Не играйте со своими активами: анализ DeFi-страхования

OpenCover — это независимый информационный портал, запущенный в третьем квартале 2022 года для сбора и предоставления объективных данных о DeFi-страховании (покрытии). 

После 2022 года, наполненного скамом и мошенничеством, многие пользователи перешли на децентрализованные приложения. Аналитики до сих пор называют главными их недостатками сложность использования и маленькую скорость транзакций, часто опуская информацию о многочисленных уязвимостях и похищенных средствах ($3 млрд за 2022 год). Но, несмотря на усилия разработчиков, им не удается полностью обезопасить приложения.

Так как традиционные страховые компании не спешат заходить на криптовалютный рынок из-за юридических и технических нюансов, децентрализованные решения становятся основным вариантом для защиты капитала в DeFi-пространстве. Особенно это важно для институциональных инвестиций, привыкших к определенным гарантиям и принципам безопасности.

Согласно DeFiLlama, за все время пользователи децентрализованных приложений потеряли $6,5 млрд вследствие эксплойтов (вредоносного кода), которые делятся на несколько типов: логика работы протокола (уязвимости), инфраструктура (атака на технологии), экосистема (обман оракулов), язык смарт-контракта (ошибки), мошенничество (экзит-скам).

Может показаться, что наибольшие убытки отрасли приходятся на мошенничество, но нет. Основная часть украденных денег приходится на эксплойт логики работы протокола и инфраструктуры. Из этих двух классификаций выделяют главные направления, называемые векторами атаки: компрометация закрытого ключа, взлом контроля доступа, ошибка верификации доказательств, подделка подписи и т.д.

Наибольший ущерб приходится на утечки закрытого ключа (более $2 млрд). Чаще всего они происходят из-за целенаправленного фишинга, а сам вектор атаки используется против межсетевых мостов, поскольку там он самый эффективный. К сожалению, страховые компании сейчас не покрывают средства, утерянные в ходе личной невнимательности, но это вряд ли негативно скажется на желании людей защитить свои активы. 

Важно отметить, что, помимо технических, остаются еще и экономические риски, даже при оптимальной работе протоколов. Например, потерявший привязку UST упал практически до нуля при правильной работе механизма. Общий ущерб оценивался в $17 млрд, но те, кто успел застраховаться, получили выплаты на $22,5 млн.

Все протоколы проходят оценку экспертов на основе характеристик TVL (общая заблокированная стоимость), публичности команды, открытости кода, частоты аудитов и ранее обнаруженных проблем.

Цены тоже формируются очень сложно, поскольку нет точной формулы, как сделать их оптимальными, учитывая все риски и полное отсутствие исторических данных. Фактически все платформы — первопроходцы в этом направлении. Каждый поставщик имеет множество предложений, отличающихся с точки зрения условий, цен и исключений. Но среди них можно выделить восемь главных видов покрытий:

Считается основным, поскольку защищает от потерь при взаимодействии с DeFi, а именно: эксплойтов, ошибок смарт-контракта, управленческих манипуляций или просто сбоев.

Помогает получить страховку от падения цены обеспеченных токенов (USDT, DAI, USDC). У каждой компании существует свой механизм для определения того, что именно считать потерей привязки.

Защищает от убытков, вызванных депривязкой токенов к заданной рыночной стоимости. Это похоже на защиту токенизированных активов и имеет такие же специфические требования для одобрения компенсации.

Это страхование криптовалюты, хранящейся на централизованных площадках и потерянной вследствие кражи, взлома или запрета на снятие средств. Это не связано с DeFi, но ниша остается свободной, поскольку многие традиционные компании отстраняются от этого. Это стало актуально после краха FTX, где около $9 млрд застряли на бирже. Пострадавшим пользователям с данным покрытием выплатили примерно $4,8 млн.

Имеют высокий спрос и должны защищать токены при их обмене через мосты, но сейчас они недоступны на всех основных платформах.

Это направление создано непосредственно для разработчиков, чтобы обезопасить протокол от уязвимостей, упущенных во время аудитов. Для таких DeFi-приложений не понадобятся личные страховки, поскольку создатели уже взяли на себя эти расходы.

Защищает от рутинных штрафов (слешинг), которые накладываются на валидаторов в PoS-блокчейнах при нарушении правил консенсуса. Причиной может стать неправильная конфигурация узлов, наличие ошибок в программном обеспечении или просто перебои в сети. 

Это самое уникальная страховка из всех, позволяющая адаптировать себя под любые специфические операции в децентрализованных приложениях, благодаря чему каждый может получить свою локальную защиту.

На данный момент существует не менее 23 активных поставщиков, имеющих работающее приложение. Они отличаются оценкой претензий, типом покрытий и правилами инициирования претензий, а централизованные провайдеры берут на себя роль регуляторов, например для прохождения KYC.

Nexus Mutual запустился одним из первых в 2017 году. Он имеет доминирующее положение на рынке, но альтернативы достаточно: InsurAce, Chainproof, Unslashed Finance и т.д.

Анализ кошельков показывает, что в 2022 году покупатели Nexus Mutual страховали свои активы на сумму от $10 000 до $1 млн (более 90% всех покрытий). А вот на других платформах, где доступны блокчейны BSC и Polygon, 50% покупок относятся к диапазону ниже $10 000, что указывает на разносторонность пользователей. И хотя невозможно точно определить, кому принадлежат кошельки, можно получить общее представление о покупателях: разработчики протоколов, участники DAO, а также маркетмейкеры, хедж-фонды или просто состоятельные люди.

Существует несколько вариантов определения обоснованности претензий: голосование сообщества (DAO), параметрический (выполнение условий), оптимистический оракул (комбинация первого и второго метода), экспертная комиссия или гибрид (может состоять из множества методов). Самый лучший и быстрый из них — это оптимистичный оракул, потому что при нем претензия автоматически подтверждается, если за короткий период времени сообщество не выразило возражение. А чтобы предотвратить злоупотребление, введены штрафы за неправомерное оспаривание.

Обычной страховой фонд состоит из платы за покупки и институциональных инвестиций, когда инвесторы предоставляют капитал в обмен на долю дохода, хоть и с риском чистого убытка. Каждый провайдер хранит средства фонда свободно и в различных криптовалютах, стейблкоинах, но общая сумма всегда должна быть больше, чем размер пула капитала. Примерное соотношение у всех платформ — 1,07:1.

Предыдущий год стал рекордным по выплатам из-за депривязки UST и банкротства FTX ($22,5 и $4,7 млн соответственно), достигнув суммы почти в $37 млн за все время. И хотя DeFi-страхование не смогло масштабироваться на бычьем рынке, сейчас для этого имеется намного больше возможностей. Ибо при низких ценах люди больше стремятся использовать криптовалюту для заработка, а не просто сохранять ее на холодном кошельке в ожидании роста. Это может стимулировать более активное развитие, но в конечном итоге DeFi-покрытию еще предстоит решить проблему оценки и распределения рисков.