DeFi kreeg afgelopen week te maken met zijn eigen besmetting nadat Euler Finance via zes flitsleningen en een kwetsbaarheid bijna 200 miljoen dollar was ontnomen.
Het was een grote klap voor de sector; Euler werd gezien als de volgende grote bouwsteen na Compound en Aave.
De populaire cryptokredietverstrekker gooide niet alleen long-tail activa in het protocol en gokrisico’s à la Cream Finance, maar creëerde ook geïsoleerde leenpools om bijkomende schade in te dijken als degens tegen de verkeerde memecoin zouden lenen.
Maar nu is het hele schip gezonken.
Het is niet alleen dat: samen met Euler werden ongeveer 10 andere DeFi-protocollen getroffen dankzij de verschillende integraties die onderweg tot stand kwamen. Yield Protocol, Swivel Finance, Angle, en verscheidene anderen kondigden allemaal hun niveau van blootstelling aan hun gemeenschappen aan.
Ironisch genoeg was deze mogelijkheid om verschillende liquiditeitspools en leenplatforms in het hele ecosysteem te koppelen en te verbinden een van de belangrijkste pijlers van DeFi.
Samengesteldheid, noemden de ontwikkelaars het. Geldlego’s, riepen de meme goeroes.
“Composable protocollen zijn de ruggengraat van DeFi en blockchaintechnologie in het algemeen en ze zijn een superkracht voor bouwers en gebruikers,” vertelde OpenZeppelin’s solutions developer Gustavo Gonzalez aan TCN. “Maar zoals elke superkracht brengen ze ook risico’s met zich mee waarmee rekening moet worden gehouden bij het ontwerpen en ontwikkelen van een smart contract systeem.”
De gebeurtenissen van dinsdag lieten precies zien hoe die risico’s kunnen sneeuwballen tot pandemonium.
“De exploit van Euler Finance en de inherente impact op meer dan tien DeFi protocollen die vertrouwden op Euler Finance toont ons de andere kant van samenstelbaarheid,” vertelde yield protocol Spool’s hoofd risico Hendo Verbeek aan TCN. “Bij uitbreiding besmetting, wat nog zuurder is aangezien een gezond deel van de DeFi-gebruikersbasis een beperkt begrip heeft als het gaat om hoe protocollen elkaar gebruiken.”
Veel degens voelden zich overrompeld door de hack. Euler had immers zes verschillende audits ondergaan van enkele van de grootste software-auditbedrijven in het spel.
Dus, wat gebeurde er?
Aanvankelijk leek het erop dat er verschillende wijzigingen waren aangebracht in de onderliggende slimme contracten die niet waren gecontroleerd, wat suggereerde dat juist deze wijzigingen hadden geleid tot de kwetsbaarheid van het protocol. In zijn post-mortem legde Euler echter uit dat “terwijl de kwetsbare code werd beoordeeld en goedgekeurd tijdens een externe audit, de kwetsbaarheid niet werd ontdekt als onderdeel van de audit.”
Euler Labs werkt samen met verschillende beveiligingsgroepen om audits van het Euler Finance protocol uit te voeren.
Hoewel de kwetsbare code tijdens een externe audit werd beoordeeld en goedgekeurd, werd de kwetsbaarheid niet ontdekt als onderdeel van de audit.
De kwetsbaarheid bleef acht… https://t.co/cEaGIPI7Vk
– Euler Labs (@eulerfinance) Maart 14, 2023
Het is duidelijk een rommelig proces voor de auditgroep in kwestie, en de persoon achter Officer’s Notes, een anon Twitter-account dat hacks en opsec in de cryptowereld volgt, vertelde TCN dat de industrie nog steeds wacht op een standaard beveiligingsproces.
Terwijl de industrie wacht op genoemde standaard, zouden projecten actief audits moeten combineren en zwaar inzetten op de bug bounties, “wat uiteindelijk goedkoper zal zijn voor een bedrijf/protocol/project dat hun smart contracts moet laten controleren,” zeiden ze.
Euler’s moet een van de grootste verliezen in DeFi sinds enige tijd zijn. Toch is het nog niet voorbij voor het geldlego verhaal, zei OpenZeppelin’s Gonzalez.
“Het is slechts een nieuwe herinnering waarom beveiliging moeilijk is en monitoring belangrijk,” zei hij.
DeFi is nog lang niet voorbij-je moet alleen weten waar je moet kijken.
Hoe deed DeFi het tijdens de bankenchaos?
Terwijl Circle aan het wankelen was met 3,3 miljard dollar opgesloten in een bank die langzaam zonk, kelderde zijn stablecoin zo laag als 0,87 dollar.
Veel degens gokten op deze pico-bodem, leenden USDT tegen ETH om de afgeprijsde token op te scheppen, en zijn sindsdien weer als winnaar uit de bus gekomen.
Anderen sneden hun verlies af en vluchtten naar meer gedecentraliseerde weiden.
De market cap voor Maker’s DAI was één grote winnaar in dit alles. Hoewel de steun voornamelijk bestaat uit USDC, en ook deze munt van zijn koers viel, steeg de marktkapitalisatie van de grootste gedecentraliseerde stablecoin en is daar blijven steken.
Hetzelfde geldt voor LUSD van Liquity en de minder bekende RAI. Elk van deze stablecoins bood relatief veilige gedecentraliseerde alternatieven toen de SVB de ventilator raakte.
En terwijl ze naar de uitgang stormden, bereikten platforms die de beste deals boden voor gebroken stablecoins nieuwe recordvolumes (en verdienden hun liquiditeitsverschaffers een aardige cent in het proces).
In de hitte van de depegging boekte Curve Finance volumes van $6,03 miljard.
In de week van 11 maart deed Uniswap bijna het dubbele voor zijn WETH-USDC, USDT-USDC en DAI-USDC pools.
Uiteindelijk was het zeker geen overwinning voor DeFi. Maar het is er nog steeds, en handelaren hebben het duidelijk nog steeds nodig.
Voor nu is dat misschien genoeg.
