Андре Кронье говорит, что DeFi «больше не DeFi», поскольку строители обсуждают автоматические выключатели

Андре Кронье говорит, что большая часть децентрализованных финансов «больше не является DeFi» в строгом смысле этого слова, поскольку строители спорят о том, необходимы ли теперь автоматические выключатели и другие средства экстренного контроля для защиты пользователей от эксплойтов.

Основатель Flying Tulip рассказал в интервью Cointelegraph, что многие протоколы больше не являются неизменными общественными благами, а скорее «командами, ведущими коммерческий бизнес» с обновляемыми контрактами, автономной инфраструктурой и операционным контролем.

По его словам, этот сдвиг меняет модель безопасности. По словам Кронье, в то время как ранние протоколы DeFi в основном определялись неизменяемыми смарт-контрактами, новые системы часто зависят от обновлений прокси, мультиподписей, поставщиков инфраструктуры, административных процессов и групп человеческого реагирования, по словам Кронье.

"Я думаю, что то, что мы имеем сегодня, включая Flying Tulip, больше не является DeFi. Это не децентрализованные финансы. Это не неизменный код", - сказал Кронье. «Это команды, ведущие коммерческий бизнес».

Комментарии появились в связи с тем, что апрельские эксплойты DeFi выдвинули повествования о безопасности за рамки аудита смарт-контрактов и стали вопросами операционных рисков. 23 апреля Flying Tulip добавила автоматический выключатель вывода, предназначенный для задержки или постановки в очередь вывода средств во время аномального оттока средств. Этот шаг последовал за крупными инцидентами, связанными с децентрализованным обменным протоколом Drift Protocol и перезахватом платформы Kelp, с предполагаемыми потерями примерно в 280 миллионов долларов и 293 миллиона долларов соответственно.

Андре Кронье из Flying Tulip (слева) и Эзра Регерра из Cointelegraph (справа). Источник: Коинтелеграф

Риски DeFi выходят за рамки смарт-контрактов

Кронье сказал, что отрасль фокусируется на аудите, когда многие системы могут быть изменены разработчиками или контролироваться с помощью административных процессов.

«Во всей отрасли основное внимание по-прежнему уделяется контрактной стороне, а не стороне TradFi», — сказал Кронье Cointelegraph, добавив, что многие недавние эксплойты включали «традиционные вещи Web2», такие как доступ к инфраструктуре, компрометации и социальную инженерию.

Он сказал, что протоколы с обновляемыми контрактами требуют традиционных сдержек и противовесов в отношении того, кто может обновлять код, кто утверждает изменения и существуют ли надлежащие временные блокировки и средства контроля мультиподписи.

Основатель Curve Finance и Yield Basis Михаил Егоров поделился мнением, что недавние инциденты показывают, что риски все больше связаны с централизацией и автономными зависимостями, а не только с ошибками смарт-контрактов.

«Подавляющее большинство последних эксплойтов DeFi произошло не из-за ошибок в коде», — сказал Егоров Cointelegraph. «Они произошли из-за рисков централизации — единых точек отказа, которые живут вне сети».

Егоров сказал, что смарт-контракты Aave, Kelp и LayerZero не были взломаны в ходе недавнего инцидента с rsETH, утверждая, что компрометация произошла из оффчейн-инфраструктуры. Он сказал, что протоколы DeFi могут подвергаться «целому дереву рисков», причем самые большие риски часто связаны с людьми, а не с кодом.

Автоматические выключатели разделяют строителей DeFi

Кронье сказал, что автоматический выключатель Flying Tulip предназначен не для постоянной блокировки вывода средств, а для создания окна реагирования, когда отток превышает нормальные параметры. «Наш автоматический выключатель на самом деле не предназначен для того, чтобы мы могли остановить или предотвратить что-либо», — сказал он. «Это должно дать нам время отреагировать».

Система Flying Tulip дает команде около шести часов, хотя Кронье говорит, что меньшим или менее географически распределенным командам может потребоваться от 12 до 24 часов или даже больше. Он сказал, что этот инструмент имеет смысл для контрактов, в которых хранятся средства пользователей, но его следует рассматривать как один уровень среди аудитов, распределенных мультиподписей, временных блокировок и других элементов управления.

«Безопасность — это всегда многоуровневый подход», — сказал Кронье. «Никогда не «это единственное», что делает тебя неуязвимым».

Егоров был более осторожен. Он сказал, что автоматические выключатели теоретически могут иметь смысл, но только если они реализованы таким образом, чтобы не создавать новую привилегированную поверхность атаки. «Выключатели контролируются людьми, а это значит, что они сами могут стать потенциальной уязвимостью», — сказал Егоров Cointelegraph.

Он предупредил, что если меры экстренного контроля позволят подписавшим сторонам изменять код контракта или блокировать снятие средств, скомпрометированные подписавшиеся стороны могут превратить эту защиту в сливной механизм или механизм централизованной заморозки. По его мнению, лучшим долгосрочным ответом является разработка систем, которые смогут безопасно работать без ручного вмешательства.

«Целью проектирования DeFi должно быть сведение к минимуму человекоориентированных точек сбоя, а не их увеличение», — сказал Егоров. «DeFi должен быть безопасным, а безопасность достигается за счет децентрализации».

Standard Chartered заявляет, что эпизод с Kelp демонстрирует устойчивость DeFi

Standard Chartered назвала эпизод с водорослями признаком проблем роста DeFi, а не фатальным провалом.

В исследовательской заметке, опубликованной Cointelegraph в среду, банк заявил, что кража 18 апреля подвергла риску системные риски после того, как воздействие распространилось на Aave, но отметил, что более 300 миллионов долларов, собранных коалицией DeFi United, и структурные изменения, такие как Aave V4 и экономическая зона Ethereum, предполагают, что сектор развивает более сильную защиту.

На сайте DeFi United показано, что собрано более 321 миллиона долларов или