Desentralisert finans (defi) har vært en sektor i voldsom vekst det siste året. Defi er en samlebetegnelse for applikasjonene og protokollene som utvikles på Ethereum-nettverket for å muliggjøre alt fra lån til betting til børsvirksomhet uten å måtte belage seg på en tredjepart til å fasilitere transaksjonen. Det finnes riktignok Defi-løsninger på andre blokkjeder også, men Ethereum har vært dominerende til nå.

Defis verdigrunnlag

Defi-applikasjonene kan samhandle med hverandre gjennom Ethereum-nettverket. Dette skaper synergier som på sikt kan påvirke og transformere hele finansbransjen. Applikasjonene og protokollene nøstes sammen ved hjelp av at operasjonene rapporteres på Ethereums blokkjede. Dette tillater en flytende dynamikk mellom ulike defi-tjenester. Protokoller og applikasjoner kan utvikles og integreres basert på eksisterende defi-løsninger som et sett med lego-brikker. I fremtiden kan slike sammensatte løsninger potensielt møte ethvert finansielt behov en bruker måtte ha. Systemet er attraktivt som følge av at man fjerner avhengigheten av en aktiv tredjepart for fasilitering av handel i tillegg til de mange synergiene som skapes.

Det store potensialet innen desentraliserte finansløsninger gjorde defi til den raskest voksende finanssektoren det siste året. I hovedsak har applikasjoner som tillater brukere å gjøre låneinnskudd til renter mellom 5 til 20%, samt desentraliserte børser hvor brukere kan handle kryptovaluta direkte fra sine egne wallets, vært hoveddriverene bak veksten i defi-sektoren.

For to uker siden ble en milepæl nådd. Sektorens totale «innlåste midler» passerte en samlet verdi på 1mrd USD, et beløp som er ventet å stige i månedene som kommer.

Angrepene på bZx

Likevel er det svært viktig å være klar over at sektoren er i en tidlig utviklingsfase. I en slik fase må en regne med noen skavanker og trasige oppvekstår – defi er intet et unntak fra denne normen. Senest den siste uken har vi sett to tilfeller som, med rette, har gitt grunnlag for å stille kritiske spørsmål til om dagens defi-løsninger er gode nok.

Innlåste midler i DeFi-tjenester. Kilde: Arcane Research / Defipulse.com

Det ferskeste slaget i baugen for defi var de to snedige angrepene den siste uken på bZx. bZx er en defi-protokoll for utlån og marginhandel og tilbyr blant annet “flash loans”. Dette kan beskrives som risikofrie lån hvor låntakeren stiller sikkerhet i form av å låse hele den planlagte lånetransaksjonen i en ubrytelig smartkontrakt, hvorpå långiver kan verifisere at låntakers investeringsplan rettferdiggjør og muliggjør umiddelbar tilbakebetaling av lånet. En løsning som gir likviditet til garanterte arbitrasjestrategier.

Marginhandel-tjenesten som tilbys av bZx foregår via Kyber. Dette er en desentralisert børs med begrenset likviditet. Den begrensede likviditeten skaper potensielle svakheter i bZxs utlånprotokoll, og det var denne svakheten som ble utnyttet ved to separate anledninger den foregående uken. Angrepene innebar kursmanipulasjon på Kyber og “flash loans” fra bZx skapte arbitrasjemuligheter på bekostning av de som stilte midler til utlån via bZx.

Det hele kulminerte i at utviklingsteamet i bZx grep inn og benyttet sin administratornøkkel for å sette systemet på pause, slik at de kunne vurdere hvorvidt de skulle låse midlene som ble vunnet i handelen. Angrepene, så vel som bZx sin inngripen etter angrepene etterlot to store ubesvarte spørsmål:

  • Er desentralisert finans trygt?
  • Og er desentralisert finans i det hele tatt desentralisert når teamet har handlingsrom til å gripe inn på en slik måte?

Er defi trygt?

Fundamentet bak enhver defi-protokolls lov vil alltid være protokollens kode. Koden legger føringer på hvordan protokollen agerer på enhver handling og bevegelse foretatt av brukere av applikasjonen. Det er klare fordeler med en slik struktur, særlig når det gjelder transparens og entydighet i henhold til forventede utfall fra et brukerperspektiv. Brukeren kan med grunnlag i koden med stor trygghet fastslå utfallet av et sett med handlinger. Dog gjør koden også hele systemet sårbart. Små feil og andre svakheter i koden kan bli utnyttet av årvåkne brukere, hvorpå disse brukerne kan tilegne seg store gevinster på andre brukeres bekostning.

Det er dette vi har sett den siste uken ved de to bZx-angrepene som utnyttet likviditetsrelasjonen med Kyber. Rent konkret opererer Kyber med et ordrebokregelsett som gjør systemet sårbart for såkalte “flash crashes” ved lav likviditet. Dette ble utnyttet til å gjøre kursmanipulasjon i ether (ETH) som sikret utnytteren arbitrasje-gevinster.

De rigiditeter som nedskrevet kode legger kan danne grunnlaget for en rekke tilsvarende smutthull som kan bli utnyttet av kreative angripere. Ingen koder perfekt, og vi må regne med at disse kode-utnyttelsene bare er starten på en trend med målrettet søken etter svake punkter fra opportunistiske angripere i tiden som kommer. Tiden vil vise om defi vil takle motstanden og slå seg opp som et antifragilt system i årene fremover.

Er defi desentralisert?

Alle defi-applikasjoner er basert på Ethereum, og har derfor en seed som gir administratortilgang. Ulike protokoller har angrepet dette sentraliseringspunktet ulikt. Enkelte vasker ut sentraliseringen ved å tilføre et anonymiseringselement i smartkontraktene på protokollen. Andre benytter en forsinkelsesdynamikk for administratorinngrep, som tillater brukere å reagere på endringer i protokollen før endringene trer i kraft. Enkelte defi-applikasjoner er mindre transparente på dette området, og administratornøklenes myndighet er mer usikker. Dette er bekymringsverdig av to årsaker:

  1. Kan jeg stole på at teamet er ærlige og vil bygge en troverdig plattform?
  2. Kan jeg stole på teamets operasjonelle sikkerhet og at deres administratornøkkel ikke vil havne på avveie hos andre entiteter med vonde hensikter?

Til syvende og sist er det viktigste at brukerne av applikasjonene på defi kjenner til at applikasjonene de benytter ikke nødvendigvis er desentralisert, og implikasjonene dette kan medføre. Defi-applikasjonenes verdigrunnlag må sees i lys av at defi åpner opp for et svært bredt spekter av ulike finansielle instrumenter, med gunstige og attraktive betingelser for applikasjonens brukere. Dette muliggjøres av interoperabiliteten mellom defi-protokollene som følge av at de alle er basert på den åpne, desentraliserte og (antakeligvis) usensurerbare blokkjeden Ethereum.

Relatert innhold

Intervju med Bitcoins Norway-sjefen: “Alle pengene vil gå tilbake til kundene”

“Alle midler som Bitcoins Norge har fått inn som følge av salget skal komme kundene til gode. Bitcoins Norge kommer ikke til å sitte igjen med noen av disse midlene” – uttaler Torjussen til Kryptografen.

Bitcoinveksler får endelig åpne bankkonto

Den mye omtalte bitcoinveksleren Sturle Sunde har omsider fått åpnet en bankkonto for sin bedrift Bitmynt.