Gu Ronghui, CEO de CertiK: La auditoría de seguridad es una configuración estándar para proyectos DeFi de alta calidad

En los últimos 8 meses, DeFi se ha desarrollado a un ritmo rápido. A partir del 1 de septiembre, según datos de Debank, el monto total bloqueado de DeFi aumentó de aproximadamente 700 millones de dólares estadounidenses a 11,614 mil millones en los últimos 8 meses, aproximadamente 16,3 veces; el valor de mercado total de DeFi aumentó de 1,5 mil millones dólares estadounidenses a 18,6 mil millones de dólares estadounidenses en los últimos 8 meses. Alrededor de 12,4 veces; el volumen de transacciones DEX aumentó de aproximadamente US $ 4,64 millones a US $ 1,1 mil millones en los últimos ocho meses, aproximadamente 236,8 veces; el volumen total de préstamos del mercado de préstamos hipotecarios aumentó de US$149 millones a US$1.600 millones, unas 10,7 veces.

Mientras el mercado de DeFi se dispara, cada vez más protocolos DeFi como Yam Finance, Spaghetti Money, SushiSwap y Kimchi Finance han atraído miles de millones de dólares en activos.

La minería de liquidez impulsada por protocolos como Balancer (BAL), Compound (COMP), Synthetix (SNX), Ampleforth (AMPL) y UWA (yUSD) ha desatado una ola de entusiasmo. Aunque hay muchos proyectos que no han sido auditados, muchos usuarios aún invierten una gran cantidad de dinero en ellos y disfrutan de la minería.

¿Cómo ve esta ola de minería de liquidez DeFi? ¿Cómo deberían involucrarse los inversores ordinarios? ¿Cuáles son los riesgos a tener en cuenta? Jinse Finance mantuvo un diálogo con el cofundador y director ejecutivo de CertiK, Gu Ronghui, para analizar los riesgos y las oportunidades.

Jinse Finance: ¿Cómo ve esta ola de minería de liquidez DeFi?

Gu Ronghui, cofundador y director ejecutivo de CertiK: Se puede decir que el reciente aumento de la minería de liquidez DeFi demuestra el éxito de DeFi en las nuevas prácticas. Sobre la base de DeFi, la minería de liquidez amplía las características de las finanzas, atrae a inversores de blockchain con grandes ganancias a través de la minería y bloquea grandes cantidades de fondos, proporcionando así una base para DEX (Intercambio descentralizado de intercambio) para proporcionar liquidez masiva (Liquidación ).

El valor total de los principales fondos de inversión de WestCap Management de Laurence Tosi, el ex director financiero de Blackstone Group, cayó casi una quinta parte: Jinse Finance informó que en el segundo trimestre, los principales fondos de inversión de WestCap Management de Laurence Tosi, el ex director financiero de Blackstone Group, cayó casi una quinta parte El valor total se desplomó casi una quinta parte, ya que las perspectivas de ganancias inesperadas rápidas de las empresas emergentes de Silicon Valley se atenuaron.

En noticias anteriores, Adam White, ex director de operaciones de Bakkt, se unió a Blackstone Group como consultor senior. [2022/9/2 13:03:35]

Desde la perspectiva del mercado financiero, la esencia de la minería de liquidez es proporcionar una gran cantidad de liquidez para el DEX actual. La minería de liquidez reduce el deslizamiento de transacciones para DEX, mejora la profundidad de las transacciones y mejora la liquidez. A mayor liquidez, más fácil es para los inversionistas del sistema financiero comprar y vender activos en el mercado.

Desde la perspectiva del mercado de capitales, estos proyectos de minería de liquidez de DeFi se han producido uno tras otro, precisamente porque se les ha invertido una gran cantidad de fondos. Por ejemplo, Sushiswap cuenta con el respaldo de fondos comunitarios, lo que refleja que el público en general es optimista sobre el mercado DeFi; UniSwap cuenta con el respaldo de fondos de capital de riesgo, lo que demuestra que el capital tiene plena confianza en la cadena de bloques, especialmente en el futuro de DeFi.

Pero al mismo tiempo, este repunte también refleja la búsqueda de intereses por parte de grupos y los valores sociales de la búsqueda de ganancias. Mucha gente piensa que mientras haya suficientes ganancias, el riesgo es insignificante. El bombo excesivo del partido del proyecto y la exageración de algunos medios pueden llevar fácilmente a las masas a seguir ciegamente la tendencia y hacer inversiones irracionales. En particular, los inversores masivos ven que algunas personas ganan dinero debido a esto, y habrá un "sesgo de supervivencia", y se saldrán con la suya pensando que no les pasarán cosas malas.

Para la propia blockchain, si bien el DEX actual y proyectos como SushiSwap han inyectado una gran vitalidad al sistema DeFi, aún no encuentran suficientes escenarios de aplicación para rentabilizar este enorme sistema financiero, es decir Killer Application. Y este escenario de aplicación permite implementar proyectos DeFi e incluso blockchain, y está dispuesto a dejar que el mercado tome la iniciativa para pagar la factura.

El fundador de AAVE, Stani Kulechov, invita a los desarrolladores a agregar delegación de crédito apalancado a AAVEtrage: El fundador de AAVE, Stani Kulechov, preguntó en Twitter al desarrollador completo de Web3, Andrew Schmidt, si había considerado agregar delegación de crédito apalancado a AAVEtrage e informó su flujo de trabajo. Él dijo: Actualmente, la tasa de rendimiento del USDT de Aave V2 es del 9,79 %, y el costo de endeudamiento del USDC de Aave v2 es del 3,67 %. Puede crear una bóveda donde los depositantes de Aave puedan delegar su crédito, esa bóveda toma prestado USDC, convierte a USDT en Curve y deposita en Aave v2. Ideal para arbitraje pasivo. Si hace lo mismo con Dai y USDC, puede usar o como otra garantía y crear una bóveda de arbitraje de órdenes de crédito apalancada. La mejor parte es que puede implementar el contrato como inmutable y en un sistema de circuito cerrado no hay riesgo de crédito debido a la entrada y salida de fondos a través de Aave y no puede desarrollarse para realizar ninguna otra función. [2021/1/26 13:30:22]

En cuanto a los detalles de la transacción, debido al lento tiempo de confirmación de la transacción (hasta unos minutos) y las altas tarifas de transacción durante el proceso de transacción, también refleja las deficiencias de Ethereum.

Lo que es más importante, debido al desarrollo rápido y sobrecalentado de DeFi, muchos especuladores se conectaron rápidamente en línea para ganar dinero, lanzaron proyectos siguiendo la tendencia e incluso imitaron otros proyectos descaradamente. Dejando a un lado el problema de los derechos de autor en el mundo del código, muchos de estos proyectos no han sido auditados profesionalmente y algunos están ansiosos por estar en línea sin probarlos.La seguridad del proyecto y la seguridad de los fondos públicos son muy preocupantes.

Golden Finance: Aparecen muchos discos de imitación de SushiSwap, ¿hay riesgos de seguridad o riesgos técnicos? ¿Por qué estos riesgos y lagunas no pueden detener a los usuarios locos?

Gu Ronghui, cofundador y director ejecutivo de CertiK: Los contratos no auditados tienen una mayor probabilidad de tener lagunas, lo que se convertirá en un riesgo de seguridad. Y debido al auge actual de la minería DeFi, es probable que los proyectos mineros emergentes (discos de imitación) hereden lagunas en los contratos no auditados. Para que todos vean más claramente, clasificaré y explicaré los riesgos a continuación.

1. Riesgo de contrato inteligente

Para dar el ejemplo más simple, hay un error al escribir código. Por ejemplo, en el conocido proyecto YAM, se escribió mal la fórmula básica de cálculo, lo que resultó en una situación irreversible.

Con respecto a las vulnerabilidades relacionadas con los contratos inteligentes, aquí uso varios proyectos que se han vuelto populares recientemente como ejemplos: por ejemplo, el proyecto SushiSwap tiene una vulnerabilidad de seguridad de ataque de reentrada (reentrancy); otro ejemplo es el proyecto de disco de imitación SushiSwap Yuno y Kimchi, que tienen "vulnerabilidades de emisión ilimitadas" similares, es decir, el propietario del contrato inteligente tiene el derecho absoluto de emitir tokens ilimitados. En este caso, una vez que no haya una restricción de fuerza externa, puede provocar la liberación loca de tokens, lo que resulta en una inflación y depreciación de tokens. Por supuesto, los proyectos actuales de SushiSwap y Kimichi han sido gestionados por Timelock y el problema se ha aliviado temporalmente.       

Una vez que hay un problema con el contrato inteligente y se usa maliciosamente, puede afectar la seguridad financiera de LP (fondo de liquidez). Las lagunas contractuales también pueden generar cambios drásticos en los precios de mercado, como el proyecto YAM mencionado anteriormente, cuyo valor cayó de 100 $ a 1 $ en un corto período de tiempo. En cualquier caso, es una "pérdida de sangre" para los inversores masivos.

2. Otros riesgos

Además de los riesgos de contratos inteligentes, existen, entre otros, riesgos de pérdida de bloqueo, riesgos operativos, riesgos de fricción de transacciones y riesgos de clave privada, etc. Por ejemplo, para los usuarios comunes, el proceso de minería es relativamente complicado y si la operación es incorrecta, los fondos se perderán accidentalmente; para los inversores minoristas, cada tarifa de gas es relativamente costosa y se pueden pagar varias tarifas de gas, pero la transacción en sí mismo todavía no tiene éxito.

En cuanto a por qué estos riesgos aún no pueden resistir la multitud de usuarios:

En primer lugar, creo que con la aparición de este nuevo modelo financiero, el público en general está dispuesto a "probarlo". En segundo lugar, algunas personas tienen una mentalidad de rebaño. Especialmente ahora que las noticias sobre la minería de liquidez de DeFi están inundando este círculo. Por supuesto, lo más atractivo de estos proyectos es la altísima rentabilidad que pueden obtener en un corto periodo de tiempo. Una tasa de rendimiento tan asombrosa ha superado el límite de rendimiento anualizado inherente de las finanzas tradicionales durante varios años. Por ejemplo, el APY más alto (anualizado) del proyecto SushiSwap fue del 20 000 % al principio, y el APY más alto (anualizado) de Kimchi fue del 400 000 % al principio. En muchos casos, siempre que el margen de beneficio sea lo suficientemente alto, el público puede dejarse engañar por los intereses e ignorar los riesgos e incluso asumir riesgos e intentarlo.

Jinse Finance: Si la gente común quiere participar, ¿en qué indicadores deberían enfocarse para prevenir los riesgos relacionados?

Gu Ronghui, cofundador y director ejecutivo de CertiK: En primer lugar, todos tienen un apetito por el riesgo y una solidez financiera diferentes. Antes de ingresar al proyecto, es posible que desee evaluar su tolerancia al riesgo. Creo que esto es lo que todos los inversores deben hacer antes de ingresar a cualquier proyecto (ya sea DeFi o finanzas tradicionales). Sin embargo, las características de los proyectos DeFi, como ser demasiado calientes y frecuentes nuevos lanzamientos, pueden hacer que el público ignore fácilmente el juicio de preferencia por el riesgo y la evaluación de la tolerancia al riesgo en un corto período de tiempo.

En segundo lugar, los usuarios deben hacer todo lo posible para investigar el proyecto antes de invertir, por ejemplo, si hay diferentes voces en los medios de la comunidad y si alguien ha cuestionado la seguridad del contrato. Por supuesto, también debemos mantener los ojos abiertos para identificar la autenticidad de las noticias. Debido a que varios grupos en la sociedad tienen diferentes intereses, muchos de ellos tienen ritmos. Por lo tanto, se sugiere que todos prefieran dedicar más tiempo a observar con claridad y "entrar" más tarde que entrar precipitadamente en proyectos arriesgados.

Finalmente, si tiene la capacidad y la energía, puede verificar si el contrato de este proyecto ha sido auditado profesionalmente. Las auditorías de seguridad ahora son estándar para proyectos DeFi de alta calidad. Si el proyecto no ha sido auditado, para los usuarios, el comportamiento de inversión debe ser extremadamente cauteloso; para la parte del proyecto, es necesario encontrar una empresa auditora profesional y de buena reputación para auditar. Si el proyecto ha sido auditado, es necesario tratar de comprender los antecedentes de la empresa auditora y los indicadores en su informe de auditoría, incluidos, entre otros:

Alcance, método y conclusión de la auditoría de seguridad

¿Existen lagunas o riesgos de seguridad en el contrato? Si es así, es necesario comprender la gravedad de estos problemas y su posible impacto.

Código de calidad del contrato en su conjunto

Profesionalismo e independencia de la firma auditora

Tags：

Ethereum