Analiza DeFi Protokola
DeFi Protokoli: Analiza Rizika i Bezbednosti
Decentralizovane finansije (DeFi) su do 2024. dostigle ukupnu zaključanu vrednost (TVL) od $150 milijardi, sa vrhuncem od $180 milijardi u novembru 2021. Iza ovih impresivnih cifara krije se kompleksan ekosistem pametnih ugovora koji nosi specifične bezbednosne rizike — od tehničkih ranjivosti do ekonomskih exploita.
Kategorizacija DeFi Protokola
Protokoli za Pozajmljivanje (Lending)
Aave, Compound, MakerDAO i Morpho omogućavaju korisnicima da deponuju kolateral i pozajmljuju druge tokene. Ključni rizici:
- Oracle manipulation: Ako napadač može manipulisati cenom kolaterala, može pozajmiti više od realnih vrednosti ili izbeći likvidaciju
- Bad debt: Tokom ekstremo volatile tržišnih uslova, likvidatori možda ne mogu reagovati dovoljno brzo, ostavljajući protokol sa bad debt-om (npr. Aave bad debt incident sa CRV-om, 2023.)
- Flash loan napadi na kolateral: Kratkotrajna manipulacija cene korišćena da se izvuče više od stvarne vrednosti
Decentralizovane Berze (DEX)
Uniswap, Curve, Balancer i dYdX upravljaju ogromnim volumenom. Rizici uključuju:
- Sandwich napadi: MEV botovi vide transakcije u mempool-u i “sendvičuju” korisnikovu transakciju sa sopstvenim, manipulišući cenom
- Price oracle rizik: Protokoli koji koriste spot DEX cenu kao oracle su ranjivi na flash loan manipulaciju
- Impermanent loss: Nije hack, ali je finansijski rizik koji LP provajderi moraju razumeti
Yield Agregatori
Yearn Finance, Convex, Beefy automatski prebacuju fondove između protokola radi maksimalnog prinosa. Rizik je multipliciran jer su izloženi ranjivostima svakog protokola sa kojim interaguju.
TVL kao Metrika Rizika
Total Value Locked (TVL) je indikator veličine protokola, ali je i proxy za potencijalnu “nagrada za napadača.” Protokoli sa visokim TVL-om i slabim bezbednosnim profilom su posebno atraktivni mete.
Analiza TVL treba uzeti u obzir:
- Koncentracija TVL-a u malo adresa (whale risk)
- Proporcija TVL-a u jednom tokenu (korelacijski rizik)
- Lockup periodi — da li velika količina TVL-a može izaći u kratkom roku?
Flash Loan Napadi — Anatomija
Flash loan napadi su specifični za DeFi i ne postoje u tradicional finansijama. Evo tipičnog scenarija:
- Napadač pozajmljuje $100 miliona USDC od Aave-a (bez kolaterala, mora se vratiti u istoj transakciji)
- Koristi $50M da kupi token X na Uniswap-u, što diže cenu
- Na protokolu koji koristi spot Uniswap cenu kao oracle, vrednost X-a je sada visoka — napadač koristi X kao kolateral da pozajmi USDC
- Prodaje X nazad na Uniswap-u (cena pada), vraća flash loan
- Zaostaje profit od pozajmljenih USDC-a po naduvenim cenama
Sve ovo se dešava unutar jedne atomične transakcije koja traje sekunde. Beanstalk Farms je ovako izgubio $182 miliona u aprilu 2022.
Naši Kriterijumi za Analizu Protokola
Kada analiziramo DeFi protokol, evaluiramo:
- Audit istorija: Broj audita, renome firmi, starost poslednjeg audita
- Bug bounty program: Da li postoji? Koji je maksimalni payout?
- Oracle solution: Koji oracle koriste? TWAP, Chainlink ili ranjivi spot oracle?
- Admin privileges: Da li tim ima neograničen pristup fondovima? Da li postoji timelock?
- Incident history: Da li je protokol već bio exploitovan? Kako su reagovali?
- Kodna kompleksnost: Kompleksniji kod = veća površina napada
- Decentralizacija upravljanja: Da li je governance centralizovano ili distribuirano?
Top DeFi Exploiti i Lekcije
Istorija DeFi exploita je udžbenik za razumevanje bezbednosnih rizika. Svaki napad nosi lekciju: Ronin ($625M) — kompromitovani validator ključevi; Poly Network ($611M) — greška u access control-u; Wormhole ($320M) — propust u verifikaciji potpisa; Nomad ($190M) — lažni root hashes; Beanstalk ($182M) — flash loan governance napad.
Zajednički imenilac: brzina lansiranja bez adekvatnog audita, i previše privilege-a za administratore. DeFi zajednica polako uči ove lekcije — ali po visokoj ceni.