Modulis 2 · DeFi Lending3/7

DeFi rizikos

Tai svarbiausia pamoka visame kurse. DeFi siūlo didesnę grąžą nei bankai. Bet už tai moki didesnė rizika. Prieš investuodamas nors vieną eurą, privalai suprasti kiekvieną pavojų. Šioje pamokoje viską paaiškinsime paprastai.

Smart contract rizikos — kai programa turi klaidų

Smart contract — kaip automatas su pinigais

Prisimeni pardavimo automatą iš pamokos 1-1? Smart contract yra toks automatas, kuris valdo tavo pinigus. Jei automatas veikia teisingai — viskas gerai. Bet jei jame yra klaida — kažkas gali juo pasinaudoti ir „ištuštinti" visus pinigus.

Smart contract yra programa. Programas rašo žmonės. O žmonės daro klaidas. Štai pagrindiniai pavojų tipai:

1. Bug (kodo klaida)

Bug — paprasčiausia ir dažniausia rizika

Bug — tai klaida programos kode. Kaip rašybos klaida diktante, tik čia klaida gali kainuoti milijonus.

Pavyzdys: 2023 m. Euler Finance prarado $197M dėl vienos klaidos vienoje funkcijoje. Viena eilutė kodo — ir visas protokolas buvo ištuštintas.

Kaip apsisaugoti: naudok tik tuos protokolus, kuriuos patikrino nepriklausomi ekspertai (auditoriai) ir kurie veikia jau seniai be problemų.

2. Reentrancy ataka

Reentrancy — apgaulė su pasikartojančiu veiksmų

Įsivaizduok bankomatą, kuris pirmiausia išduoda pinigus, o tik paskui patikrina, kiek liko sąskaitoje. Jei tarp šių dviejų veiksmų gali pakartoti išėmimą — gali ištuštinti bankomatą.

Reentrancy veikia panašiai — programa iškviečiama vėl ir vėl, kol nespėja atnaujinti duomenų.

Pavyzdys: 2016 m. „The DAO" prarado $60M ETH. Tai buvo pirmas didelis DeFi incidentas.

Kaip apsisaugoti: šiuolaikiniai protokolai turi apsaugas nuo to. Bet visada tikrink, ar protokolas yra audituotas.

3. Oracle manipuliacija (kainų šaltinio apgaulė)

Oracle — kai kažkas suklastoja kainą

DeFi programos pačios nežino, kiek kainuoja SOL ar ETH. Jos naudoja orakulus (oracle) — išorinius kainų šaltinius. Tai kaip skelbimų lenta su kainomis. Jei kažkas pakeičia kainą lentoje — programa priima neteisingus sprendimus.

Pavyzdys: 2022 m. vienas žmogus suklastojo kainą Mango Markets (Solana) ir pasiskolino $114M — daugiau nei jam priklausė.

Kaip apsisaugoti: patikimi orakulai (Chainlink, Pyth) naudoja daug skirtingų kainų šaltinių. Juos sunku apgauti.

4. Flash loan ataka (momentinė paskola)

Flash loan — ataka be jokio pradinio kapitalo

Įsivaizduok, kad gali pasiskolinti milijonus dolerių be jokio užstato — su sąlyga, kad grąžinsi per kelias sekundes. Tai flash loan — legali DeFi funkcija.

Bet hakeriai ją naudoja kaip įrankį: pasiskolina milžinišką sumą → manipuliuoja kainą → pasiima pelną → grąžina paskolą. Visa tai vyksta per kelias sekundes.

Pavyzdžiai: Cream Finance ($130M), Pancake Bunny ($45M), Harvest Finance ($34M) — visi nukentėjo nuo flash loan atakų.

Kaip apsisaugoti: geri protokolai turi apsaugas. Bet tai sudėtinga problema.

5. Upgrade rizika (kai programa gali keistis)

Upgrade rizika — kai taisyklės gali pasikeisti

Dauguma DeFi programų gali būti atnaujintos (pakeistas jų kodas). Tai naudinga klaidų taisymui. Bet jei kas nors perimtų kontrolę — galėtų pakeisti programą ir pavogti visus pinigus.

Kaip apsisaugoti: tikrink, ar protokolas turi timelock (delsą prieš pakeitimą) ir multi-sig (kelių žmonių patvirtinimą). Tai reiškia, kad vienas žmogus negali pakeisti programos pats.

Protokolų saugumo vertinimas

Ne visi protokolai yra vienodai saugūs. Štai vizualinis mūsų strategijos protokolų žemėlapis — pagal saugumą (audit'ai + amžius) ir likvidumą (TVL + exit lengvumas):

Protokolų rizikos matrica

Spalvos (grandinė)

solana

ethereum

CEX (centralizuota)

Bridge (tiltas)

Burbulo dydis

= TVL dydis

Aukščiau — kiekvienas protokolas kaip burbulas. Dydis = TVL (bendras užrakintas turtas). Spalva = grandinė. Idealus kvadrantas yra viršuje-dešinėje (saugu + likvidu) — ten yra Aave ir Uniswap. Pavojinga zona — apačioje-dešinėje (likvidu, bet nesaugu) — čia dažnai būna nauji, hype'iniai protokolai.

Mūsų strategijos protokolai

Protokolas	Tinklas	Ar patikrintas?	Nuo kada veikia	Rizikos žymės
Aave	ETH	Daug auditų	Nuo 2020 m.	✅ AUDITAS
Uniswap V3	ETH	Daug auditų	Nuo 2021 m.	✅ AUDITAS
Orca	SOL	Keletas auditų	Nuo 2021 m.	✅ AUDITAS
Kamino	SOL	Daug auditų, solidus TVL	Nuo 2022 m.	✅ AUDITAS
Deribit	CEX	Centralizuota birža	Nuo 2016 m.	⚠️ CEX
Meteora	SOL	Audituotas, bet naujesnis	Nuo 2022 m.	⚠️ NAUJAS ⚠️ SC RIZIKA
Uniswap V4	ETH	Naujas, dar nepakankamai testuotas	Nuo 2024 m.	⚠️ NAUJAS ⚠️ SC RIZIKA

Ką reiškia rizikos žymės?

Žymė	Ką reiškia	Kiek pavojinga
✅ AUDITAS	Daug patikrinimų, ilgai veikia be problemų	Mažai pavojinga
⚠️ NAUJAS	Naujas protokolas (mažiau nei 2 metų). Mažiau patikrintas laiku	Vidutiniškai pavojinga
⚠️ SC RIZIKA	Programos kodas sudėtingesnis nei vidutiniškai	Vidutiniškai-labai pavojinga
⚠️ CEX	Centralizuota birža — ne DeFi. Priklausai nuo kompanijos	Vidutiniškai pavojinga
⚠️ BRIDGE	Bridge (tiltas) tarp tinklų. Istoriškai labiausiai pažeidžiama dalis	Labai pavojinga

Didžiausi DeFi įsilaužimai istorijoje

Ši lentelė parodo, kokie dideli nuostoliai buvo realybėje:

Metai	Projektas	Nuostolis	Priežastis	Tipas
2022	Ronin Bridge (Axie)	$625M	Perimti tinklo valdytojai	Bridge
2021	Poly Network	$611M	Kodo klaida tarp tinklų	Bridge
2022	Wormhole Bridge	$326M	Parašo patvirtinimo klaida	Bridge
2022	Nomad Bridge	$190M	Programos inicializacijos klaida	Bridge
2023	Euler Finance	$197M	Kodo klaida vienoje funkcijoje	Lending
2023	Mixin Network	$200M	Duomenų bazės įsilaužimas	Infrastruktūra
2022	Mango Markets	$114M	Kainų manipuliacija	DEX/Lending
2021	Cream Finance	$130M	Flash loan + oracle ataka	Lending

Pastebėk tendenciją

Bridge protokolai (tiltai tarp tinklų) dominuoja didžiausių nuostolių sąraše. Bridge'ai jungia du skirtingus tinklus — tai labai sudėtinga techniškai ir todėl daugiausia pažeidžiama.

Mūsų strategijoje nenaudojame bridge'ų tiesiogiai. SOL pozicijos lieka Solana tinkle (Kamino, Orca). ETH pozicijos lieka Ethereum/Arbitrum tinkle (Aave). Tai sumažina riziką.

Bridge rizika — tiltai tarp tinklų

Bridge — kaip perkėla per upę

Įsivaizduok dvi salas (du tinklus). Kiekviena turi savo valiutą. Norėdamas perkelti pinigus iš vienos salos į kitą, naudoji perkėlą (bridge). Bet jei perkėla sugenda arba kas nors ją užgrobia — tavo pinigai dingsta upėje.

Bridge (tiltas) — tai protokolas, kuris perkelia turtą tarp skirtingų tinklų. Pvz., iš Ethereum į Solana.

Kodėl bridge yra pavojingas?

Sudėtingumas: turi veikti dviejuose skirtinguose tinkluose vienu metu
Lock-and-mint: originalūs tokenai užrakinami vienoje pusėje, sukuriami nauji kitoje. Jei originalai pavagiami — nauji tampa beverčiais
Mažai saugotojų: daugelis bridge'ų turi nedaug valdytojų (pvz., Ronin turėjo tik 9, iš kurių 5 buvo perimti)

Bridge taisyklė mūsų strategijoje

Niekada neperkelk didelės sumos per bridge viena operacija. Jei reikia perkelti $10,000:

Pirma perkelk $100 ir patikrink ar atkeliavo
Tada perkelk likusią sumą dalimis
Geriausia: laikyk SOL pozicijas Solana tinkle, ETH pozicijas Ethereum tinkle, ir nenaudok bridge

Rugpull — kai komanda pavagia pinigus

Rugpull — kaip apgaulinga parduotuvė

Įsivaizduok, kad atidaroma nauja parduotuvė. Ji siūlo neįtikėtinas nuolaidas. Žmonės suplūsta ir sumoka iš anksto. O rytojaus dieną parduotuvė dingsta su visais pinigais. Tai ir yra rugpull.

Rugpull — tai kai projekto komanda specialiai sukuria protokolą tam, kad surinktų investuotojų pinigus ir pasitrauktų.

Kaip atpažinti pavojingą projektą?

Anoniminė komanda

Jei komandos nariai nėra viešai žinomi — rizika didžiulė. Tikri projektai turi viešus kūrėjus su LinkedIn profiliais.

Anonimiškumas ne visada reiškia apgaulę (Bitcoin sukūrė anonimas). Bet mažuose projektuose tai didelis pavojaus ženklas.

Nepatikrintas smart contract

Jei programos kodas nebuvo patikrintas nepriklausomų ekspertų (auditorių) — niekas nežino, ar jis daro tai, ką žada. Gali turėti paslėptą backdoor — slaptą funkciją, kuri leidžia komandai pasiimti visus pinigus.

Neužrakintas likvidumas

Jei komanda gali bet kada atsiimti visus pinigus iš protokolo — gali tiesiog pasitraukti. Patikimi projektai UŽRAKINA likvidumą, kad patys negalėtų jo paimti.

Nerealūs pažadai

1000% APY, 'garantuota grąža', 'be rizikos' — tai klasikiniai apgavystės požymiai. DeFi nėra nieko garantuoto.

Jei skamba per gražiai — greičiausiai tai apgaulė.

Agresyvi reklama

Jei projektas daugiau investuoja į influencerius nei į saugumą ir kodą — tai labai blogas ženklas.

Nepublikuotas kodas

Jei programos kodas nėra viešai matomas Etherscan ar Solscan — negali matyti, ką ji daro. Tikri projektai visada publikuoja savo kodą.

Likvidacijos rizika — kai tavo užstatas parduodamas

Kai skoliniesi DeFi — tavo užstatas (collateral) gali būti automatiškai parduotas, jei jo vertė per daug nukrenta.

Likvidacija — kaip hipoteka

Įsivaizduok, kad paėmei paskolą bankui ir užstatei savo namą. Jei namo kaina labai nukristų — bankas gali priversti tave parduoti namą, kad padengtum skolą. DeFi tai vyksta automatiškai ir per kelias sekundes.

Kaip veikia likvidacija? Pavyzdys:

Deponuoji 126 SOL (kaina $88) = $11,088 užstato
Skoliniesi 4,704 USDC (tai 42% nuo užstato vertės — vadinamas LTV)
SOL kaina krenta iki $55 → tavo užstatas dabar vertas tik $6,930
LTV pakyla iki 68% — artėja prie pavojingos ribos (71%)
Jei LTV viršys 71% → programa automatiškai parduos dalį tavo SOL

LTV spalvų sistema platformoje

DeFi Risk OS platformoje LTV rodiklis rodomas su spalvomis:

Žalia (mažiau nei 40%): saugu, likvidacija toli
Geltona (40–55%): stebėk, bet dar gerai
Oranžinė (55–65%): pavojinga zona, reikia veikti
Raudona (daugiau nei 65%): kritinis lygis, skubi pagalba reikalinga

Mūsų strategija laiko LTV ties ~42% — tai saugus lygis.

Impermanent Loss — laikinas nuostolis LP pozicijose

Kai teiki likvidumą (Orca, Meteora), gali patirti impermanent loss (laikiną nuostolį).

Impermanent Loss — kaip mainai turguje

Įsivaizduok, kad turi 10 obuolių ir 10 kriaušių. Atiduodi juos turgaus prekeivio stalui. Jei obuolių kaina staiga pakyla dvigubai — tu būtum uždirbęs daugiau tiesiog laikydamas obuolius. Tas skirtumas tarp „ką turėtum jei nieko nedarytum" ir „ką turi dabar" yra impermanent loss.

Bet prekeivio stalai uždirba komisinių! Jei komisiniai padengia nuostolį — vis tiek esi pliuse.

Kodėl concentrated liquidity IL yra didesnis?

Mūsų strategijoje likvidumas teikiamas siauresniame kainų diapazone. Tai reiškia:

Daugiau komisinių (uždirbi daugiau iš mažesnio intervalo)
Didesnis impermanent loss (jei kaina išeina iš tavo diapazono)

Komisiniai vs nuostolis — balansas

Mūsų strategijoje LP poziciją uždirba ~48% per metus iš komisinių. Kad strategija atsipirktų, reikia bent 23% per metus. Dabar turime 2 kartus daugiau nei reikia — tai saugos buferis.

Opcionų rizika (Deribit)

Deribit yra centralizuota birža — ne DeFi. Tai reiškia kitokias rizikas.

Biržos rizikos

Birža gali žlugti — kaip nutiko su FTX 2022 m.
Gali būti uždrausta tam tikrose šalyse
Gali būti nelikvidi — sunku uždaryti poziciją, kai nėra pirkėjų
Counterparty rizika — jei Deribit neišmoka, negali nieko padaryti

Opcionų pozicijų rizikos

Pozicija	Didžiausia rizika	Blogiausias scenarijus
Long Put (pirkta apsauga)	Prarandama visą premija, jei kaina nepakankamai krenta	-$1,300 (visą sumokėta suma)
Short Put (parduota apsauga)	SOL kaina labai nukrenta — privalai pirkti brangiai	Didelė poziciją ties $60–65
Short Call (parduotas šūvis aukštyn)	SOL kaina labai pakyla — privalai parduoti pigiai	Parduodi SOL po $160 (nors jis vertas daugiau)

Kiek pinigų dėti į DeFi?

Svarbiausia taisyklė: niekada neinvestuok daugiau nei gali sau leisti prarasti.

Konservatyvus profilis (atsargus)

Tavo turtas	DeFi dalis	Maksimali suma
Mažiau nei $10,000	0–5%	$0–500
$10,000–$50,000	5–10%	$500–5,000
$50,000–$200,000	10–15%	$5,000–30,000
Daugiau nei $200,000	10–20%	$20,000–40,000

Vidutinis profilis

Tavo turtas	DeFi dalis	Maksimali suma
Mažiau nei $10,000	5–10%	$500–1,000
$10,000–$50,000	10–20%	$1,000–10,000
$50,000–$200,000	15–25%	$7,500–50,000
Daugiau nei $200,000	15–30%	$30,000–60,000

Agresyvus profilis (drąsus)

Tavo turtas	DeFi dalis	Maksimali suma
Mažiau nei $10,000	10–20%	$1,000–2,000
$10,000–$50,000	20–40%	$2,000–20,000
$50,000–$200,000	25–40%	$12,500–80,000
Daugiau nei $200,000	20–40%	$40,000–80,000

Auksinė taisyklė

Niekada neinvestuok pinigų, kurių tau reikia gyvenimui. DeFi nėra bankas su draudimu. Blogiausiu atveju — gali prarasti 100%. Jei tai pakeistų tavo gyvenimą — investuok mažiau arba visai neinvestuok.

Diversifikacija — nededk visų kiaušinių į vieną pintinę

Net DeFi viduje svarbu paskirstyti riziką:

Tinklų diversifikacija: naudok ir Solana, ir Ethereum — ne tik vieną
Protokolų diversifikacija: naudok kelis protokolus — Kamino + Orca + Deribit
Strategijų diversifikacija: naudok kelias strategijas — A + B
Laiko diversifikacija: neinvestuok visko vienu metu — skaldyk per kelias savaitės
Opcionų diversifikacija: turėk apsaugą (Put) šalia pelno pozicijų (Short Call)

Kaip DeFi Risk OS padeda valdyti rizikas

Mūsų platforma sukurta tam, kad padėtų matyti ir valdyti šias rizikas realiuoju laiku:

LTV indikatorius — rodo, kiek artimi esi likvidacijai (su spalvomis)
Delta indikatorius — rodo, kiek tavo portfelis priklauso nuo kainos pokyčio
Apsaugos procentas — rodo, kiek portfelio apsaugota opcionais
Perspėjimai — automatiškai praneša, kai kas nors negerai
Scenarijų analizė — rodo, kas nutiktų, jei kaina kristų -30% ar kiltų +50%
Breakeven kalkuliatorius — rodo minimalų pelną, kurį LP turi generuoti

Santrauka

Smart contract rizikos: kodo klaidos, reentrancy, kainų manipuliacija, flash loan, atnaujinimo rizika
Bridge protokolai (tiltai) yra pavojingiausi — venk jų kur įmanoma
Tikrink protokolų audito istoriją, amžių ir komandą
Rugpull požymiai: anonimas, neaudituota, nerealūs pažadai
Likvidacijos rizika valdoma palaikant žemą LTV (mūsų strategijoje ~42%)
Impermanent loss valdoma per aukštus komisinius
Investuok tik tiek, kiek gali sau leisti prarasti
DeFi Risk OS platformoje visi rizikos rodikliai matomi realiuoju laiku

Supranti DeFi rizikas? Dabar gali jas stebėti ir valdyti realiuoju laiku su DeFi Risk OS platforma.

Valdyk rizikas platformoje

Scam atpažinimas Token approval ir revoke

Pažymėti kaip perskaitytą