DeFireX - мой независимый аудит

[sapphire]

На конференции Blockchain Life 2020 я познакомился с проектом DeFireX, который представлен в соседней ветке. На мое удивление, это был единственный DeFi-проект на всей блокчейн-конференции, что на фоне всех фондов, роботорговцев и доверительных управлений естественно привлекло мое внимание.

 

В разговоре с представителями DeFireX я выяснил, что аудит их смарт-контрактов не производился. По словам представителей, в аудите нет необходимости, потому что большие люди с большими деньгами доверили им миллионы долларов, а они конечно же не дураки, поэтому, мол, можно смело тоже вкладывать. Для меня это было странно слышать от людей на блокчейн-конференции из проекта с DeFi в названии, ведь ключевая концепция и DeFi, и криптовалют, и блокчейна в целом - это система без доверия, т.е. отсутствие самой необходимости доверять какому-либо лицу. Мы договорились, что я самостоятельно произведу аудит их смарт-контрактов.

 

Я изучил смарт-контракты DeFireX, ключевых контрактов оказалось шесть. Вкратце:

1. DfDepositMarket принимает ваши депозиты в DAI и выдает вам токены dDai взамен.

2. DfWallet (прокси) является главным держателем всех средств, вложенных в Compound, доступ к нему имеет только контракт DfFinanceDeposits.

3. DfDepositToken (прокси) это контракт токена dDai, которые выдаются вам в учет вложенных DAI.

4. DDaiSwap обменивает ваши dDai обратно на DAI, когда вы выводите свой вклад.

5. DfTokenizedDeposit (прокси) начисляет вам USDT когда вы выводите прибыль.

6. DfFinanceDeposits (прокси) реализует саму схему с флешами на dYdX и фармингом COMP с Compound, денег не хранит.

 

Контракты DfWallet, DfDepositToken, DfTokenizedDeposit и DfFinanceDeposits работают через прокси-контракты, что позволяет их хозяину заменять их на новые.

DDaiSwap позволяет своему хозяину заменять контракт токена на новый.

 

Хозяин контрактов - 0xdAE0aca4B9B38199408ffaB32562Bf7B3B0495fE.

 

 

Результаты и выводы

 

1. Уязвимостей в контрактах я не нашёл.

 

2. Все вложенные средства полностью доверяются хозяевам DeFireX. Контракты позволяют им сделать с этими средствами всё, что им заблагорассудится.

 

То есть, схема с компаундом действительно реализована и приносит ту прибыль, о которой они говорят. Но вкладывая деньги в DeFireX вы по сути полностью доверяете их хозяевам DeFireX.

 

Представители DeFireX на конференции также утверждали, что безопасность ваших вкладов гарантируется юридическими обязательствами их компании. По юридической части я не специалист, эту часть оставлю без комментариев. Также они сказали, что сейчас в разработке новая версия их контрактов. Дата релиза неизвестна.

 

На мой взгляд, экосистема DeFi создана для того, чтобы избавить её участников от необходимости в юридической системе и доверии каким-либо лицам. Проект DeFireX в эту экосистему пока не вписывается от слова совсем и является скорее формой доверительного управления, только с прозрачностью. Пользуйтесь на свой страх и риск.

[DefiUser]

Цитата

Все вложенные средства полностью доверяются хозяевам DeFireX. Контракты позволяют им сделать с этими средствами всё, что им заблагорассудится.

А пруфы ? Обновления всех ключевых контрактов под таймлоком и мультисигом, и овнер там контракт, а не человек.

Таймлок не позволит нам вывести средства моментально, по сути мы всех предупреждаем об этом через контракт заранее. На SushiSwap примерно так же было(только там было обновление мигратора сделано по такой же схеме).

Обновляемые контракты были сделаны не просто так, в протоколе Compound тоже есть обновляемые контракты. Теоретически протокол компаунда может измениться так, что деньги окажутся заморожены на контрактах навсегда, поэтому нам и нужна возможность обновления.

И 0xdAE0aca4B9B38199408ffaB32562Bf7B3B0495fE не тот овнер, этот овнер депозиты пользователей не сможет вывести и вообще мало что может. Вот тот кто может обновлять контракты 0x8436065e27824f95df659b63f66f3f9790633fd9

 

 

Цитата

DfWallet (прокси)

 

И этот контракт не является обновляемым, это Minimal Proxy

https://eips.ethereum.org/EIPS/eip-1167

 

Цитата

В разговоре с представителями DeFireX я выяснил, что аудит их смарт-контрактов не производился. По словам представителей, в аудите нет необходимости, потому что большие люди с большими деньгами доверили им миллионы долларов, а они конечно же не дураки, поэтому, мол, можно смело тоже вкладывать.

Непонятно кто такое мог сказать, у нас было написано и мы говорили, что на данный момент аудит проводился Garantex-ом + мы ведём переговоры с OpenZeppelin, MixBytes, TrailOfBits, PeckShield, Diligence Consensys и некоторыми другими