DeFi bekijkt beveiligingsalternatieven na verminderd vertrouwen

De aanvallen tegen de populaire gedecentraliseerde financiële protocollen (DeFi-protocollen) worden steeds complexer. DeFi is een beweging binnen de cryptomarkt die pleit voor het omzetten van traditionele financiële producten (zoals de euro) in gedecentraliseerde cryptocurrency waarbij er geen centrale bank of instantie is die al het geld beheert en er geen tussenpersoon is bij transacties. Veel handelaren op de cryptomarkt zijn aanhangers van deze beweging. Echter, door de toenemende complexiteit van de aanvallen op DeFi-protocollen is de doeltreffendheid van de audits van grote beveiligingsbedrijven eens goed onder de loep genomen. Sommige leden van de DeFi-gemeenschap zijn al begonnen met het bouwen van alternatieven op eigen bodem, om op deze manier de beveiliging te verbeteren.

Wat is een audit?

Er wordt huidig dus veel kritiek geleverd op de audits zoals die beschreven zijn in de DeFi-protocollen. Maar wat zijn audits nu eigenlijk? Een audit is een systematische periodieke controle die wordt verricht door een auditor. Deze auditor onderzoekt op basis van bijvoorbeeld vragenlijsten of checklists of de stand van zaken op de cryptomarkt overeenkomst met de gewenste gang van zaken. Met behulp van dit onderdeel van de DeFi-protocollen kunnen eventuele structurele afwijkingen bepaald worden. Van deze afwijkingen kan vervolgens ook de ernst worden bepaald. Al deze gegevens worden doorgestuurd naar degene die de opdracht heeft gegeven om de audit uit te voeren. Vaak is dit het management of het team achter een DeFi-project. Aan de hand van deze gegevens kunnen de opdrachtgevers verdere stappen ondernemen.

Veiligheid niet gegarandeerd

De verschillende DeFi-projecten maken dus gebruik van audits om op tijd onregelmatigheden te ontdekken. Echter, toch is het de afgelopen tijd diverse malen voorgekomen dat hackers alsnog door deze controle barrière heen zijn gekomen. Zo sprak een medeoprichter van DeFi Italy: ‘’Ik denk dat we nu, na alle hacks die we hebben gehad, in wezen begrijpen dat als je twee of drie audits hebt dat je nog niet veilig bent. Dit betekent niet dat audits op dit moment geen waarde hebben, maar het zijn geen zilveren kogels.’’

Na deze uitspraak heeft deze medeoprichter, genaamd Emiliano Bonassi, ervoor gekozen om ReviewsDAO op te zetten. ReviewsDAO is en eenvoudig forum om beveiligingsexperts en projecten met elkaar in contact te brengen die op zoek zijn naar een extra stel ogen. In de drie dagen sinds de lancering heeft ReviewsDAO al vier vrijwillige recensenten aangetrokken (waaronder Bonassi) en heeft het twee recensenten gekoppeld aan een project. Er zijn nog ander aanbieders met gelijksoortige platformen en diensten als ReviewsDAO. Voorbeelden hiervan zijn bijvoorbeeld Code423n4 en Immunefi.

De eerste reacties

ReviewsDAO is dus een redelijk nieuwe dienst op de cryptomarkt. De eerste resultaten van de geleverde inspanning door recensenten zijn echter veelbelovend. Dekking/verzekeringsprotocol Cover was het eerste project dat via ReviewsDAO met een recensent werd gematcht. De kernontwikkelaar voor Cover, genaamd Pumpkin, deed een verslag van de ervaringen met ReviewsDAO. ‘’Het was geweldig. Ik was een van de weinigen met wie Emiliano het idee deelde vlak voor de release. Ik vond het meteen geweldig, want het is wat ik zocht (om externe codebeoordelingen gemakkelijker en sneller te krijgen [..] Ik weet niet zeker wat er uit de recensie zal komen, maar het forum werkt zeker goed.’’

Geen nieuwe cryptocurrency

Hoewel er op de cryptomarkt voldoende behoefte is voor het ontstaan van een ReviewsDAO token is Bonassi niet van plan om deze op de markt te introduceren. Hij vindt dat initiatieven zoals deze gemeenschapsgoederen moeten zijn. Desalniettemin hebben zelfs openbare goederen vaak overheidsfinanciering en is het een open vraag of ontwikkelaars bereid zijn om tijd te doneren voor geen andere beloning dan herkenning. De ontwikkelaars, die vervolgens onder andere recensenten worden, zullen zonder vergoeding wellicht het werk niet zorgvuldig uitvoeren. Maar als partijen zelf de recensenten betalen kunnen zij wellicht partijdige reviews gaan geven. Om dit te voorkomen zal een overheidssubsidie een uitkomst kunnen bieden. Echter, dit is iets waar Bonassi zich op het moment nog niet mee bezig houdt.