Оценка финансового риска децентрализованных финансовых продуктов (DeFi)

Риски в DeFi можно разделить на три разные категории: финансовые, технические и процедурные.

  1. Финансовый риск включает сравнение потенциального риска и вознаграждения, связанных с различными инвестиционными возможностями, с целью построения успешного портфеля в соответствии с толерантностью человека или организации к риску.
  2. Технический риск означает оценку потенциальных уязвимостей в аппаратном и программном обеспечении продукта или услуги.
  3. Процедурный риск можно считать аналогичным техническому риску, но вместо того, чтобы рассматривать продукт или услугу, процедурный риск исследует способы, которыми пользователи могут манипулировать с целью использования продукта непреднамеренными способами, которые могут поставить под угрозу их безопасность.

1. Процедурные взломы

Одной из распространенных форм процедурного взлома, которую большинство из нас признает, является фишинговая атака.

Выполняя фишинговую атаку, хакер начнет с выполнения чего-то вроде репликации популярного веб-сайта или составления электронного письма, которое выглядит так, как будто оно от доверенного учреждения, например банка или поставщика медицинских услуг.

Затем хакер будет использовать этот контент, чтобы обманом заставить жертв раскрыть конфиденциальную информацию с помощью таких инструментов, как поддельные формы входа или регистрации. Затем ваша информация может быть продана в темной сети или использована для кражи или вымогательства другими способами.

Настоящий веб-сайт или почтовая служба не были взломаны, иначе это может быть примером технической уязвимости. Пользователь был просто обманут, предоставив информацию, которая может быть использована против него, вопреки намерениям поставщика продукта или услуги.

Лица, о которых известно, что они владеют криптовалютой, часто становятся жертвами мошеннических сообщений от злоумышленников, которые притворяются поставщиками цифровой биржи или кошелька. Например, хакер может выдать себя за агента службы поддержки и извлечь достаточно учетных данных с помощью процедур «проверки учетной записи», чтобы затем развернуться и украсть средства пользователя.

Помимо фишинга, следует остерегаться и других процедурных хаков:

  • Приманка

Приманка, также называемая «приманкой и подменой», похожа на фишинг, но вместо создания поддельного веб-сайта или рассылки электронной почты злоумышленник покупает рекламное место на веб-сайте и ссылается на страницу, зараженную вредоносным ПО (вредоносным ПО).

Как только жертва щелкает ссылку, вредоносная программа загружается на компьютер и обычно используется для предоставления полного доступа к вашей системе.

Атаки с наживкой и переключением являются одной из причин, по которой важно проявлять осторожность при нажатии на рекламу и изучении незнакомых предприятий или организаций в Интернете.

  • Предтекст

Предтекст - это когда злоумышленник выдает себя за доверенного лица, например члена семьи, менеджера или другого сотрудника с определенными полномочиями, или поставщика медицинских услуг, и использует это доверие для получения денег или информации от жертвы.

Атака под предлогом может включать электронную почту, телефонные звонки или личное общение, и хакеры часто притворяются, что возникла чрезвычайная ситуация, чтобы обострить срочность звонка, настаивая, например, на том, что начальник сердится или заявляет, что близкий человек серьезно ранен.

  • Услуга за услугу

Quid Pro Quo - это форма приманки, при которой злоумышленник делает вид, что предлагает что-то ценное в обмен на то, что злоумышленник хочет, чтобы жертва сделала.

Например, хакер может позвонить жертве, представившейся представителем службы технической поддержки или службы поддержки клиентов, и предложить ей помощь в решении проблемы, о которой она не знала.

  • Замена SIM-карты

Замена SIM-карты - это расширение фишинг-атаки, которая включает использование информации, извлеченной от жертвы, чтобы убедить поставщика мобильных услуг добавить новую SIM-карту в учетную запись пользователя.

Имея полный доступ к смартфону жертвы, злоумышленник может украсть средства из любых цифровых кошельков на телефоне и получить доступ к приложениям с множественной аутентификацией, которые можно использовать для взлома конфиденциальных учетных записей и кражи ценных активов, денежных или иных.

  • Целевой фишинг

Целевой фишинг - это продвинутая форма фишинга, предполагающая нацеливание на определенных лиц или организации. Общие цели включают новых сотрудников и сотрудников более низкого уровня, особенно тех, кто работает в финансовых отделах, которые могут иметь доступ к конфиденциальной информации или, по крайней мере, способность непреднамеренно предоставить доступ к конфиденциальной информации.

  • Хвост

Взлом - важная атака, которую следует учитывать, потому что она демонстрирует, что не все атаки происходят в цифровом мире.

Когда кто-то использует обман, чтобы получить доступ к месту, в котором он не должен находиться, он идет на попятную. Самый распространенный пример - это человек, который просит кого-то держать запертую дверь открытой для него или просто ждет и следует за кем-то в зону после того, как он откроет дверь.

Лучшие практики для защиты цифровых активов

При таком большом количестве различных типов и брендов цифровых кошельков, агрегаторов и продуктов DeFi может быть трудно понять, с чего даже начать.

Вот несколько важных вещей, о которых следует помнить, прежде чем загружать новый цифровой кошелек или решение DeFi.

Всегда выбирайте проверенные продукты и услуги

Атаки с наживкой - прекрасный пример того, почему важно соблюдать осторожность при загрузке и навигации по незнакомым приложениям и веб-сайтам.

Изучение надежности децентрализованных продуктов может быть чрезвычайно трудным из-за отсутствия передовых методов для таких вещей, как безопасность смарт-контрактов.

Если вам не комфортно заниматься такими вещами, как аудит безопасности смарт-контрактов, обычно лучше придерживаться популярных решений или запрашивать мнения заслуживающих доверия экспертов, прежде чем экспериментировать с незнакомым программным обеспечением.

Используйте правильный инструмент для работы

Вы бы не стали хранить тысячи долларов наличными, если бы у вас был доступ к банковскому счету, верно?

Что ж, вам также не следует хранить все свои цифровые активы на бирже или другом горячем хранилище.

При хранении цифровых активов важно учитывать, какие цифровые кошельки вы хотите использовать.

  1. Горячее хранилище относится к решениям для цифровых кошельков, в которых закрытый ключ, который защищает кошелек, может быть доступен в Интернете при выполнении таких действий, как подписание транзакций. Мобильные, настольные кошельки и кошельки на основе браузера - типичные примеры решений для горячего хранения.
  2. Холодное хранение относится к решениям с цифровыми кошельками, которые по своей конструкции не открывают доступ к закрытому ключу в Интернете. Бумажные и аппаратные кошельки - наиболее распространенные примеры решений для холодного хранения.
    Решения для горячего хранения обычно используются для небольших объемов криптовалюты, которые хранятся для использования на ходу при использовании цифровых активов для таких вещей, как обучение, разработка или торговля, в то время как средства, предназначенные для долгосрочной экономии, должны храниться в надежном решении для холодного хранения.

Всегда используйте многофакторную аутентификацию

Помимо создания имени пользователя и пароля, важно настроить любые процедуры многофакторной аутентификации, поддерживаемые вашим решением для цифрового кошелька. Процедуры многофакторной аутентификации могут включать:

  • Двухфакторные коды - это чувствительные ко времени коды, которые сбрасываются через короткий промежуток времени, могут быть доставлены с помощью SMS (текстового) или приложения, такого как Google Authenticator или Authy. Приложения, как правило, предпочтительнее SMS, поскольку коды, доставляемые по SMS, будут уязвимы даже для атаки с заменой SIM-карты.
  • Подтверждение по электронной почте часто можно использовать для подтверждения входа в систему и вывода средств из кошелька.
  • Аутентификация с несколькими подписями может быть настроена так, чтобы требовать предоставления «m из n» ключей для инициирования транзакции. Другими словами, системе может потребоваться 3 из 8 ключей для перемещения средств - пользователь может указать, сколько ключей должно быть в наличии (m) и сколько ключей существует всего (n).

Обновляйте свое программное обеспечение

Эффективные поставщики программного обеспечения постоянно предоставляют обновления, включая исправления ошибок и патчи для недавно обнаруженных уязвимостей.

Помимо обновления программного обеспечения вашего цифрового кошелька, обычно рекомендуется загружать последние обновления и драйверы для программного обеспечения на свои компьютеры и смартфоны.

Всегда держите резервную копию

Многие цифровые кошельки позволяют пользователю создавать резервную копию в виде начальной фразы, файла JSON или просто путем раскрытия закрытого ключа.

Любой кошелек, на котором находится больше средств, чем пользователь может потерять, должен быть зарезервирован в безопасном месте.

Исходные фразы или копии вашего закрытого ключа должны быть написаны с использованием устойчивых к возрасту и атмосферным воздействиям носителей, таких как гравировка по металлу или чернила на бумаге, запечатанной в полиэтиленовом пакете, а файлы JSON следует хранить на защищенных паролем USB-накопителях, а НЕ оставлять в файле на диск Google или персональный компьютер.

Все резервные копии должны храниться в безопасном месте, например, в сейфе или защищенном от взлома контейнере в секретном месте.

Никогда, никогда не раскрывайте свои владения

Если вам нравятся фильмы о мафии и гангстерах, вы, несомненно, знакомы с клише «крысы», которая доносится на главного гангстера и свергает его криминальную империю. Не «надувайте» себя и не свергайте собственную «криптоимперию» только потому, что вы взволнованы тем, что поделитесь своими уникальными инвестициями не с тем незнакомцем.

Проконсультироваться с юристом для создания плана наследования ваших цифровых активов для близких - хорошая идея, но любой хороший план НЕ должен включать предоставление юристу доступа к вашему закрытому ключу.

2. Финансовый риск

Финансовый риск можно определить как возможность чего-то потерять деньги.

Как упоминалось ранее, финансовый риск заключается в оценке потенциальных рисков и выгод от инвестиций по сравнению с другими доступными инвестиционными возможностями.

Финансы исследуют такие вопросы, как риск, в трех разных контекстах: личном, корпоративном и общественном.

  • Личные финансы изучают, как люди и семьи зарабатывают деньги и управляют ими.
  • Корпоративные финансы исследуют, как компании зарабатывают деньги и управляют ими.
  • Государственные финансы смотрят на то, как правительства собирают и распределяют средства.

Решения DeFi могут применяться в любом из этих контекстов, но для наших целей мы собираемся сосредоточиться на DeFi в контексте личных финансов, поскольку это поддомен, в котором он добился наибольшего прогресса.

Итак, как профессиональные трейдеры и инвесторы думают о рисках?

Технический и фундаментальный анализ - два инструмента, о которых мы обычно слышим.

  • Технический анализ предполагает использование математических индикаторов для создания диаграмм, раскрывающих модели, используемые для определения инвестиционных возможностей.
  • Фундаментальный анализ относится к процессу изучения ценностного предложения инвестиций и различных показателей и соотношений, используемых для оценки финансового состояния предложения, обычно в контексте определения стоимости бизнеса.

В дополнение к протоколам, определенным различными техническими и фундаментальными инвестиционными стратегиями, у инвесторов есть множество индикаторов, которые они используют в качестве основы для сравнения различных инвестиционных возможностей.

Безрисковая ставка доходности, как правило, относится к долгосрочной доходности казначейских облигаций США, проценты по которым рассматриваются как инвестиции «без риска». Инвесторы вычитают «безрисковую ставку» из потенциальной доходности, которую, по их мнению, они могут получить от инвестиции, в качестве основы для сравнения доходности от инвестиций с доходностью от «безрисковых» инвестиций.

Возможности для инвестиций: CeFi против DeFi

Теперь, когда мы говорили о том, как «централизованное финансирование» (CeFi) относится к риску, давайте поговорим об инвестиционных возможностях, доступных в DeFi.

Стейблкойны и протоколы кредитования DeFi являются основными инвестиционными возможностями, признанными в DeFi. Также доступны рынки прогнозирования и ограниченные формы деривативов, но протоколы кредитования DeFi, как правило, являются продуктом, который побуждает людей рассматривать DeFi как инвестиционную возможность.

В то время как стейблкоины обычно используются цифровыми биржами и трейдерами как способ иметь цифровую валюту, деноминированную в фиате, которая может использоваться для совершения сделок, протоколы кредитования позволяют пользователям вносить криптовалюту в качестве обеспечения и получать проценты и выплачивать проценты для заимствования цифровых активов.

В последнее время автоматические протоколы кредитования привлекают большое внимание в сфере блокчейнов, поскольку предлагают впечатляющие процентные ставки, достигающие ~ 30%.

Те, кто инвестирует в фондовый рынок, обычно смотрят на S&P 500 как на эталон эффективности своих портфелей, потому что люди принимают его как хорошее представление об общей эффективности фондового рынка.

Доходность S&P 500 в среднем составляет от 7% до 10%, но использование протоколов кредитования больше похоже на инвестирование в облигации или другие продукты на денежном рынке.

Финансовые инструменты на денежном рынке состоят из краткосрочных инвестиций в долговые обязательства, которые включают такие вещи, как облигации корпоративного или государственного долга, которые обычно предлагают более высокие проценты, чем сберегательный счет, но более низкую доходность, чем фондовый рынок.

Максимальный размер сберегательных счетов с высокими процентами обычно составляет около 2%, что также обычно считается эталоном годовой инфляции в долларах США. Другими словами, инвесторы обычно предполагают, что доллар будет стоить на 2% меньше в конце года, чем в начале.

Инвестиции могут расти с точки зрения накопленной суммы денег, но если этот рост меньше, чем уровень инфляции, считается, что инвестиции теряют стоимость или покупательную способность.

3. Технический риск

При изучении решений DeFi на предмет технических уязвимостей мы должны учитывать «обычное» программное обеспечение, смарт-контракты, развернутые в блокчейне или распределенном реестре, а также оборудование, используемое для взаимодействия со всем этим программным обеспечением.

Важно отличать риски от уязвимостей. Все, что представляет реальную угрозу для человека или организации, можно рассматривать как риск, а под уязвимостями понимаются слабые места, которые можно использовать.

Другими словами, уязвимости могут раскрыть бесполезные команды или данные, которые не представляют проблемы, но риски относятся к ситуациям, в которых определенно существует проблема.

Классификация рисков

Независимо от того, думаем ли мы о рисках в «обычном» программном обеспечении, смарт-контрактах или оборудовании, к основным рискам, на которые следует обращать внимание, относятся:

  • Безопасность памяти рассматривает проблемы, которые могут прервать доступ к памяти, включая ошибки доступа, неинициализированные переменные и утечки памяти. Общие примеры включают переполнение буфера, висячие указатели и исчерпание стека.
  • Условия гонки возникают, когда исход события зависит от последовательности или времени других событий. Возможность опережающего запуска - важная ошибка, которую следует учитывать при работе со смарт-контрактами.
  • Неправильное использование API может произойти из-за плохой или фрагментированной документации так же легко, как и из-за небрежности.
  • Неправильный вариант использования и обработка исключений происходит, когда пользовательский опыт и недостаточное тестирование для обеспечения адекватного учета.
  • Обработка ввода / вывода должна быть настроена правильно, чтобы гарантировать, что обмен данными между устройствами и файлами нельзя манипулировать или использовать гнусными способами.

Программные риски

Вот список рисков, которые следует учитывать при оценке того, можно ли считать программное обеспечение заслуживающим доверия:

  • Выделенный отказ в обслуживании (DOS или DDOS) - распространенный метод нарушения работы веб-сайта или службы. DDOS-атака включает наводнение чего-то вроде веб-сайта, приложения или сервера бесполезными запросами, которые не позволяют реальным пользователям отправлять свои собственные.

Плата за транзакцию, связанная со многими блокчейнами и распределенными реестрами, помогает предотвратить DDOS-атаки, удорожая отправку большого количества транзакций.

Тем не менее, DDOS-атака гипотетически может быть выполнена против блокчейна, веб-сайта или приложения, взаимодействующего с блокчейном, и нарушить доступ к децентрализованному приложению в течение определенного периода времени.

  • Внедрение происходит, когда программное обеспечение, которое позволяет пользователям управлять данными с помощью командной строки или использует базы данных SQL, содержит уязвимости, которые позволяют злоумышленнику получить доступ к командам и изменить данные непреднамеренным образом.
  • Переполнение происходит из-за того, что такие процессы, как буферизация данных и целочисленное вычисление, выполняются определенным образом, что может привести к непредвиденным результатам, если код не учитывает их.

Например, переполнение буфера происходит, когда часть программного обеспечения пытается добавить в буфер больше данных, чем позволяет вместимость буфера, проблема, которая может повредить данные, выполнить вредоносный код и отключить программное беспечение.

  • Неконтролируемые строки формата могут стать проблемой, потому что формы, которые позволяют пользователям отправлять данные, должны быть защищены, иначе они могут быть использованы путем отправки строк формата для выполнения функций, не предназначенных для доступа пользователей.

Риски смарт-контрактов

Одна из особенностей, которая отличает смарт-контракт от другого программного обеспечения, заключается в том, что «обычное» программное обеспечение работает на компьютере или размещается на сервере и доступно для отдельных компьютеров.

Смарт-контракты, с другой стороны, развертываются в блокчейне или какой-либо другой форме распределенного реестра в качестве транзакции и обеспечивают правила взаимодействия «обычного» программного обеспечения и распределенного реестра.

Как относительно новая технология, передовые методы защиты смарт-контрактов все еще находятся в стадии разработки, но вот некоторые из основных уязвимостей, на которые следует обратить внимание:

  • Принудительная отправка эфира в контракт может вызвать непредвиденные последствия для смарт-контрактов, включая самоуничтожение контракта.
  • Передний запуск означает возможность злоумышленников отслеживать в мемпуле транзакции, которые еще не были включены в блок, и использовать эту информацию для управления исходом события.
  • Например, злоумышленник может увидеть транзакцию, выполняемую децентрализованной биржей, и быстро отправить транзакцию или серию транзакций, чтобы выполнить собственную сделку с более высокой комиссией за газ, чтобы «запустить» первую транзакцию и убедиться, что вторая транзакция записывается перед первым.
  • Недостаточное количество газа происходит, когда злоумышленники инициируют транзакцию с достаточным количеством газа для завершения транзакции, но недостаточным для выполнения вспомогательного вызова, включенного в транзакцию.
  • Целочисленное переполнение и потеря значимости может произойти, когда набор кода не учитывает, что переменная uint имеет максимальное значение 2²⁵⁶, после чего она сбрасывается на ноль.
  • Повторное вхождение происходит, когда внешний контракт перехватывает предполагаемый поток событий, чтобы внести в данные непреднамеренные изменения. Печально DAO хак в 2016 году с участием кражи $ 50 млн в Эфире произошел в результате злоумышленник или групп злоумышленников , эксплуатирующих в повторной входимости уязвимость.
  • Зависимость от отметки времени относится к тому факту, что майнеры могут управлять отметкой времени блока. Функции, использующие метку времени, могут быть уязвимы для манипуляций, если не закодированы должным образом.

Аппаратные риски

Если децентрализованное приложение (dApp) не включает что-то вроде аппаратного кошелька или «крипто-дебетовой карты», легко забыть о потенциальных уязвимостях, связанных с оборудованием, используемым для взаимодействия с dApps.

Вот некоторые из основных уязвимостей, которые следует учитывать при оценке риска, связанного с аппаратными компонентами, задействованными в продукте:

  • Несовместимость возникает, когда аппаратные устройства не настроены для совместной работы или не имеют установленных драйверов, позволяющих им работать вместе.
  • Проблемы с питанием могут возникнуть, когда электрические розетки обеспечивают нестабильную подачу напряжения. Будь то скачок напряжения, низкое напряжение или смещение частоты, колебания в источнике питания могут иметь пагубные последствия.
  • Чувствительность к влажности, пыли, деградации и незащищенному хранению может привести к ненормальному поведению продукта или полной остановке его работы.
  • Сбои напряжения (также известные как инжекция неисправностей) включают в себя манипуляции с оборудованием, такими как часы и датчики температуры, таким образом, чтобы обмануть программное обеспечение и заставить его действовать непреднамеренно. Уязвимость аппаратных кошельков Keepkey, обнаруженная Kraken, связана с перепадами напряжения.