Andre Cronje sagt, DeFi sei „kein DeFi mehr“, während Bauherren über Leistungsschalter debattieren

Andre Cronje sagt, ein Großteil der dezentralen Finanzierung sei „kein DeFi mehr“ im engeren Sinne, da Bauherren darüber diskutieren, ob Leistungsschalter und andere Notfallkontrollen jetzt notwendig seien, um Benutzer vor Exploits zu schützen.

Der Gründer von Flying Tulip sagte gegenüber Cointelegraph in einem Interview, dass viele Protokolle keine unveränderlichen öffentlichen Güter mehr seien, sondern vielmehr „Teams, die gewinnorientierte Unternehmen betreiben“ mit aktualisierbaren Verträgen, Off-Chain-Infrastruktur und Betriebskontrollen.

Dieser Wandel verändere das Sicherheitsmodell, sagte er. Während frühe DeFi-Protokolle meist durch unveränderliche Smart Contracts definiert wurden, sind neuere Systeme laut Cronje oft auf Proxy-Upgrades, Multisigs, Infrastrukturanbieter, Admin-Prozesse und menschliche Reaktionsteams angewiesen.

„Ich denke, was wir heute haben, einschließlich Flying Tulip, ist kein DeFi mehr. Es ist keine dezentrale Finanzierung. Es ist kein unveränderlicher Code“, sagte Cronje. „Es sind Teams, die gewinnorientierte Unternehmen leiten.“

Die Kommentare kommen zu einem Zeitpunkt, an dem die DeFi-Exploits im April Sicherheitsnarrative über Smart-Contract-Audits hinaus in Fragen des Betriebsrisikos verlagerten. Am 23. April fügte Flying Tulip einen Abhebungsschutzschalter hinzu, der Abhebungen bei ungewöhnlichen Abflüssen verzögern oder in eine Warteschlange stellen soll. Der Schritt folgt auf schwerwiegende Vorfälle im Zusammenhang mit der dezentralen Börse Drift Protocol und der Restaking-Plattform Kelp, mit geschätzten Verlusten von etwa 280 Millionen US-Dollar bzw. 293 Millionen US-Dollar.

Andre Cronje von Flying Tulip (links) und Ezra Reguerra von Cointelegraph (rechts). Quelle: Cointelegraph

DeFi-Risiken gehen über intelligente Verträge hinaus

Cronje sagte, die Branche konzentriere sich auf Audits, wenn viele Systeme von Entwicklern geändert oder durch Verwaltungsprozesse kontrolliert werden könnten.

„Der Fokus in der gesamten Branche liegt immer noch stark auf der Vertragsseite und nicht mehr auf der eher TradFi-Seite“, sagte Cronje gegenüber Cointelegraph und fügte hinzu, dass viele der jüngsten Exploits „traditionelle Web2-Sachen“ wie Infrastrukturzugriff, Kompromisse und Social Engineering beinhalteten.

Er sagte, dass Protokolle mit aktualisierbaren Verträgen traditionelle Kontrollen erfordern, um herauszufinden, wer den Code aktualisieren kann, wer Änderungen genehmigt und ob es angemessene Zeitsperren und Multisig-Kontrollen gibt.

Michael Egorov, Gründer von Curve Finance und Yield Basis, teilte die Ansicht, dass die jüngsten Vorfälle zeigen, dass die Risiken zunehmend mit Zentralisierung und Off-Chain-Abhängigkeiten und nicht nur mit Fehlern bei intelligenten Verträgen zusammenhängen.

„Die überwiegende Mehrheit der jüngsten DeFi-Exploits geschah nicht aufgrund von Fehlern im Code“, sagte Egorov gegenüber Cointelegraph. „Sie geschahen aufgrund von Zentralisierungsrisiken – Single Points of Failure, die außerhalb der Kette leben.“

Egorov sagte, dass die intelligenten Verträge Aave, Kelp und LayerZero bei dem jüngsten rsETH-Vorfall nicht gehackt wurden, und argumentierte, dass die Kompromittierung von der Off-Chain-Infrastruktur herrühre. Er sagte, dass DeFi-Protokolle „einer ganzen Reihe von Risiken“ ausgesetzt sein können, wobei die größten Risiken oft eher mit Menschen als mit Code verbunden sind.

Leistungsschalter spalten DeFi-Entwickler

Cronje sagte, dass der Schutzschalter von Flying Tulip nicht darauf ausgelegt sei, Abhebungen dauerhaft zu blockieren, sondern ein Reaktionsfenster zu schaffen, wenn Abflüsse die normalen Parameter überschreiten. „Unser Leistungsschalter ist eigentlich nicht dafür ausgelegt, dass wir irgendetwas stoppen oder verhindern können“, sagte er. „Es soll uns Zeit zum Reagieren geben.“

Das System von Flying Tulip gibt dem Team etwa sechs Stunden, obwohl Cronje sagte, dass kleinere oder weniger geografisch verteilte Teams möglicherweise 12 bis 24 Stunden oder sogar länger benötigen könnten. Er sagte, das Tool sei für Verträge sinnvoll, die Benutzergelder enthalten, sollte aber als eine Ebene zwischen Audits, verteilten Multisigs, Zeitsperren und anderen Kontrollen betrachtet werden.

„Sicherheit ist immer ein mehrschichtiger Ansatz“, sagte Cronje. „Es ist nie ein ‚Das ist das Einzige‘, das einen unverwundbar macht.“

Jegorow war vorsichtiger. Er sagte, Leistungsschalter könnten theoretisch sinnvoll sein, aber nur, wenn sie so implementiert werden, dass keine neue privilegierte Angriffsfläche entsteht. „Die Leistungsschalter werden von Menschen gesteuert, was bedeutet, dass sie selbst zu einer potenziellen Schwachstelle werden könnten“, sagte Egorov gegenüber Cointelegraph.

Er warnte davor, dass, wenn Notfallkontrollen es den Unterzeichnern ermöglichen, den Vertragscode zu ändern oder Abhebungen zu blockieren, kompromittierte Unterzeichner den Schutz in einen Abfluss oder einen zentralisierten Einfriermechanismus verwandeln könnten. Seiner Ansicht nach besteht die bessere langfristige Antwort darin, Systeme zu entwickeln, die ohne manuelle Eingriffe sicher weiterlaufen können.

„Das Ziel des DeFi-Designs sollte darin bestehen, menschenzentrierte Fehlerquellen zu minimieren und sie nicht zu vergrößern“, sagte Egorov. „DeFi muss sicher sein, und Sicherheit entsteht durch Dezentralisierung.“

Laut Standard Chartered zeigt die Kelp-Episode die Widerstandsfähigkeit von DeFi

Standard Chartered betrachtete die Kelp-Episode eher als ein Zeichen der Wachstumsschwierigkeiten von DeFi als als einen fatalen Misserfolg.

In einer Forschungsnotiz vom Mittwoch, die Cointelegraph vorliegt, sagte die Bank, dass der Diebstahl vom 18. April systemische Risiken aufgedeckt habe, nachdem sich die Auswirkungen auf Aave ausgeweitet hatten, sagte aber, dass die mehr als 300 Millionen US-Dollar, die von der DeFi United-Koalition gesammelt wurden, und strukturelle Veränderungen wie Aave V4 und die Ethereum Economic Zone darauf hindeuten, dass der Sektor stärkere Abwehrmaßnahmen entwickelt.

Die Website von DeFi United zeigt, dass über 321 Millionen US-Dollar gesammelt wurden