Risques DeFi et sécurité du protocole avec Tarun Chitra de Gauntlet Network

Dans l’interview de cette semaine avec Alex Fazel de Cryptonites, chaîne ludo-éducative, Tarun Chitra discute de la différence entre la preuve de participation (PoS) et la preuve de travail (PoW), les protocoles de couche un et les risques liés aux outils de blockchain.

Chitra est PDG de Gauntlet Network, la plateforme de modélisation et de simulation financière pour les blockchains, qu’il a co-fondée avec Rei Chiang en 2018.

Au cours des sept dernières années, il a travaillé sur la R&D basée sur la simulation à l’intersection du calcul haute performance et de l’IA. Ses recherches incluent certains des premiers articles universitaires examinant les propriétés de sécurité économique des protocoles DeFi, tels que Uniswap et Compound.

Au début, Gauntlet s’est concentré sur la mesure du risque financier des réseaux PoS, mais à la mi-2019, lorsque Uniswap a atteint un TVL de 10 millions de dollars, Chitra et son co-fondateur ont décidé de réorienter leur attention. Selon lui, c’est à ce moment-là que l’équipe a abandonné l’analyse PoS et est passée à 100% à la mesure du risque dans DeFi.

Il s’agit d’un épisode à ne pas manquer, qui fournit des informations précieuses sur la façon dont les modèles de comportement des utilisateurs et les simulations de scénarios extrêmes permettent d’évaluer la sécurité du protocole.

Voici quelques citations intéressantes de l’interview qui ont abordé plus d’un sujet captivant, abordant la puissance de hachage, l’exploitation minière de Bitcoin et les attaques de contrats intelligents.

Différences dans les modèles de sécurité entre PoW et PoS

« Si je veux prendre le relais, disons une chaîne PoW, comme Bitcoin, je dois en fait amasser 51% de puissance de hachage, et cela signifie que je dois soit acheter/dépenser autant d’énergie, soit emprunter de la puissance de hachage à des pools miniers et les faire se mettre d’accord sur ma fourchette d’attaque. D’un autre côté, dans PoS, quelqu’un pourrait simplement emprunter l’actif lui-même et ensuite pouvoir l’utiliser pour s’occuper du réseau.

«Dans un certain sens, dans les actifs PoW, il existe une séparation entre l’actif qui est réellement négocié et les actifs ou la ressource qui sont verrouillés pour générer la devise. Ainsi, PoW bloque vraiment le pouvoir, ou l’énergie, afin de générer du Bitcoin ou de l’Ethereum, alors que, dans le PoS, c’est l’actif lui-même, ce qui est beaucoup plus facile d’imaginer que les gens trouvent le moyen de créer un marché d’emprunt ou des produits dérivés. marché qui permet à quelqu’un de faire certaines de ces attaques malveillantes.

« Dans l’ensemble, la principale chose que nous faisons est que nous avons construit ce moteur de simulation, un peu comme pour simuler tous ces différents types d’attaques et différents types de scénarios de cas extrêmes afin que nous puissions intégrer de nouvelles données de marché, Recueillez les nouvelles données des emprunteurs, récupérez les nouvelles données en chaîne, exécutez cette simulation et faites des prédictions sur le degré de sécurité ou de danger de certains protocoles et s’ils doivent changer les choses. »

Deux catégories de risques DeFi

« Une chose pour commencer est que nous devrions diviser les risques DeFi en, en quelque sorte, deux catégories. La première catégorie est le risque de contrat intelligent pur, c’est-à-dire, vous savez, un plus un est censé être égal à deux, mais quelqu’un a trouvé un moyen d’appeler une fonction, comme add, telle que un plus un égale cinq – et c’est en quelque sorte , juste un bug dans l’exécution du contrat, pas un bug dans l’utilisation.

« D’un autre côté, il y a le risque financier, et c’est ce sur quoi nous nous concentrons, qui dépend de l’utilisation du protocole. Ainsi, le protocole, le code, peuvent être parfaitement corrects, mais dans certaines conditions de marché, le comportement de l’utilisateur provoquera des tirages au sort. Beaucoup de tirages de tapis ne sont pas en fait quelque chose qui ne va pas avec le code. »

« La façon dont nous évaluons les risques est que nous recueillons chaque jour de nouvelles données provenant d’échanges centralisés, de sources en chaîne, puis nous essayons essentiellement de dire quels types d’utilisateurs voyons-nous et d’adapter un modèle à leur comportement, et puis nous disons aussi quels types d’utilisateurs ne voyons-nous pas, qui sont en quelque sorte orthogonaux au comportement réel, qui sont peut-être plus malveillants, peut-être plus, à certains égards, utilisent le protocole différemment, puis nous exécutons des simulations comme si c’était un jeu. »

« Il n’y a pas de hiérarchie claire entre la sécurité, je pense, dans ces systèmes, en raison de la composabilité. Parce que vous pouvez utiliser un protocole dans un autre protocole et que cela mélange maintenant leur risque, ce n’est pas totalement – vous ne pouvez pas le segmenter proprement. Mais c’est la beauté de ces systèmes. Parce qu’ils sont composables, vous pouvez réellement faire ces choses et examiner le risque, mais vous ne pouvez pas vraiment fractionner, vraiment discrétiser le risque en – c’est le plus sûr par rapport à ce qui n’est pas sûr.