В крипте популярна концепция «децентрализованных финансов» – это когда можно доходно вложить свои токены с помощью умных контрактов, без лишнего участия людей. Звучит круто, удобно и надежно – но, как обычно, есть нюанс. Иногда в дело вмешиваются айтишники из Северной Кореи: в минувшие выходные как раз произошел очередной «инцидент»…
У меня иногда спрашивают, инвестирую ли я свою крипту в протоколы децентрализованных финансов, чтобы зарабатывать с нее. Я обычно отвечаю «эти несколько процентов дополнительной доходности для меня лично не покрывают риск того, что смарт-контракты этих протоколов хакнут». На это мне обычно говорят «дак ты просто используй самые большие и надежные DeFi-протоколы с аудированными контрактами, и всё!!». Тут мне остается уже только пожать плечами.
Так вот, на днях северокорейские хакеры ломанули очередной протокол. И я вам хочу дать немного контекста – чтобы вы, так сказать, сполна прониклись чарующим духом дефая!
Если вы помните, в 2022 году блокчейн Ethereum перешел от концепции Proof of Work (как у биткоина, когда надо всем дружно майнить новые монетки видяхами) к Proof of Stake – когда безопасность всей системы обеспечивается чуваками, которые застейкали свой эфир (ETH), и получают за это небольшую награду.
Но для криптанов эти жалкие 3% годовой доходности от стейкинга эфира – это даже не смешно, какие-то обезьяньи слезки. Поэтому они придумали хитрый способ, как можно уже застейканный единожды эфир заставить дополнительно «калымить» еще и на стороне, обеспечивая безопасное функционирование других протоколов (за денежку, естественно). Эта система ниппель называется EigenLayer.
Однако, двойная доходность на одни и те же монетки – это для криптанов тоже маловато будет! Поэтому они придумали такую штуку, как «ликвидный рестейкинг»: ты приносишь свой ETH в специальный протокол Kelp, они его за тебя стейкают на Эфириуме (денежка начинает капать раз), рестейкают с помощью EigenLayer (денежка капает два), и в довершение еще и выдают специальный токен rsETH – типа, расписка «подтверждаем, у нас тут лежит настоящий стейкнутый ETH, и мы его готовы, если понадобится, отдать держателю сего токена».
Ну и завершающая вишенка на торте: гордо держа эту rsETH-расписку в руках, криптаны шли на Aave – это один из самых крупных и известных протоколов для выдачи займов в крипте (под залог другой крипты). Так вот, на Aave можно было оставить в залоге эти самые rsETH токены, и под их обеспечение взять в долг какие-нибудь там USDC-стейблкоины, например.
«Чё с этими USDC дальше делать?» – предугадываю ваш вопрос. Ну вы что, совсем без фантазии, что ли? Мыслите как криптан: на эти деньги можно купить новые ETH, отнести их для ликвидного рестейкинга в Kelp, получить взамен новые rsETH… Короче, надеюсь, вы поняли идею.
Ну а теперь ближе к теме взлома: в экосистеме децентрализованных финансов наплодилась куча разных сетей: Polygon, Arbitrum, BSC, и т.д. И всем хочется иметь возможность беспроблемно переводить свои токены между этими разными сетями. Для этого используются специальные «мосты»: они блокируют токены криптана в родной для них сети, и взамен выдают новый «зеркальный» токен уже на нужной сети. Да, по сути, это тот же самый принцип с «удостоверяющими расписками».
Так вот, в прошлое воскресенье как раз взломали один такой мост на технологии LayerZero, которым пользовался протокол Kelp. Северокорейские хакеры придумали хитрый способ создать из воздуха почти $300 млн фальшивых токенов rsETH – то есть таких, которые не были обеспечены реальными замороженными в мосте токенами ETH. Дальше они их молниеносно отнесли в «криптобанк» Aave как залог, и достали себе в карман $200 млн уже в виде реального эфира ETH.
И сейчас в Твиттере стоит настоящий вой всех участников процесса. Aave кричит «наши смарт-контракты сработали как надо, это вы там в Kelp позволили какую-то хрень контрафактную напечатать!». Kelp в ответ вопят «да мы вообще ни при чем, взломали же мост на технологии LayerZero!!». LayerZero делает морду тяпкой и выпускает пресс-релиз в стиле «наша технология непогрешима, это просто рукожопы из Kelp не смогли нормально всё настроить».
Но по итогу дырка на двести лямов баксов осталась-таки висеть внутри баланса Aave – и они там все вместе чешут репу на предмет «а чьими бабками придется ее затыкать»? Так что все, кто придумал в свое время «надежно разместить свою крипту для получения дохода в крупнейшем DeFi-протоколе», решили на всякий случай ее резко вынуть обратно себе в карман – потому что, а ну как решат всех вкладчиков понемногу обезжирить, для общего дела-то?
В результате из Aave вывели за день примерно $8 млрд – это треть всей крипты, что там лежала. И то, вывести получилось далеко не у всех: в ряде пулов токены просто тупо в моменте закончились. Получается, криптаны думали, что они кладут бабки в доходные обеспеченные смарт-контракты с возможностью забрать их в любой момент, а по факту вышло «вынуть прямо сейчас не выйдет, увы, – ну и мы тут еще параллельно обсуждаем с пацанами, не забрать ли часть вашей крипты на затыкание общей дырки…»
В общем, надеюсь, у меня получилось кратко ответить, почему я сам не иду в DeFi. Возможно, криптаны в комментах мне расскажут, почему я неправ.
нет свободных финансов - нет проблем с инвестициями!
В чем эта статья вводит вас в заблуждение:
1\ “эти несколько процентов дополнительной доходности для меня лично не покрывают риск..” (с)
В крипте очень большие доходности, но требуется хотя бы минимальная экспертиза, для оценки рисков и формирования портфеля. Несколько процентов доп. доходности “за крипту” это полная ерунда. Не знаю, кто тут сидит получая менее 14% APR ?! Разве что ваш капитал 3кк+ USD.
2\ Proof of work, proof of stake, eigenLayer, KelpDAO, rsETH, LayerZero - намешано всё, в кучу и сразу. Создает ощущение невероятно высокого порога входа в тему, что не так. Указанное в статье далеко не beginner.
3\ “Криптаны, если что, сами тоже от души угорают” (с)
Хомяк, он и в Африке - хомяк. Мы хотим 10-60% APR и при этом риски как у гос. обл. США. “Хомяк не читатель, хомяк - писатель”. Твиттерские бабки-хабалки не криптаны.
4\ Описание подробностей ситуации вообще не выдерживает никакой критики и не имеет ничего общего с реально произошедшим :)
Даже “супер взлома” никакого не было. Была халатность одного из участников рынка - KelpDAO, закрывание своих глаз другим участником - LayerZero, а весь удар пришелся на AAVE.
5\ “дырка на двести лямов баксов осталась” (с)
Формулировки такие, как будто пользователи лишились 200кк USD. На деле: часть средств была перехвачена и возвращена (Arbitrum), часть будет компенсирована из резервного фонда, часть компенсации еще добавят так как финального решения нет. Лично мои потери от инцидента = 0,9% от депозита на AAVE. Но даже потеря 10-20% в экстренной ситуации как эта, не будет являться для вас проблемой, если вы действуете ответственно, соблюдаете диверсификацию, контролируете свой портфель. Подобные, крайне редкие потери, с лихвой перекрываются доходностью сферы DeFi. Высокий риск = высокий доход.
В крипте абсолютно у всех крупных проектов есть постоянно пополняемый резервный фонд. Риски смарт-контрактов и экономические атаки это неотъемлемая часть децентрализации. Люди не понимают фундаментальной вещи, если вы хотите ДЕЦЕНТРАЛИЗАЦИЮ, где никто не сможет заморозить и отобрать ваши средства “по 115 фз”, то будьте готовы нести ответственность за хранение ваших средств. Если вас обокрали злые хакеры, бежать и жаловаться, просить “заморозки” и возврата негде. Выбирайте стул на который хотите сесть, со всеми его недостатками.
5\ “из Aave вывели за день примерно $8 млрд” (с)
Опять какие-то огромные, страшные цифры которые будут у читающих ассоциироваться с чьими-то потерями, введение в заблуждение.
6\ “криптаны думали … кладут бабки … с возможностью забрать их в любой момент, а по факту вышло…” (с)
Опять введение в заблуждение, принцип работы AAVE максимально прост. Если кто-то засунул средства ни в чем абсолютно не разбираясь, чья это проблема? Кстати, бедняги которые не могли вывести свои USDT и USDC после инцидента целых ТРИ дня, фармили на них, и продолжают получать сейчас 15% APR…
Паша, мне кажется получилось совсем не хорошо. Такая, алармистская статья, написанная на эмоциях и в торопях…
Ты так пишешь как буд-то это придумали только в крипте и там всё плохо и риски ужасные, а вот в традиционных финансах всё хорошо. Точно такие же залоги на залоги были придуманы давно в традиционном рынке финансов. Так же и про то что нельзя забрать свои деньги, буквально месяц или два назад. Тоже самое было когда люди пошли забирать свои деньги из APO, BX и других компаний которые занимаются инвестированием денег клиентов. Так что жопа бывает и на традиционных финансах. Не говроря уже про всякие блокировки потому что ты оказывается родился не там где сегодня захотели дяди.