Выводы из моделирования DeFi-рисков. Обобщение экономических последствий с дизайна 

Перевод

Это вольный перевод: blog.yacademy.dev/2024-05-03-merging-economics-and-security. Надеюсь, он и вам будет полезен.

Выводы по дизайну DeFi из моделирования рисков DeFi

Все участники внедрения протокола заинтересованы в том, чтобы предоставить конечным пользователям как можно более продуманный протокол.

Пользователям безразлично, теряют ли они ценность из-за арифметической ошибки или из-за плохого дизайнерского решения — результат для них одинаков. Поэтому, хотя эксперты по безопасности часто сосредотачиваются на поиске ошибок в реализации дизайна протокола, не менее важным просчётом может, то, что реализация протокола идеальна, но дизайн неверен и/или не оптимален.

С учётом этого, имеет смысл изучить существующие исследования и выводы по оптимальному дизайну протоколов DeFi…

Ниже приведены краткие содержания Белых книг… эти краткие содержания должны облегчить определение основной идеи каждой статьи, что позволит читателю выбрать, какие статьи наиболее актуальны для прочтения в конкретной ситуации. Из каждой статьи выбрана одна иллюстрация, чтобы подчеркнуть ключевую мысль, представленную в ней.

Разбор статей

Статья 1: Токсичные спирали ликвидации

Если собираетесь полностью прочитать только одну из этих статей, это должна быть данная статья.

Она актуальна для любого протокола заимствования / кредитования. Она расширяет идею, впервые упомянутую в "Контрпродуктивных стимулах" из аудита Compound Finance 2019 года, проведённого Open Zeppelin, и анализирует реальные данные об атаке на Aave с использованием плохого долга CRV в ноябре 2022 года, проведённой Ави Айзенбергом.

В статье описывается, как каждый протокол кредитования со стимулом ликвидации (Aave, Compound Finance и все их форки) имеет риск накопления плохого долга.

Статья демонстрирует, почему этот стимул ликвидации представляет собой риск для кредитных протоколов, и рассматривает, как лучше всего справляться с токсичными спиралями ликвидации, если они возникнут.

На графике ниже иллюстрируются различные подходы, которые Aave мог бы применить к сценарию плохого долга в ноябре 2022 года, при различных вариантах дизайна протокола.

Худший случай на графике — то, что фактически произошло (отмечено красным), в то время как другие линии представляют собой альтернативные варианты решений для того же сценария. График ясно показывает, что хорошие дизайнерские решения в экстремальных случаях могут существенно повлиять на сохранность средств пользователей.

Статья 2: Смягчение ликвидаций в DeFi с помощью обратимых опционных контрактов на покупку

Подобно первой статье данная статья предлагает альтернативный дизайн для обработки ликвидаций в кредитных протоколах.

В статье изложены детали предлагаемого механизма MIQADO: вкратце - он стимулирует пользователей улучшать состояние неблагополучных позиций заимствования путём добавления залога.

Предложенное решение заключается в использовании "обратимых опционных контрактов на покупку" вместо существующих механизмов ликвидации.

Новизна "обратимого опционного контракта на покупку" по сравнению со стандартным опционом на покупку заключается в том, что возможен дополнительный исход: продавец может расторгнуть опционный контракт с премией до истечения срока.

В стандартном опционе на покупку только покупатель контролирует, как будет осуществлен опцион. Симуляции с использованием исторических данных на блокчейне демонстрируют значительное сокращение ликвидаций и, следовательно, снижение риска токсичных спиралей ликвидации.

Хотя идея поддерживать неблагополучные кредиты вместо их ликвидации ещё не была широко протестирована на блокчейне, решение MIQADO действительно вводит существенное усложнение для реализации на блокчейне. Ценообразование обратимого опционного контракта на покупку включает множество входных данных, аналогично модели Блэка-Шоулза.

Диаграмма ниже показывает возможную реализацию MIQADO поверх существующего механизма ликвидации. Когда коэффициент (финансового) здоровья (aka health factor) падает до экстремального уровня, позиция может быть ликвидирована как обычно (оранжевый цвет), но до этого момента поддерживающий S получает стимул (в виде обратимого опционного контракта на покупку) для предоставления дополнительного залога, чтобы улучшить состояние позиции заимствования (синий цвет).

Статья 3: Атаки на динамические кривые процентных ставок в DeFi

Статья актуальна для любого протокола, включающего систему динамического управления, такую как PID-контроллер.

В ней рассматривается конкретный пример динамических систем управления, которые могут быть использованы в корыстных целях пользователями.

По мере того, как протоколы DeFi стремятся к большей эффективности капитала, некоторые из них будут экспериментировать с динамическими системами управления.

Однако, против таких систем могут быть проведены манипулятивные атаки. В статье исследуются слабые места контроллера PID на блокчейне, в частности пропорционального (P) и пропорционально-интегрального (PI) контроллеров.

Концепция атак на динамические системы управления не является общей, поэтому есть возможности для дальнейшего изучения последствий манипуляций с любой системой с обратной связью с использованием теории управления.

В статье также описываются несколько мер, которые могут сделать манипуляцию динамической системой управления более дорогостоящей.

График ниже демонстрирует пример манипуляции процентной ставкой с пропорциональным управлением. Основные шаги для стратегического пользователя, чтобы манипулировать системой, включают:

1. Стратегический пользователь увеличивает спрос в момент времени s, чтобы повысить коэффициенты использования.
2. Стратегический пользователь вносит активы для увеличения предложения, одновременно снижая спрос. Это делается таким образом, чтобы процентная ставка оставалась высокой.
3. Атакующий может вернуть коэффициент использования на тот же уровень, что и до момента времени s, но с большим количеством внесенных активов в протокол. Это приводит к тому, что атакующий получает "дополнительную" доходность на их увеличенное предложение за счёт других, "пассивных", кредиторов.

Статья 4: Аукционы, защищённые от шилл-биддинга

Статья актуальна для любого протокола, включающего аукцион.

В то время как некоторые части DeFi считаются более уязвимыми к манипуляциям, чем другие (например, монеты/токены с низкой ликвидностью), не было широкого обсуждения рисков, связанных с аукционами, такими как аукционы NFT.

В статье указывается, что известные аукционные дома, такие как Christie's, и сайт eBay имеют правила против шилл-биддинга (приблизительно определяемого как ставки, сделанные продавцом для повышения цены), а затем исследуются форматы аукционов, защищённые от шилл-биддинга.

Вкратце, голландские аукционы являются единственным форматом аукциона, полностью защищённым от шилл-биддинга, тогда как английские аукционы защищены от шилл-биддинга слабо.

График ниже показывает, является ли аукцион эффективным (выигрывает ли аукцион настоящий участник с наивысшей оценкой), является ли формат аукциона стратегически безопасным, а также является ли формат аукциона полностью или частично защищённым от шилл-биддинга.

Голландские аукционы являются лучшим выбором на основе этих критериев, и ожидаю, что этот формат аукциона будет более широко применяться после распространения этих результатов.

### Статья 5: Автоматическое управление рынком и убыток по сравнению с ребалансировкой

И, наконец, замечательная статья, актуальная для любого протокола (или пользователей), которые являются поставщиками ликвидности для AMM (автоматизированного маркет-мейкера).

Подобно тому, как ценообразование опционов было количественно оценено с помощью модели Блэка-Шоулза, эта статья предлагает уравнение "Блэка-Шоулза для AMM".

Ключевым термином является разрыв: "убыток по сравнению с ребалансировкой" (LVR), который представляет собой разницу между "стратегией ребалансировки", которая воспроизводит сделки AMM по рыночным ценам на централизованной бирже (предполагается, что на CEX бесконечная ликвидность, поэтому сделки не влияют на цену), и удержанием позиции поставщика ликвидности (LP).

Сравнение двух стратегий показывает, что удержание позиции LP даёт худший результат из-за проскальзывания цен при каждой сделке. Поэтому в интересах разработчиков AMM максимально уменьшить этот разрыв LVR для повышения капитальной эффективности.

Особенно интересен для пользователей DeFi раздел 8, где обсуждаются различия между "временной потерей" (в статье это называется "убыток по сравнению с удержанием" (LVH)) и LVR. Отличия включают:

1. LVH и LVR являются строго неотрицательными величинами, но LVH может вернуться к нулю, в то время как LVR строго увеличивается.
2. LVH зависит от начальной позиции пула в момент времени t = 0. Два LP получат разные и несвязанные LVH, если они не внесли депозиты в моменты времени, когда у пула были идентичные активы. В то время как все LP испытывают одинаковый LVR за один и тот же период времени.
3. LVH не зависит от траектории изменения цен, в то время как LVR зависит от неё.

Заключительное замечание в этом разделе - следующее: распространённое предположение, что временных потерь не существует, если цены возвращаются к исходным уровням. Это опровергается, потому что, хотя это предположение может быть верным для стратегии ребалансировки (со сделками, выполненными на CEX с бесконечной ликвидностью), сделки в AMM испытывают проскальзывание цен, что приводит к LVR, давая худший результат.

Ключевое уравнение в этой статье — уравнение LVR. LVR зависит от переменных: волатильность (σ), цена актива (P), стоимость пула (x∗'(P)) и время (t).

Заключение

Область, которую называю моделированием рисков DeFi, настолько новая, что у неё ещё нет чёткого и определённого названия (Токеномика? Экономика DeFi?), поэтому последствия этих статей недостаточно известны для разработчиков протоколов и экосистемы безопасности, как это должно быть (в итоге).

Но по мере того, как протоколы становятся всё более сложными и взаимосвязанными, становится важнее понимать побочные эффекты каждого дизайнерского решения и то, как различные переменные в протоколе взаимодействуют.

Прогресс в дизайне протоколов может происходить гораздо быстрее, если он поддерживается сильными фундаментальными принципами и хорошим дизайном, в отличие от выбора неоптимальных решений без тщательного анализа.

В будущем надеюсь увидеть больше протоколов, делящихся экономическим анализом в начале проверки безопасности кода контракта, чтобы последствия определённых дизайнерских решений протокола были лучше понятны, когда код подвергается тщательному изучению.

Если сложный новый протокол не проводит надёжное моделирование при различных экстремальных рыночных условиях, неизвестные (переменные) могут скрываться в дизайне протокола до тех пор, пока не станет слишком поздно.

До!