Nangangahas ka pa bang maglaro ng DeFi? Parang pamilyar na pamilyar na ang ganitong pakiramdam...

Pumasok ang crypto market sa isa na namang walang tulog na gabi sa gitna ng malamig na hangin. Sa loob ng isang linggo, bumagsak ng halos 12% ang Bitcoin, bumalik sa paligid ng $3,300 ang Ethereum, at sama-samang naapektuhan ang mga risk asset.

Sa gitna ng mababang market, muling naging sentro ng bagyo ang decentralized finance (DeFi): Ang matagal nang protocol na Balancer v2 ay nakaranas ng pinakamalaking hack sa kasaysayan nito, na nagdulot ng higit $120 milyon na pagkalugi; kasunod nito, inanunsyo ng yield optimization platform na Stream Finance ang $93 milyon na pagkalugi, at ang kanilang staked stablecoin na xUSD ay bumagsak sa ilalim ng $0.3.

Hindi dito natapos ang bagyo. Ang panganib na dulot ng Stream ay mabilis na kumalat sa iba pang mga protocol dahil sa "composability".
Sa pinakabagong chain reaction, ang DeFi risk management company na Gauntlet ay nagsumite ng emergency proposal sa Compound governance forum, na nagmumungkahi ng pansamantalang suspensyon ng USDC, USDS, at USDT markets sa Ethereum mainnet upang maiwasan ang pagkalat ng panganib.

Sunod-sunod na naganap ang mga hacking incident sa gitna ng mahinang market, na naglalagay sa "non-custodial finance" sa harap ng matinding pagsubok:

Kapag nagsanib ang pagbaba ng presyo at mga risk event, may lakas ka pa bang "maglaro" ng DeFi?

Ang Hacking Incident na Nagsimula sa Balancer

Noong Lunes, nadiskubre ang core vulnerability ng Balancer v2. Sinamantala ng attacker ang logic flaw sa Composable Stable Pools, at sa loob ng ilang oras, nakapag-withdraw ng $128 milyon sa iba't ibang chain tulad ng Ethereum, Arbitrum, at Base.

Ayon sa mga researcher, maaaring nag-forge ang attacker ng "fee credit" at nag-trigger ng withdrawal, kaya't ang "fake points" ay naging "real funds". Mas nakakatawa pa, ang system module na ito ay sumailalim na sa higit sampung security audits mula sa mga kilalang kumpanya tulad ng OpenZeppelin at Trail of Bits. Ngunit kahit ang matagal nang reputasyon at teknikal na karanasan ay hindi nakapigil sa isang logic-based na atake.

Ayon kay Hasu, strategy lead ng Flashbots at Lido: “Tuwing may nabibiktima na lumang kontrata, ang kabuuang adoption ng DeFi ay umaatras ng 6 hanggang 12 buwan.”

Wala pang 24 oras, inanunsyo ng Stream Finance na ang kanilang "external fund manager" ay nagdulot ng $93 milyon na pagkalugi. Pansamantalang sinuspinde ng platform ang deposits at withdrawals, at ang staked stablecoin na xUSD ay malubhang na-depeg, mula $1 ay bumagsak sa $0.27.

Batay sa on-chain data, ang collateral exposure na may kaugnayan sa xUSD, xBTC, at xETH ay umabot sa $285 milyon, na sangkot ang mga lending protocol tulad ng Euler, Silo, at Morpho. Sa loob ng isang araw, bilyon-bilyong dolyar ang nabura sa TVL ng maraming market.

Hindi Iyo ang Iyong Pondo: Ang Balikwas ng “Composability”

Sa madaling salita, ang pinaka-kaakit-akit sa DeFi na "composability" ay parang isang set ng financial Lego—maaari mong pagsamahin ang yield pool ng Protocol A sa lending ng Protocol B, at gamitin ang stablecoin ng Protocol C bilang collateral, patong-patong.

Sa bull market, masarap ang ganitong sistema. Sunod-sunod ang kita, napaka-episyente. Pero hindi napapansin ng marami, habang tumataas ang mga piraso ng Lego, mas malakas ang bagsak kapag bumagsak.

Kapag lumamig ang market, o may problema sa isa sa mga "Lego" blocks—tulad ng core protocol na Balancer o Stream na nagka-issue—ang panganib ay mabilis na kumakalat sa buong chain, parang domino effect.

Ipinaliwanag ni Johnny Time, founder ng security company na Ginger Security, ang mekanismo ng pagkalat ng panganib na ito.

Maraming tao ang bumili ng tinatawag na "pinakaligtas na USDC vault" sa Beefy Finance, akala nila ligtas ang kanilang pondo. Pero sa katotohanan, hindi nanatili ang pera sa Beefy, kundi dumaan sa maraming kamay, na ang ruta ng pondo ay:

Beefy → Silo → Arbitrum → isang institusyon na tinatawag na Valarmore → sa huli ay napunta sa Stream Finance na siyang nagka-issue.

Akala mo USDC ang binili mo, pero hindi mo alam, hawak mo na pala ang xUSD na nagka-problema.

Sa chain na ito, ipinapakita ng front-end platform na Beefy sa user na ito ay isang "secure USDC vault", ngunit ang pondo ay muling inilipat ng middleman na Valarmore papunta sa xUSD strategy ng Stream protocol.

Ipinunto ni Johnny Time na ang problema ay bawat layer ng protocol ay naghahangad ng pinakamataas na kita, ngunit kulang sa information disclosure at risk isolation mechanism.
Ang ganitong "nested" na estruktura ay nagdudulot ng invisible na pagkalat ng panganib: anumang pagbabago sa desisyon ng upstream protocol, paggalaw ng underlying asset, o maling strategy ng middleman ay maaaring magpalala ng panganib.
Sa huli, kapag nagka-problema ang pinaka-ilalim na asset (tulad ng xUSD), buong estruktura ay bumabagsak parang domino.

Ang Debate sa Decentralization

Kaya naman, muling sumiklab ang debate tungkol sa decentralization sa komunidad.

Ayon kay Haseeb Qureshi, partner ng Dragonfly: “Kahit sa decentralized system, basta sapat ang consensus ng mga kalahok, maaaring i-freeze ang account o pondo.”
Ngunit mabilis na sumagot ang mga kritiko: “Kung sapat na tao ang pwedeng magkasundo na gawin ang isang bagay, pwede nilang gawin kahit ano—hindi na iyon decentralized.”

Ipinapakita ng debate na ito ang governance paradox ng DeFi: kapag kailangan ng intervention ng tao para pigilan ang pagdurugo, nagsisimula nang lumabo ang hangganan ng "decentralization".

Ayon kay Vladislav Ginzburg, founder ng OneSource, ang panganib ay likas sa DeFi ecosystem: “Ang complexity ng smart contracts at financial engineering ay nangangahulugang dapat tanggapin ng user ang uncertainty.”
Diretsahan namang sinabi ng security researcher na si Suhail Kakar: “Halos walang ibig sabihin ang ‘na-audit na’. Mahirap ang code, mas mahirap ang DeFi.”
Dagdag pa ni Komodo CTO Kadan Stadelmann, ang madalas na security incidents ay magtutulak sa institutional funds na umiwas sa komplikadong estruktura at bumalik sa “Bitcoin only” na strategy.

Ipinunto ni Nansen researcher Nicolai Søndergaard na ang Balancer attack ay nagmula sa billing logic at hindi sa permission control—ang ganitong uri ng design risk ay mahirap matukoy sa audit, at mahirap tugunan ng governance mechanism sa tamang oras.

Buod

Hindi teknolohiya ang problema ng DeFi, kundi governance.
Sa bull market, enticing ang protocol stacking at high yields; ngayon, sa bear market, lumalabas ang katotohanan—walang layer na ganap na ligtas.

Ang mga proyektong magtatagal sa hinaharap ay hindi na magpapaligsahan sa annualized yield, kundi kailangang patunayan ang tatlong bagay:
Ma-verify ang pondo, ma-isolate ang panganib, at maipatupad ang governance.

Para sa ordinaryong player, nabago na rin ang lesson: kung hindi mo alam kung saan napupunta ang pera mo, mas mabuting bumili ka na lang ng BTC para mas panatag ka.

Sa huli, sa mundo ng DeFi: Ang panganib na nauunawaan mo ay oportunidad, ang kita na hindi mo maintindihan ay bitag.

May-akda: Seed.eth