Chyba nie ma ani jednej osoby, która jest w krypto dłużej niż tydzień, i nie słyszała o milionach wykradzionych ze smart contractów DeFi. Tego typu ryzyk musi być świadom każdy korzystający z usług zdecentralizowanych finansów. Dzisiaj sobie porozmawiamy o ubezpieczeniach na wypadek wpadek protokołów DeFi.

Słowo wstępne

Błędy w smart contractach czy nieuczciwe intencje ich twórców są dobrze znanym problemem od zarania dziejów. Jeszcze zanim zaczęły powstawać projekty DeFi, był to poważny problem. Problem, który przyczynił się w 2016 roku do podziału sieci Ethereum na to co dzisiaj nazywamy Ethereum oraz Ethereum Classic.

Przyczyną tego stanu rzeczy był błąd w smart contractach projektu The DAO. Na tamte czasy (połowa 2016 roku) było to największych i najgorętszy temat w społeczności Ethereum. Dość powiedzieć, że zainwestowano w niego 40 procent znajdującego się wówczas w obiegu Etheru. 

Miała być to zarządzana przez smart contracty autonomiczna organizacja, która z jednej strony przyjmowała kapitał od swoich członków, a z drugiej miała umożliwiać im jego wspólne inwestowanie. Niestety w kodzie smart contractu znalazł się błąd. Umożliwiał on atakującemu wyprowadzanie środków. Ogromna rzesza ludzi traciła wtedy swoje niemałe pieniądze. Nikt nie lubi tego uczucia. Dyskutowano co by tutaj zrobić. Finalnie społeczność zdecydowała się zrobić hard forka, w którym cofnięto atak na The DAO.

Dzisiaj raczej społeczność nie zdecyduje się na takie kroki. Nie znajdzie się wystarczający konsensus, aby taki hard fork stał się dominując. Tymczasem cały czas mamy do czynienia z atakami na smart contracty. W których czasem wykradane są dziesiątki czy nawet setki milionów dolarów. Jak się zabezpieczyć przed takimi ryzykami?

Tradycyjne firmy ubezpieczeniowe raczej nie oferują tego typu produktów w swojej ofercie. Nic dziwnego, trudno w dłuższej perspektywie skalkulować ryzyko i wyliczyć odpowiednie składki. Jednak problem bezpieczeństwa DeFi jest na tyle poważny, że oddolnie, w świecie kryptowalutowym, zaczęły powstawać rozwiązania oferujące tego typu ubezpieczenia.
Oczywiście poszczególne produkty różnią się od siebie, jednak najczęściej mają one charakter otwartych systemów wzajemnej samopomocy. Mamy w nich co najmniej dwa rodzaje dobrowolnych uczestników:

• Osoby chcące wykupić polisę
• Kapitał, które te polisy finansuje

Pierwsze rola jest dość jasna. Wrzuciłem swój kapitał gdzieś w DeFi i chce się zabezpieczyć przed skutkami błędów w smart contractach. I jestem w stanie zapłacić za to jakiś procent wartości mojego kapitału.

I teraz w momencie ataku na smart contract i uznania roszczenia za zasadne potrzebujemy skądś kapitał, z którego wypłacimy odszkodowania poszkodowanym. I tutaj pojawia się właśnie druga strona równania. Osoby posiadające kapitał, które chcą na nim zarobić. Zamrażają one go w protokole, by otrzymać w zamian naszą składkę.  Czyli defacto zawierają oni tutaj zakład, że nie trzeba będzie wypłacać odszkodowań. Jeśli go wygrają, to zarobią składkę (premium) opłacane przez ubezpieczonych. Jeśli jednak polisy trzeba będzie wypłacić, to stracą, przynajmniej część, swojego kapitału. Często ich dodatkowym kanałem przychodów, są tokeny danego protokołu ubezpieczeniowego.

Okej, to teraz bardzo ważne pytanie. Kto decyduje o tym, czy należy wypłacić odszkodowanie, czy też nie? Zazwyczaj protokoły mają specjalne moduły, do przyjmowania roszczeń o wypłaty polisy (claim) i następnie oceniania jego zasadności. Zdarza się, że protokoły mają zespoły eksperckie, które publikują swoje stanowisko czy w tym przypadku powinno się wypłacić odszkodowanie i dlaczego. W oparciu o warunki ubezpieczenia oraz posiadane dane o rozpatrywanym incydencie. Jednak zazwyczaj finalna decyzja nie będzie należałą do nich, a do społeczności. I tutaj mamy sprzeczne interesy. Jeśli ja jestem ubezpieczony, to chce wypłaty odszkodowania. Nawet jeśli nie do końca mi się ono należy (to co się stało nie było przedmiotem ubezpieczenia). Z drugiej strony jak umieściłem kapitał do wypłaty odszkodowań, to za wszelką cenę nie chcę go stracić. Jak rozstrzygnąć taki konflikt interesów?

Zazwyczaj odbywa się to poprzez zaproszenie do roztrzygania sporu nie tylko zainteresowanych stron. Ale wszystkich uczestników danego ubezpieczeniowego ekosystemu. Tutaj zazwyczaj rolę będzie odkrywał token protokołu, który będzie dawał prawo głosu w rozstrzyganiu takiego sporu. A oprócz bezpośrednio zainteresowanych będą też inne grupy, którym zależy na tym, aby rozstrzygnięcie było sprawiedliwe:

• Osoby, które wykupiły polisy dla innych protokołów. Nie chcę one przyznać odszkodowania, które się nie należy, bo to sprawi, że kapitał finansujący ich ubezpieczenia poczuje się zagrożony. 
• Kapitał, który finansuje inne ubezpieczenia. Nie chcą oni, aby nie przyznano słusznego ubezpieczenia, bo to zniechęca nowych ubezpieczających i nie będą mieć możliwości zarobku na swoim kapitale
• Możliwe jest też, że część składki trafia do stakujących token protokołu ubezpieczeniowego. Im również zależy na sprawiedliwym rozstrzyganiu wypłat, aby projekt przyciągał jak największy kapitał i generował im jak największy zysk.

Zanim przejdziemy do omówienia kilku tego typu rozwiązań, to powiedzmy sobie jeszcze jedna ważną rzecz. Często w przypadku skutecznych ataków hakerski, poszkodowane protokoły DeFi same organizują program pokrycia szkód dla poszkodowanych. Przekazując im swoje tokeny czy część z wypracowanych (już bądź w przyszłości) zysków. Oczywiście nie zawsze jest taka wola (i możliwość), ale dzieje się to stosunkowo często.

A teraz przejdźmy do krótkiej prezentacji kilku miejsc, w których możemy ubezpieczyć nasz kapitał umieszczony w projektach DeFi. 

Nexus Mutual

Pionier rynku polis w świecie DeFi. I jego niekwestionowany lider. Z jego ochrony korzysta kapitał o wartości ponad 400 milionów dolarów. Sam projekt jest zarejestrowanym w Wielkiej Brytanii jako towarzystwo ubezpieczeń wzajemnych (ang. mutual). Aby w jakikolwiek sposób z niego korzystać, należy zostać członkiem towarzystwa. Aby nim zostać, należy nabyć pewną ilość tokenów protokołu (NXM) oraz przejść proces KYC (co nie każdemu musi się podobać).

Wspomniany token NXM jest bardzo ważnym elementem ekosystemu. Szczególnie w kontekście rozpatrywania roszczeń ubezpieczonych. Przebiega to w następujący sposób:

1. Posiadający wykupioną polisę zgłasza swoją szkodę (claim). Wiąże się to z wykorzystaniem tokenów NXM
2. Następnie strata jest rozpatrywana przez specjalny komitet (Claim Assessors). Do tego komitetu może należeć każdy członek towarzystwa, który zastakuje swoje tokeny NXM. Od ilość tokenów zależy waga głosu podczas rozpatrywania szkód. Za poprawne wykonywanie tej pracy, członkowie komitetu wynagradzani są tokenami NXM. Jednak za próbę dokonywania szkodliwych działań mogą utracić swoje zastakowane tokeny.
3. Jeśli komitetowi uda się zebrać kworum (w rozpatrywanie szkody będzie zaangażowana co najmniej minimalna wymagana ilość tokenów NXM), to jego werdykt jest ostateczny. Jeśli kworum nie zostanie zebrane, to sprawa jest przedstawiana do rozpatrzenia przez wszystkich członków towarzystwa. Ich decyzja jest ostateczna, o ile uda się zebrać kworum. Jest kworum nie zostanie zebrane, to szkoda jest uznawana za odrzuconę. I nie ma od tego odwołania.

Nexus Mutual oferuje swoje polisy dla dziesiątków różnych rozwiązań i produktów kryptowalutowych. Można je pogrupować w trzy główne kategorie: tokeny przynoszące zyski, protokoły (DeFi) oraz usługi custodialne (ktoś przechowuje Twoje krypto, a Ty ubezpieczasz się na wypadek, gdyby coś poszło z tym nie tak. 

Szczegóły ofery oraz działania protokołu znajdziesz na stronie app.nexusmutual.io

InsurAce

Kolejne rozwiązanie ubezpieczeniowe to InsurAce. Projekt ten wystawił polisy na pozycje o wartości ponad 200 milionów dolarów. A w jego ofercie znajduje się szeroki wachlarz projektów. Wyróżnikiem InsurAce jest podejście multi chain. Na chwilę obecną obsługują oni projekty z 16 różnych publicznych sieci blockchain.

Pochylmy się chwilę nad procesem rozpatrywania szkód:

1. Poszkodowany zgłasza swoją szkodę. Ważne jest to, że musimy być naprawdę ofiarą zdarzenia. Nie wystarczy, że mamy wykupioną polisę i stało się wydarzenie podlegające warunkom ubezpieczenia. My jeszcze musimy być bezpośrednio poszkodowani przez to zdarzenie. 
2. Następnie odbywa się weryfikacja formalna dokonywana przez Advisory Board. Tak naprawdę w jej skład wchodzą członkowie zespołu i zaproszone przez nie osoby. Można powiedzieć, że są to krewni i znajomi królika. Sprawdzają oni głownie dwie rzeczy: czy zgłaszający był ofiarą opisywanego zdarzenia oraz czy nie było już trzech odrzuconych zgłoszeń odnośnie tego zdarzenia (wtedy kolejne zgłoszenia są automatycznie odrzucane na tym etapie)
3. Jeśli weryfikacja formalna zostanie zakończona pozytywnie, to sprawa trafia do przegłosowania przez Claim Assessors. Są to osoby, które zastakowały swój token INSUR, i wzamian za to, mogą brać udział w procesie rozpatrywania szkód. Jeśli robią to dobrze, to są wynagradzani dodatkowymi tokenami. Po tym etapie możliwe są dwie opcje. Jeśli udało się zebrać kworum, to przechodzimy do kolejnego punktu. Jeśli nie, to sprawa wraca do Advisory Board i oni podejmują wiążącą i ostateczną decyzję w tej sprawie.
4. Jeśli w punkcie 3 zebrano kworum i zapadła decyzja, to teraz trwa okres podważania tej decyzji. Trwa on 24 godziny, podczas których każdy może zakwestionować decyzję kworum, uiszczając przy tym opłatę w wysokości 1 procent wartości potencjalnej wypłaty.  Gdy taka sytuacja będzie miała miejsce, to decyzje w sprawie przyjęcia bądź odrzucenia skargi podejme Advisory Board.

Widzimy więc, że cały proces jest bardzo zależny od kilku osób zasiadających w Advisory Board. Wystarczy zapłacić 1 procent wartości spornej kwoty, aby proces był w całości zależny od tych paru osób. Mi osobiście nie przypadło to do gustu.

Szczegółowe warunki działania protokołu oraz aktualną ofertę polis znajdziesz na stronie https://www.insurace.io/

Unslashed 

Kolejny protokołem ubezpieczeniowym jest Unslashed, oparte o ich token USF. 

Wyróżnikiem tego rozwiązania jest ich model płatności za ubezpieczenie. Nie wykupujesz i nie płacisz z góry za określony czas polis, tylko korzystasz z niego na bieżąco. Płacisz składę, póki potrzebujesz. Przestajesz potrzebować, to przestajesz płacić. 

Innym wyróżnikiem tego rozwiązania jest wykorzystywanie i integracja z innymi protokołami DeFi. Unslashed wykorzystuje bowiem Enzyme Finance do zarządzania powierzonymi assetami oraz Kleros do rozstrzygania zasadności wypłaty szkód.

Zacznijmy od Enzyme i zarządzania assetami. Unslashed działa podobnie jak inne projekty z tego nurtu. Tak naprawdę obsługuje zakład między dwie stronami:

• Wykupujący polisę liczy na to, że jeśli protokół z którego korzysta zostanie zaatakowany, to wypłata z polisy pokryje jego stratę
• Natomiast osoby finansujące polisę zakładają, że takie zdarzenie nie będzie miało miejsca i zarobią na składach płaconych przez ubezpieczonych.

Im rynek uważa dane wydarzenie za bardziej prawdopodobne, tym droższa składa. 

I teraz osoby, które finansują polisy umieszczają swój kapitał w specjalnych pulach. Mogę one w nich po prostu leżeć. I być w gotowości, na wypadek jakby trzeba było z nich wypłacić szkody. Ale z drugiej strony, po co ten kapitał miałby się kurzyć. Można by go zaprzęgnąć do pracy czy aktywnie nim zarządzać. Aby generować dodatkowych dochód czy to dla dostarczycieli kapitału, czy dla samego protokołui. Oczywiście musimy pamiętać o tym, że aktywne korzystanie z tych funduszy wiąże się z pewnymi ryzykami. W każdym bądź razie Unslashed korzysta z integracji z Enzyme Finance do zarządzania tym, co znajduje się w jego skarbcach.

Z kolei Kleros jest wykorzystywany do rozstrzygania wniosków o wypłatę odszkodowania. W dużym uproszczeniu Kleros jest zdecentralizowanym sądem arbitrażowym. Unslashed przychodzi do nich z następującymi zapytaniami: tutaj są nasze warunki polisy, a tutaj co się stało według poszkodowanego. Czy w świetle przedstawionych faktów i warunków polisy powinniśmy wypłacić odszkodowanie? Widzimy się, że kwestia pokrywania szkód jest tutaj całkowicie outsourcowana, niezależna od ekosystemu Unslashed i ich tokenu USF.

Informacje o poszczególnych produktach, jak i szczegółowym działaniu protokołu, znajdziesz na stronie https://unslashed.finance/ 

Jak wybrać polisę?

Na zakończenie spróbujmy sobie stworzyć framework mentalny, pomagający nam podjąc decyzję w kontekście ewentualnego zawarcia polisy.

Pierwsze fundamentalne pytanie, jakie musimy sobie zadać, to w ogóle jakie ryzyka nam towarzyszą. Z jednej strony będziemy mieli podstawowe ryzyka związane z korzystaniem z DeFi i smart contractów. Z drugiej strony możemy mieć do czynienia z zagrożeniami specyficznymi dla danego protokołu. W zrozumieniu tych pierwszych pomoże Ci ten artykuł. W kwestii drugich polecam zanurzyć się w lekturze dokumentacji danego projektu. Zazwyczaj możemy w niej spotkać specjalną sekcję omawiającą ryzyka (Risks) związane z korzystaniem z protokołu.

Następnie należy zorientować się, czy w ogóle na rynku znajdują się polisy adresujące moje największe ryzyka. Może okazać się, że będziemy mogli zabezpieczyć się tylko częściowo bądź trzeba będzie skorzystać z kilku polis, aby uzyskać pełniejszą ochronę. 

Przykładem mogą być stabecoiny umieszczone na lokatach. Tutaj nasze dwa główne ryzyka, to utrata pegu przez samego stablecoina oraz strata samych środków umieszczonych na lokacie (np. w wyniku błędów w smart contractach). Istnieje spore prawdopodobieństwo, że nie znajdziemy jednego produktu pokrywającego oba te zagrożenia. 

Jak już na naszej short liście znajdą się interesujące nas produkty, to musimy jest zlustrować pod kątem trzech czynników:

• Dokładne poznanie i przeanalizowanie warunków ubezpieczenia. Od czego tak naprawdę się ubezpieczamy i czy musimy spełniać jakieś dodatkowe kroki bądź warunki, aby podlegać pod wypłatę odszkodowania.
• Jak dokładnie wygląda proces rozpatrywania wniosków o wypłatę odszkodowania? Jest to zazwyczaj opisane dość szczegółowo w dokumentacji. Warto też zapoznać się z historią już rozpatrywanych claimów. Aby sprawdzić, jak ten proces sprawdzał się w praktyce. Jakie wnioski przechodziły, a jakie zostawały odrzucane? W przypadku odrzuceń warto zwrócić uwagę dlaczego i na którym etapie miały one miejsce. Jeśli protokół za odrzucone uważa wnioski, które nie zebrały odpowiedniego kworum i takich przypadków jest sporo, może to być przesłanka ku temu, aby stwierdzić, że cały taki proces jest niewydajny i ryzykowne jest korzystanie z takiej polisy, która ma sporą szansę zostać nierozliczona, nawet jak formalnie wystąpiło wydarzenie, które według warunków polisy powinno skutkować wypłatą odszkodowania.
• Jakie są koszty korzystania z polisy? Jakie oceniamy ich wysokość wobec potencjalnych ryzyk czy zysku generowanego przez ubezpieczony kapitał? Czy koszt jest stały czy może ulec zmianie? Czy należy go pokryć z góry czy płacimy na bieżąco i w dowolnym momencie możemy zrezygnować?

Wiedza i dobre nawyki

Ubezpieczenia ubezpieczeniami, ale pierwsza linia Twojej ochrony przez zagrożeniami w świecie krypto i DeFi powinna wyglądać inaczej. Powinna ją stanowić zdobyta przez Ciebie wiedza, z której wynika zrozumienie technologii i rozwiązań, z których korzystasz. A co za tym idzie, z dobrych nawyków, które wykształcisz w sobie w oparciu o zdobytą wiedzę i zrozumienie tematu. Dlatego gorąco zachęcam Cię do zapoznania się z webinarem: “Ryzyka, bezpieczeństwo i ubezpieczenia”. Miał on miejsce kilka tygodniu temu. Jego darmowy fragment znajdziesz na YouTube. Natomiast pełen zapis znajduje się w Krypto Krypcie.