Defi یا امور مالی غیر متمرکز در سال ۲۰۱۹ بسیار رایج شد و پروژههای مطرحی مانند MakerDao و Compound توانستند مقادیر قابل ملاحظهای سرمایه جمعآوری کنند. اما سال ۲۰۲۰ سال خوبی برای بخش Defi ارز دیجیتال (cryptocurrency) نبود و شاهد بودیم که پروتکل اکوسیستم dForce هک شد و تقریبا همه موجودی خود را از دست داد؛ هر چند که هکر چند روز بعد اطلاعاتی از خود افشا کرد و تقریبا مقدار زیادی از این مبالغ سرقت شده را برگرداند. همچنین در ۱۲ مارس هم شاهد سقوط قیمت اتریوم (Ethereum) و در نتیجه شکست و ناکامی بسیاری از این سیستمهای امور مالی غیر متمرکز (Defi) بودیم.
پلتفرم MakerDao در این میان با بدهیهای زیادی روبرو شد و دلار DAI با مسائل مربوط به ثبات نرخ و مشکلاتی دیگر مواجه شد و در نهایت عده زیادی علیه این پلتفرم شکایت کردند و خواستار پس گرفتن پول خود شدند.
در ۱۸ آوریل امسال، ۲۵ میلیون دلار ارز دیجیتال اتر و بیت کوین از کاربران پروتکل وامدهی Lendf.me دزدیده شد. این پروتکل که دارای مشکلات امنیتی است، بخشی از اکوسیستم بنیاد dForce است. در نهایت، مهاجم ۲۴ میلیون دلار از داراییهای کاربران را برگرداند و تنها ۱ میلیون دلار را برای کارمزد gas و شاید هزینههای این دوران سخت کرونایی کنار گذاشت.
برای اطلاعات بیشتر درباره ماهیت بیت کوین، مقاله بیت کوین چیست را مطالعه نمایید.
البته این هکر دقیقا ارزهای دیجیتال دزدیده شده را برنگرداند؛ او ترکیبی از انواع مختلف ارز دیجیتال و معادل ۲۴ میلیون دلار را برگرداند. در این میان، عدهای از کارشناسان، علت این هک را فقدان خلاقیت و توان فنی لازم در dForce میدانند و حتی بعضی ادعا کردهاند که این شرکت کد خود را از Compound دزدیده است. در نهایت باید گفت که dForce مثالی از آن سیستمهای Defi است که نباید وجود داشته باشند.
افراد باید در مورد Defi به عنوان زیرمجموعهای از ارز دیجیتال بیشتر بدانند
واقعه MakerDao و dForce اگرچه در حال حل شدن است و مقدار زیادی از وجوه برگشتهاند، اما کاربران Defi را به فکر انتخاب پلتفرمهایی بهتر و قابل اعتماد انداخته است. افراد زیادی در این میان پول از دست دادند و اعتماد خود را نیز از دست دادند و افراد دیگری نیز که اخبار اخیر را در مورد Defi خواندهاند، دیگر در مورد آن خیلی با احتیاط عمل خواهند کرد؛ Defi زیرمجموعهای از ارز دیجیتال است و هنوز صنعت بسیار جوانی است.
dForce واقعا مسئول است
مدیر عامل Compound ادعا کرده که کد مورد استفاده سازمان dForce همان کد نسخه اولیه Compound است که این سازمان به صورت غیر قانونی کپی کرده و تنها تغییراتی جزئی در آن داده است. این مدیر عامل ابراز داشته که این نسخه اولیه دارای اشکلاتی بوده است که dForce بدون درک و دانش کافی از آن، اقدام به استفاده از این کد کرده و در نتیجه وجوه افراد را به خطر انداخته است. حتی ادعا میشود که سازمان dForce ایده استیبل کوین (stablecoin) خود را نیز از پلتفرم وامدهی Kava Labs دزدیده است. در کل میتوان dForce را سازمانی بدون خلاقیت و توان فنی لازم برای انجام چنین پروژههایی دانست.
dForce فورا شروع به بازاریابی کرده است و ابتدا به بازبینی اصول کار خود نپرداخته است؛ قطعا اگر اصول این پروژه توسط یک سازمان معتبر بازرسی میشد، مشکلات امنیتی آن رفع میشدند. دزدیدن ایده افراد دیگر نیز که بسیار ناشایست است و نباید وارد فضای Defi و ارز دیجیتال شود.
در نهایت باید گفت که مسئولیت این رسوایی در درجه اول بر عهده dForce است که از چند و چون کار آگاهی نداشته و به تبلیغ محصول خود پرداخته است و در درجه دوم نیز این مسئولیت متوجه کاربران dForce است که تحقیقات درست و مناسبی انجام ندادهاند و پول خود را در اختیار چنین پلتفرمی گذاشتهاند.
Defi نباید بیاحتیاط باشد
هکر dForce در این حمله از توکن imBTC به عنوان یک تروجان استفاده کرده بود. این خطای امنیتی به حمله ورود مجدد معروف است. imBTC یکی از توکنهای ERC-777 که یک دارایی عادی اتریومی نیست.
قراردادهای هوشمندی که شامل imBTC هستند باید بسیار هوشیار باشند و کد اضافی برای محافظت از خود در برابر چنین حملاتی بنویسند. این یکی از آسیبپذیریهای معروف استاندارد ERC20 تلقی میشود، مخصوصا وقتی که از آنها در فضای Defi استفاده شود.
ایده Defi بر روی ارز دیجیتال اتریوم جالب نیست
معماری شبکه اتریوم به دلیل مشکلات امنیتی و مقیاس پذیری برای defi مناسب نیست و سطح آزمایش مورد نیاز برای رسیدن به بازده کامل در زبان برنامهنویسی Solidity نامحدود است. به همین دلیل است که بسیاری از پلتفرمهای برجسته مانند Kava از اکوسیستم اتریوم برای این منظور استفاده نمیکنند.
ساختن هر گونه سرویس مالی بر روی شبکه ارز دیجیتال اتریوم از لحاظ امنیتی با مشکلاتی مواجه خواهد بود و همانطور که گفته شد، آزمایش همه نتایج احتمالی و باگهای زبان برنامهنویسی Solidity تقریبا غیرممکن است.
Defi باید ایمن باشد
Lendf خودش را یک پلتفرم وامدهی توصیف میکرد که دارای بزرگترین پشتیبانی با ارز فیات است و مشکل در اینجا بود که این سازمان بیشتر به بازاریابی و جمعآوری سرمایه فکر میکرد تا این که به بررسی و درک کد خود و حل مسائل امنیتی فکر کند. این پروژه بازبینیهای اساسی را انجام نداد و فورا وارد بازار شد و نتیجه آن هم آسیبپذیریهای موجود بود.
کاربران این پروژه باید به تحقیقات کامل در مورد آن میپرداختند و توجه میکردند که پروژهای که نمیتواند قرارداد هوشمند خود را توسعه دهد و به توسعه دوباره کد افراد دیگر میپردازد، قابل اعتماد نیست. شکست این پروژه درس خوبی را به همه کاربران داد و این درس این است که پول خود را نباید به شرکتی بدهید که به آن اعتماد ندارید.
Defi باید معطوف بر کاربران باشد
پروژههای Defi باید کد را تماما خودشان بسازند و خیلی احتیاط کرده و به آزمایش کلیه اقدامات خود بپردازند؛ آنها باید کد را به طور کامل آزمایش کرده و به صحت و امنیت آن نهایت اعتماد را داشته باشند.
این پروژهها باید قبل از هر چیز به امنیت وجوه کاربران فکر کنند و شبکههایی آزمایشی را برای بازرسی اشخاص ثالث فراهم آورند و با افراد فنی و حرفهای مشورت کرده و در نهایت بهترین محصول را فراهم آورند.
Defi باید قابل اعتماد بودن خود را اثبات کند
برای اعتماد کردن به یک شرکت در فضای ارز دیجیتال و Defi، تنها وجود تعدادی سرمایهگذار مشهور در آن شرکت کافی نیست. این شرکتها باید ثابت کنند که قابل اعتماد هستند و بعد به آنها اعتماد کرد.
امروزه شرکتی مانند Kava Labs در حال اثبات خود است و میبینیم که سرمایهگذاران مشهوری مانند مدیر عامل Compound از آن پشتیبانی میکنند. تیم فنی این پروژه عالی است و بسیار به مسائل امنیتی حساس است.
این پلتفرم مورد بازدید Certik قرار گرفته است که یک سازمان بازرسی رسمی معتبر است و نتیجه این بازرسیها مثبت بوده و Kava مهر تایید را گرفته است. البته اینها به معنی توصیه سرمایهگذاری نیست و نباید از این نوشتار چنین برداشتی شود. هر فردی خود مسئول سرمایهگذاری خودش است و باید تحقیقات کافی را انجام دهد.
در پایان باید بگوییم که برای انتخاب یک پروژه برای سرمایهگذاری در فضای ارز دیجیتال و Defi، اول باید به تیم فنی آن پروژه توجه شود و این تیم باید صلاحیت لازم را داشته باشد. دوم باید سرمایهگذارانی از آن پشتیبانی کنند که از لحاظ فنی توانا باشند و در نهایت باید توجه داشته باشید که این پروژه حتما مورد بازدید و ارزیابی همتاها و اشخاص ثالث قرار گرفته باشد.
همواره به یاد داشته باشید که اکوسیستم Defi هنوز جوان است و در کل فضایی پرریسک است و رویدادهای دردناک دیگری هم برای آن محتمل است.