پروژه‌های Defi مبتنی بر ارز دیجیتال باید چگونه باشند؟

Defi یا امور مالی غیر متمرکز در سال ۲۰۱۹ بسیار رایج شد و پروژه‌های مطرحی مانند MakerDao و Compound توانستند مقادیر قابل ملاحظه‌ای سرمایه جمع‌آوری کنند. اما سال ۲۰۲۰ سال خوبی برای بخش Defi ارز دیجیتال (cryptocurrency) نبود و شاهد بودیم که پروتکل اکوسیستم dForce هک شد و تقریبا همه موجودی خود را از دست داد؛ هر چند که هکر چند روز بعد اطلاعاتی از خود افشا کرد و تقریبا مقدار زیادی از این مبالغ سرقت شده را برگرداند. همچنین در ۱۲ مارس هم شاهد سقوط قیمت اتریوم (Ethereum) و در نتیجه شکست و ناکامی بسیاری از این سیستم‌های امور مالی غیر متمرکز (Defi) بودیم.

پلتفرم MakerDao در این میان با بدهی‌های زیادی روبرو شد و دلار DAI با مسائل مربوط به ثبات نرخ و مشکلاتی دیگر مواجه شد و در نهایت عده زیادی علیه این پلتفرم شکایت کردند و خواستار پس گرفتن پول خود شدند.

در ۱۸ آوریل امسال، ۲۵ میلیون دلار ارز دیجیتال اتر و بیت کوین از کاربران پروتکل وامدهی Lendf.me دزدیده شد. این پروتکل که دارای مشکلات امنیتی است، بخشی از اکوسیستم بنیاد dForce است. در نهایت، مهاجم ۲۴ میلیون دلار از دارایی‌های کاربران را برگرداند و تنها ۱ میلیون دلار را برای کارمزد gas و شاید هزینه‌های این دوران سخت کرونایی کنار گذاشت.

البته این هکر دقیقا ارز‌های دیجیتال دزدیده شده را برنگرداند؛ او ترکیبی از انواع مختلف ارز دیجیتال و معادل ۲۴ میلیون دلار را برگرداند. در این میان، عده‌ای از کارشناسان، علت این هک را فقدان خلاقیت و توان فنی لازم در dForce می‌دانند و حتی بعضی ادعا کرده‌اند که این شرکت کد خود را از Compound دزدیده است. در نهایت باید گفت که dForce مثالی از آن سیستم‌های Defi است که نباید وجود داشته باشند.

افراد باید در مورد Defi به عنوان زیرمجموعه‌ای از ارز دیجیتال بیشتر بدانند

واقعه MakerDao و dForce اگرچه در حال حل شدن است و مقدار زیادی از وجوه برگشته‌اند، اما کاربران Defi را به فکر انتخاب پلتفرم‌هایی بهتر و قابل اعتماد انداخته است. افراد زیادی در این میان پول از دست دادند و اعتماد خود را نیز از دست دادند و افراد دیگری نیز که اخبار اخیر را در مورد Defi خوانده‌اند، دیگر در مورد آن خیلی با احتیاط عمل خواهند کرد؛ Defi زیرمجموعه‌ای از ارز دیجیتال است و هنوز صنعت بسیار جوانی است.

dForce واقعا مسئول است

مدیر عامل Compound ادعا کرده که کد مورد استفاده سازمان dForce همان کد نسخه اولیه Compound است که این سازمان به صورت غیر قانونی کپی کرده و تنها تغییراتی جزئی در آن داده است. این مدیر عامل ابراز داشته که این نسخه اولیه دارای اشکلاتی بوده است که dForce بدون درک و دانش کافی از آن، اقدام به استفاده از این کد کرده و در نتیجه وجوه افراد را به خطر انداخته است. حتی ادعا می‌شود که سازمان dForce ایده استیبل کوین (stablecoin) خود را نیز از پلتفرم وامدهی Kava Labs دزدیده است. در کل می‌توان dForce را سازمانی بدون خلاقیت و توان فنی لازم برای انجام چنین پروژه‌هایی دانست.

dForce فورا شروع به بازاریابی کرده است و ابتدا به بازبینی اصول کار خود نپرداخته است؛ قطعا اگر اصول این پروژه توسط یک سازمان معتبر بازرسی می‌شد، مشکلات امنیتی آن رفع می‌شدند. دزدیدن ایده افراد دیگر نیز که بسیار ناشایست است و نباید وارد فضای Defi و ارز دیجیتال شود.

در نهایت باید گفت که مسئولیت این رسوایی در درجه اول بر عهده dForce است که از چند و چون کار آگاهی نداشته و به تبلیغ محصول خود پرداخته است و در درجه دوم نیز این مسئولیت متوجه کاربران dForce است که تحقیقات درست و مناسبی انجام نداده‌اند و پول خود را در اختیار چنین پلتفرمی گذاشته‌اند.

Defi نباید بی‌احتیاط باشد

هکر dForce در این حمله از توکن imBTC به عنوان یک تروجان استفاده کرده بود. این خطای امنیتی به حمله ورود مجدد معروف است. imBTC یکی از توکن‌های ERC-777 که یک دارایی عادی اتریومی نیست.

قرارداد‌های هوشمندی که شامل imBTC هستند باید بسیار هوشیار باشند و کد اضافی برای محافظت از خود در برابر چنین حملاتی بنویسند. این یکی از آسیب‌پذیری‌های معروف استاندارد ERC20 تلقی می‌شود، مخصوصا وقتی که از آنها در فضای Defi استفاده شود.

ایده Defi بر روی ارز دیجیتال اتریوم جالب نیست

معماری شبکه اتریوم به دلیل مشکلات امنیتی و مقیاس پذیری برای defi مناسب نیست و سطح آزمایش مورد نیاز برای رسیدن به بازده کامل در زبان برنامه‌نویسی Solidity نامحدود است. به همین دلیل است که بسیاری از پلتفرم‌های برجسته مانند Kava از اکوسیستم اتریوم برای این منظور استفاده نمی‌کنند.

ساختن هر گونه سرویس مالی بر روی شبکه ارز دیجیتال اتریوم از لحاظ امنیتی با مشکلاتی مواجه خواهد بود و همانطور که گفته شد، آزمایش همه نتایج احتمالی و باگ‌های زبان برنامه‌نویسی Solidity تقریبا غیر‌ممکن است.

Defi باید ایمن باشد

Lendf خودش را یک پلتفرم وامدهی توصیف می‌کرد که دارای بزرگترین پشتیبانی با ارز فیات است و مشکل در اینجا بود که این سازمان بیشتر به بازاریابی و جمع‌آوری سرمایه فکر می‌کرد تا این که به بررسی و درک کد خود و حل مسائل امنیتی فکر کند. این پروژه بازبینی‌های اساسی را انجام نداد و فورا وارد بازار شد و نتیجه آن هم آسیب‌پذیری‌های موجود بود.

کاربران این پروژه باید به تحقیقات کامل در مورد آن می‌پرداختند و توجه می‌کردند که پروژه‌ای که نمی‌تواند قرارداد هوشمند خود را توسعه دهد و به توسعه دوباره کد افراد دیگر می‌پردازد، قابل اعتماد نیست. شکست این پروژه درس خوبی را به همه کاربران داد و این درس این است که پول خود را نباید به شرکتی بدهید که به آن اعتماد ندارید.

Defi باید معطوف بر کاربران باشد

پروژه‌های Defi باید کد را تماما خودشان بسازند و خیلی احتیاط کرده و به آزمایش کلیه اقدامات خود بپردازند؛ آنها باید کد را به طور کامل آزمایش کرده و به صحت و امنیت آن نهایت اعتماد را داشته باشند.

این پروژه‌ها باید قبل از هر چیز به امنیت وجوه کاربران فکر کنند و شبکه‌هایی آزمایشی را برای بازرسی اشخاص ثالث فراهم آورند و با افراد فنی و حرفه‌ای مشورت کرده و در نهایت بهترین محصول را فراهم آورند.

Defi باید قابل اعتماد بودن خود را اثبات کند

برای اعتماد کردن به یک شرکت در فضای ارز دیجیتال و Defi، تنها وجود تعدادی سرمایه‌گذار مشهور در آن شرکت کافی نیست. این شرکت‌ها باید ثابت کنند که قابل اعتماد هستند و بعد به آنها اعتماد کرد.

امروزه شرکتی مانند Kava Labs در حال اثبات خود است و می‌بینیم که سرمایه‌گذاران مشهوری مانند مدیر عامل Compound از آن پشتیبانی می‌کنند. تیم فنی این پروژه عالی است و بسیار به مسائل امنیتی حساس است.

این پلتفرم مورد بازدید Certik قرار گرفته است که یک سازمان بازرسی رسمی معتبر است و نتیجه این بازرسی‌ها مثبت بوده و Kava مهر تایید را گرفته است. البته این‌ها به معنی توصیه سرمایه‌گذاری نیست و نباید از این نوشتار چنین برداشتی شود. هر فردی خود مسئول سرمایه‌گذاری خودش است و باید تحقیقات کافی را انجام دهد.

در پایان باید بگوییم که برای انتخاب یک پروژه برای سرمایه‌گذاری در فضای ارز دیجیتال و Defi، اول باید به تیم فنی آن پروژه توجه شود و این تیم باید صلاحیت لازم را داشته باشد. دوم باید سرمایه‌گذارانی از آن پشتیبانی کنند که از لحاظ فنی توانا باشند و در نهایت باید توجه داشته باشید که این پروژه حتما مورد بازدید و ارزیابی همتا‌ها و اشخاص ثالث قرار گرفته باشد.

همواره به یاد داشته باشید که اکوسیستم Defi هنوز جوان است و در کل فضایی پرریسک است و رویداد‌های دردناک دیگری هم برای آن محتمل است.