Hai ancora il coraggio di giocare con DeFi? Questo sapore è fin troppo familiare...

Il mercato delle criptovalute entra in un'altra notte insonne sotto l'aria fredda. Bitcoin ha perso quasi il 12% in una settimana, Ethereum è sceso di nuovo vicino ai 3300 dollari, e gli asset rischiosi sono tutti sotto pressione.

In questo contesto di mercato depresso, la finanza decentralizzata (DeFi) è tornata al centro della tempesta: il protocollo storico Balancer v2 ha subito il più grande attacco hacker della sua storia, con una perdita superiore a 120 milioni di dollari; subito dopo, la piattaforma di ottimizzazione dei rendimenti Stream Finance ha rivelato una perdita di 93 milioni di dollari, con la sua stablecoin in staking xUSD scesa sotto i 0,3 dollari.

La tempesta non si è fermata qui. Il rischio innescato da Stream si sta diffondendo a più protocolli lungo la catena della "componibilità".
Nell'ultimo effetto domino, la società di gestione del rischio DeFi Gauntlet ha già presentato una proposta d'emergenza al forum di governance di Compound, suggerendo una sospensione temporanea dei mercati USDC, USDS e USDT sulla mainnet di Ethereum per prevenire la diffusione del rischio.

Gli eventi di hacking si sono susseguiti in un contesto di mercato debole, mettendo la "finanza senza intermediari" di fronte a una dura prova:

Quando il calo dei prezzi si somma agli eventi di rischio, hai ancora il coraggio di "giocare" con la DeFi?

Gli attacchi hacker iniziati da Balancer

Lunedì, è stata scoperta una vulnerabilità critica in Balancer v2. Gli attaccanti hanno sfruttato un difetto logico nei Composable Stable Pools, attraversando più chain come Ethereum, Arbitrum e Base, e hanno sottratto 128 milioni di dollari in poche ore.

Secondo i ricercatori, gli attaccanti potrebbero aver falsificato "entrate da commissioni" e attivato prelievi, trasformando "punti falsi" in "fondi reali". Ironia della sorte, questo modulo di sistema era stato sottoposto a più di dieci audit di sicurezza, inclusi quelli di OpenZeppelin e Trail of Bits. Nemmeno la reputazione consolidata e anni di accumulo tecnologico sono riusciti a fermare un attacco logico.

Hasu, responsabile delle strategie di Flashbots e Lido, ha dichiarato: "Ogni volta che un vecchio contratto viene violato, l'adozione complessiva della DeFi arretra di 6-12 mesi."

Meno di 24 ore dopo, Stream Finance ha rivelato che il suo "gestore di fondi esterno" ha causato una perdita di 93 milioni di dollari. La piattaforma ha sospeso depositi e prelievi, e la stablecoin in staking xUSD si è profondamente sganciata dal peg, scendendo da 1 dollaro a 0,27 dollari.

I dati on-chain mostrano che l'esposizione totale garantita relativa a xUSD, xBTC e xETH ammonta a circa 285 milioni di dollari, coinvolgendo diversi protocolli di lending come Euler, Silo e Morpho. Il TVL di più mercati è evaporato di centinaia di milioni di dollari in un solo giorno.

I tuoi fondi non ti appartengono: il contraccolpo della "componibilità"

In parole povere, la "componibilità" (Composability) che rende la DeFi così attraente è come un set di Lego finanziari: puoi mettere il pool di rendimento del protocollo A sopra il lending del protocollo B, usando la stablecoin del protocollo C come collaterale, impilando strato su strato.

Durante il bull market, questo approccio è davvero entusiasmante. I rendimenti si concatenano, l'efficienza è incredibile. Ma molti non si rendono conto che più si impilano i mattoncini, più rovinosa sarà la caduta.

Se il mercato si raffredda o se una delle "Lego" di base ha un problema—come nel caso di Balancer o Stream, protocolli core che falliscono—il rischio si propaga lungo il percorso costruito, come un domino.

Johnny Time, fondatore della società di sicurezza Ginger Security, ha spiegato in dettaglio questo meccanismo di trasmissione.

Molti hanno acquistato su Beefy Finance quella che veniva definita la "cassaforte USDC più sicura", pensando che i fondi fossero al sicuro. In realtà, i soldi non sono mai rimasti su Beefy, ma sono stati trasferiti più volte, seguendo questo percorso:

Beefy → Silo → Arbitrum → un'altra istituzione chiamata Valarmore → infine sono confluiti in Stream Finance, che è esplosa in questa occasione.

Pensavi di aver acquistato USDC, ma in realtà detenevi passivamente xUSD, che è crollato.

In questa catena, la piattaforma frontend Beefy mostra agli utenti una "cassaforte USDC sicura", ma i fondi vengono poi ridistribuiti dal gestore intermedio Valarmore nella strategia xUSD del protocollo Stream.

Johnny Time sottolinea che il problema è che ogni livello del protocollo cerca di massimizzare i rendimenti, ma manca di trasparenza e di meccanismi di isolamento del rischio.
Questa struttura "a nidificazione multipla" permette al rischio di trasmettersi invisibilmente lungo la catena: cambiamenti nelle decisioni dei protocolli upstream, volatilità degli asset sottostanti o errori nelle strategie intermedie possono amplificarsi lungo il percorso.
Alla fine, quando l'asset più in basso (come xUSD) ha un problema, l'intera struttura crolla come un domino.

Il dibattito sulla decentralizzazione

Di conseguenza, la discussione sulla decentralizzazione è riesplosa nella community.

Haseeb Qureshi, partner di Dragonfly, ritiene: "Anche in un sistema decentralizzato, se abbastanza partecipanti raggiungono un consenso, possono congelare conti o fondi."
Ma i critici hanno subito ribattuto: "Se abbastanza persone possono concordare di fare qualcosa, allora possono fare qualsiasi cosa—e questo non è decentralizzato."

Questo dibattito mette in luce il paradosso della governance DeFi: quando il sistema ha bisogno dell'intervento del consenso umano per fermare l'emorragia, i confini della "decentralizzazione" iniziano a sfumare.

Vladislav Ginzburg, fondatore di OneSource, ritiene che il rischio sia parte integrante dell'ecosistema DeFi: "La complessità dei contratti intelligenti e dell'ingegneria finanziaria implica che gli utenti devono accettare l'incertezza."
Il ricercatore di sicurezza Suhail Kakar afferma senza mezzi termini: "'Auditato' significa quasi nulla. Il codice è difficile, la DeFi lo è ancora di più."
Kadan Stadelmann, CTO di Komodo, aggiunge che incidenti di sicurezza frequenti spingeranno i fondi istituzionali a evitare strutture complesse, tornando a una strategia "Bitcoin only".

Nicolai Søndergaard, ricercatore di Nansen, sottolinea che la vulnerabilità sfruttata nell'attacco a Balancer era nella logica di fatturazione e non nel controllo dei permessi—un rischio di progettazione difficile da individuare con gli audit e difficile da affrontare tempestivamente con la governance.

Riepilogo

Il problema della DeFi non è mai stato la tecnologia, ma la governance.
Durante il bull market, l'empilamento dei protocolli e i rendimenti elevati sono allettanti; ora il bear market rivela la verità—nessun livello è completamente sicuro.

I progetti che sopravviveranno in futuro non vinceranno più grazie ai rendimenti annuali, ma dovranno dimostrare tre cose:
fondi verificabili, rischio isolabile, governance eseguibile.

Per l'utente medio, anche l'esperienza è cambiata: se non sai nemmeno dove finiscono i tuoi soldi, forse è meglio comprare direttamente BTC per stare più tranquilli.

In definitiva, nel mondo DeFi: il rischio che capisci è un'opportunità, i rendimenti che non capisci sono tutte trappole.

Autore: Seed.eth