باید ها و نباید های دیفای که هرکسی باید بداند

بخشی از دیفای برخلاف مشکلاتی که در آغاز سال ۲۰۲۰ با آن روبه رو بودند در آینده به رشد خود ادامه خواهد داد، اما مراقب باشید که به چه کسی اعتماد می‌کنید.

امور مالی غیرمتمرکز یا به طور خلاصه DeFi، در سال ۲۰۱۹ پس از ارزیابی MakerDao و Compound، خیلی باب شده بود. پس از آنکه هر دو شرکت با جابجایی قابل توجهی از شرکت برتر نخبگان Andreessen Horowitz مستقر در سیلیکون ولی، اقدام به جلب توجه کردند.

۲۰۲۰ سالی سخت برای بخش رمزنگاری امور مالی غیرمتمرکز بوده است و از سختی ها عبور کرده است. در آخر هفته، dForce پروتکل اکوسیستم Lendf.me، نزدیک ۹۹٫۹۵ درصد از بودجه ی خود را از طریق هک از دست داد. چند روز بعد، هکر اطلاعاتی در مورد هویت خود آشکار کرد که منجر به بازگرداندن بیشتر وجوه سرقتی شد. این اخبار به دنبال تست بزرگترین امور مالی غیرمتمرکز در۱۲مارس، منتشر شد. زمانی که قیمت اتر به شدت کاهش یافت که باعث فشار بیش ازحد به سیستم ها و خرابی آن ها شد. بازنده بزرگ آن روز MakerDao بود، که به دلیل محدودیت های شبکه اتریوم (ETH)، طراحی و زیرساخت های ضعیف او در معرض دید قرار گرفت.

قیمت عمومی پلتفرم امور مالی غیرمتمرکز و بدهی Maker Dao که باید به عنوان ضمانت توسط پول شرکت سرمایه گذاری خطر پذیر پرداخت شود، به آن اضافه شد. یک ماه بعد، دلار DAI با مشکلات ثابتی روبه رو شد و یک دادخواست حقوقی ۲۸٫۳ دلاری علیه اساس Maker در دادگاه منطقه ی شمالی کالیفرنیا تشکیل داد. کاربران خواستار بازگشت پولشان بودند.

در ۱۸ آوریل، ۲۵میلیون دلار اتر و بیت کوین از پروتکل وام Lendf سرقت شده بود. Lendf یک پروتکل با با مسائل امنیتی و بخشی از اکوسیستم بنیاد dForce است. در کمال تعجب این در واقع قادر به جمع آوری تقریباً همه ی بودجه بانک ها از هکرها کسانی که از روزنه های ورودی مجدد پروتکل سوء استفاده می‌کردند، همانطور که تقریباً تمام پول دزدی را بازگرداند. پس از بیرون کشیدن ۲۵ میلیون دلار، هکر ۲۴ میلیون دلار آن را بازگرداند و ۱ میلیون دلار را برای هزینه های خود مانند پول بنزین و یا سختی های کووید-۱۹ نگه داشت.

در واقع هکر دقیقا همان دارایی که سرقت کرده بود را بازنگرداند، در عوض ۲۴ میلیون دلار از توکن های ارزهای دیجیتال مختلف را پس داده بود. این امر بلافاصله پس از انتشار اخباری مبنی بر بسته شدن بنیاد dForce به ارزش ۱٫۵ میلیون دلار به سرپرستی Multicoin Capital با مشارکت Huobi Capital و CMB International در هفته گذشته صورت گرفت. ما فرض می‌کنیم که این بودجه قصد دارد ضررهای ناشی از هک را جبران کند.

در صحبتی که با دو مدیرعامل شرکت های Comound Finance و Kava Labs شد، از آنها در مورد تجربه شان با dForce و درباره ی آموزش اینکه جامعه DeFi مورد چه هک هایی قرارمی‌گیرد، سؤال شد.

برایان کر، مدیر عامل پلتفرم وام دهی Kava Labs، در مورد اینکه چه مشکلی در dForce اجازه ی هک را داد، صحبت کرد. در اواسط ۲۰۱۹، Kava استیبل کوین خود USDX را منتشرکرد. اندکی پس از آن، dForce نام خود را به عنوان USDx منتشر کرد. استفاده از تیکر USDX Kava’s خلاقیت محدودی را در dForce به نمایش می‌گذارد که احتمالاً به کد و استعداد فنی آن نیز تعمیم داده می شود. obert Leshner، مدیر عامل شرکت وام دهنده امور مالی غیرمتمرکز Comound Finance، شخصاً به دنبال توییت خود در مورد هک ۲۵ میلیون دلاری صحبت کرد و ادعا کرد که این شرکت کدی را سرقت کرده است که به عنوان Compound شناخته می شود.

لشنر توضیح داد که:

“ساخت بر روی زنجیره بی رحمانه است. امنیت نیاز به توجه کامل تیم دارد. وقتی تیم ها کدی را که ننوشته اند پیاده سازی نکرده اند، دانستن اینکه کد چگونه کار می‌کند یا خطرات آن چیست غیرممکن است. هرچه کمتر باشد در حق کاربران اجحاف شده است. و کاربران باید تقاضای بهتری داشته باشند. متأسفانه، dForce به نمونه ای از آنچه که امورمالی غیرمتمرکز نباید باشد، تبدیل شده است.

چه چیزهایی درباره دیفای نیاز است تا بدانیم؟

در واقع در هر دو مورد Maker Dao و dForce چیزی که در ابتدا به عنوان فاجعه بود، اکنون در مرحله ی حل شدن، است. اگرچه هنوز مبلغ قابل توجهی از بودجه حساب نشده است، اما این تجربه باعث شده است تا کاربران به دنبال پلتفرم های های دیگر برای وام دهی DeFi باشند که در واقع بتوانند به آنها اعتماد کنند. بسیاری از کاربران بودجه خود را از دست داده اند و بسیاری دیگر به راحتی از خواندن اخبار DeFi در این روزها احساس نگرانی می‌کنند، حتی اگر پول آنها توسط MakerDao یا dForce به خطر نیفتاده باشد. به عنوان یک زیرشاخه در فضای رمزنگاری، دیفای هنوز بسیار جدید است.

آیا واقعا dForce پاسخگو بود؟

لشنر گفت که شرکت dForce، Compound v1 را بدون تغییر کپی و دقیقا از آن استفاده کرده است. طبق گفته لشنر، این شرکت ادعا می کند که کد Compound v1 “دارای نقص نبوده”، اما طبق توییت های خود، این گروه در مورد دارایی که در لیست خود قرار دارد، محتاط است. طبق گفته ی لشنر، تیم dForce کد را بدون درک کاملی از آن کپی کرده و بصورت غیرقانونی توسعه دادند. برای خود بدون درک کردن مسائل امنیتی، چند قسمت آن را تغییر دادند.

همچنین Kerr، درحال سبک سنگین کردن بود. Kava Labs یک پلتفرم وام دهی DeFi بود، اما در حالی که MakerDao فقط توکن های ETH را می‌پذیرد، پلتفرم Kava هر دارایی از جمله بیت کوین (BTC)، ریپل (XRP)، بایننس کوین (BNB) و کاسموس (ATOM) را می‌پذیرد که می تواند برای جعل USDX، پلتفرم استیبل کوین استفاده شود. این نقاط عطف توسعه بستر های نرم افزاری قبل از آن بود که dForce نام تجاری USDX را برای ثبات کوین خود به دست آورد. Kerr این که Kava قصد دارد USDX به یک بازیگر اصلی در سیستم مالی جهانی تبدیل شود را به اشتراک گذاشت.

بر اساس گزارش kerr و در پاسخی در توییت به لشنر گفت: dForce، Lendf.me را با بهای سنگین و بدون در نظر گرفتن ممیزی های اصلی آن را به بازار عرضه کرد. رسیدگی اصلی از هیچ شرکت معتبر و قابل اطمینانی نشأت نمی‌گیرد. ورود مجدد آن مسئله ای شناخته شده و بررسی و رسیدگی به آن کار آسانی است.

جدای از سرقت کد های Compound ،dForce همچنین نام توکن و تیکرهای ( یک نماد سه الی چهار حرفی است که پس از نام هر ارز دیجیتال قرار می‌گیرد. اغلب صرافی ها به جهت اشاره به کوین ها و توکن ها، تیکر را جایگزین نام کامل پروژه های ارزی می‌کنند.) USDX را نیز دزدید. علیرغم این که ما توکن ها را خیلی ماه های قبل تر از پلتفرم ها ارائه دادیم. Kerr بیان کرد: “این یک نمونه ی بسیار بد از آنچه که دیفای نباید باشد، است.”

همانطور که اعتماد اصلی ترین و مهم ترین اساس رابطه ی بین مردم و پول هایشان است، Kerr معتقد است که جواب و مسئولیت هر دو امر تیم dForce و اپلیکیشن کاربران است. همچنین افزود که:

DForce متوجه نبود که چه کاری انجام می‌دهد و یک محصول نا امن و نامطمئن را وارد بازار کرد. کاربران در تیم پایگاه کد برای تعیین محصولی امن و مطمئن برای استفاده، تلاش نکردند.

DeFi نباید بی پروا باشد

DForce هکر از توکن imBTC به عنوان “اسب تروا”برای هک استفاده کرده است. مانند اتریوم پوششی برای بیت کوین است. Leshner توضیح داد که: خطاهای امنیتی که از ورودی های مجدد وارد می‌شوند، شناخته شده هستند. پیگیری هک های imBTC هک و حمله های دیروز را شکست داد. وی در ادامه گفت:”imBTC یک توکن ERC-777 است و یک دارایی معمولی برای اتریوم نیست.” قراردادهای کوچکی که شامل imBTC هستند، دقت بیشتری دارند و همچنین کدهای بیشتری برای جلوگیری از هک مجدد در آن می‌نویسند.

این یک آسیب پذیری شناخته شده در مورد استاندارد مشترک ERC-20 در نظر گرفته می‌شود، به خصوص زمانیکه در زمینه DeFi استفاده می‌شود.

دیفای نباید در اتریوم باشد

طراحی شبکه اتریوم، مقیاس بندی و نیازهای امنیتی بخش دیفای را برآورده نمی‌کند، زیرا به گفته کر، سطح آزمایش مورد نیاز برای دستیابی به همه نتایج در زبان برنامه نویسی Solididion بی نهایت است. وی گفت: “به همین دلایل و بسیاری دیگر، پروژه های برجسته از جمله بایننس، کاسموس و کاوا ترجیح داده اند اكوسیستم اتریوم را برای مبتدیان بگذارند.

“ایجاد هرگونه خدمات مالی در شبکه اتریوم برای امنیت مشکل ساز است. آزمایش نتایج احتمالی و باگ های Solidity تقریباً غیرممکن است زیرا در واقع می‌تواند هر کاری را به عنوان یک زبان کامل تورینگ انجام دهد. گرچه قدرتمند است، اما احتمالاً بدترین فضا برای ایجاد زیرساخت های مالی است”. Kerr اظهار داشت، یکی از پیشنهادات با ارزش Kava این است که ریشه آن در استانداردهای امنیتی به عنوان یک پلتفرم هدفمند برای همه دارایی ها است که نیاز به خدمات امن دیفای به عنوان اولویت اصلی دارند.

DeFi باید امن و مطمئن باشد

Lendf خود را این گونه: “تا حد زیادی بزرگترین پروتکل وام دهی استیبل کوین به پشتیبانی از فیات” معرفی می‌کند. آنچه مسئله ساز است این است که Lendf بیش از حد در افزایش سرمایه، رشد و توسعه متمرکز بود تا بتواند بهترین و “بزرگترین ادعای ثبات بیت کوین توسط فیات” را حفظ کند. این شرکت به جای تمرکز بر بهبود کد برای امنیت، درک پایگاه کد آن، رفع اشکالات و انتشار محصولات امن، بیش از حد بر سود و وضعیت درک شده تمرکز داشت.

به عنوان مثال، بررسی های اساسی کاملاً از دست رفته بودند و تیم به سرعت از موانع می‌گذرد، در نتیجه آسیب پذیری امنیتی ایجاد می‌شود که هنوز حل نشده است.

به گفته Leshner، كه در توئیتر جزئیات مربوط به نحوه به سرقت بردن كد شركت Compound را توئیت كرد، “می‌توان جلوی این رویداد را گرفت” اگر پروژه ای مهارت لازم برای توسعه قراردادهای هوشمند خود را ندارد و در عوض سرقت می كند و کد شخص دیگری را کپی کرده و از آن استفاده می‌کند، نشانه ی این است که آنها ظرفیت یا قصد بررسی امنیت را ندارند. “وی بعداً توسعه دهندگان و کاربران را تشویق کرد که به این حرف دقت کنند”پول خود را به شرکتی ندهید که نمی‌توانید به آن اعتماد کنید.”

Kava Labs که متعلق به کر بود، به شعار مدیرعامل فیس بوک مارک زاکربرگ “حرکت سریع و شکستن کارها” اشاره کرد:

“این یک حرف عالی برای نرم افزارهای ابتدایی و شرکت های نوپا که دایر هستند، است. اما قطعاً بدترین توصیه برای ایجاد زیرساخت های مالی همانطور که در آخر هفته گذشته نشان داده است.”

دیفای باید بر روی کاربران تمرکز داشته باشد

کر همچنین گفت: “در Kava، همه کدهای ما از ابتدا، در Golang ،با احتیاط زیاد که شامل اقدامات بسیار خاصی هستندو ما می‌توانیم آنها را بررسی و تأیید کنیم، است. این بدان معنی است که ما می‌توانیم کد را کاملاً مورد اطمینان و دقت و صحت آن قرار دهیم.” او ادامه داد:

وی گفت: “ما برای امنیت وجوه کاربر ارزش قائل هستیم و آن را در اولویت کارهای خود قرار می‌دهیم. ما قبل از اجرای هرگونه کدی که مستقیماً در سیستم عامل Kava اجرا می‌شود، آن را بر روی شبکه های آزمایشی را اجرا می‌کنیم، بررسی های شخص ثالث را انجام می‌دهیم و یک رسیدگی همگانی قابل توجه داریم.

علاوه بر این، همه کد های جدید باید توسط گروه معتبر تأیید و سهام KAVA $  که شامل اپراتورهای باهوش فنی مانند Binance ،OKEx ،Huobi ،Bitmax ،Hashkey ،Lemniscap ،SNZ ،Dokia Capital و Framework Ventures است، بررسی و انتخاب شوند.

دیفای برای اعتماد کردن باید تایید کند

اعتماد به یک شرکت کافی نیست زیرا آنها سرمایه گذاران بزرگی دارند، همانطور که در مورد dForce و MakerDao مشاهده کردیم. با این حال، معمولاً هنگامی که از جامعه ی DeFi انتظار تأیید و اعتماد داریم آنرا می بینیم.

علاوه بر این که Leshner مدیر عامل Compound است، او همچنین یک سرمایه گذار شخصی در Kava Lab همراه با سایر حامیان برجسته مانند Arrington XRP Capital است. تیم فنی عالی Kava و پایبندی دقیق به اقدامات امنیتی چیزی است که حسابرسان درباره کد خود صحبت می‌کنند. قبل از راه اندازی آزمایشگاه های Kava، پلتفرم وام یک حسابرسی حرفه ای توسط CertiK شرکت پیشرو رسمی و حسابرسی انجام شد. در یک پست وبلاگ در مورد نتایج حسابرس، CertiK اظهار داشت: “Kava یکی از بهترین پایگاه های کد است که Certik در یک پروژه، به ویژه در بخش مالی غیرمتمرکز تا به امروز دیده است.

سرانجام Kerr نتیجه گیری کرد که من کسی را که در فکر استفاده از پروتکل دیفای است، تشویق می‌کنم. تا ابتدا تیم را از نظر فنی سپس سرمایه گذاری و بعد از آن حسابرسی هاو رسیدگی های پیشین را بررسی کند. حتی در این صورت، فرض کنید که وقتی صحبت از پروتکل های دیفای می‌شود، همیشه برخی از خطرهای فنی و بازار وجود دارد. این یک فضای نوپا است و بدست آوردن تجربه در آن به این صورت خواهد بود.