Ryzyko stETH

Po publicznym starcie opisywanego w poprzednim artykule Ethena, a także ogromnym wzroście EigenLayer, bardzo głośno zrobiło się na temat stETH, który jest wykorzystywany w obu tych projektach. Jakie czynniki ryzyka występują w stETH i jakie mogą być ich konsekwencje?

Lido od dawna wywoływało kontrowersje związane z ich rosnącym udziałem w stakingu Ethereum sięgającym już niemal 32%. Podważano przez to decentralizację oraz bezpieczeństwo największej platformy smart kontraktów.

W ostatnim czasie doszły kolejne problemy, tym razem niezwiązane już z samym stakingiem ETH, a wykorzystaniem tokenów stETH przez projekty do zapewniania własnych usług i budowania swoich rozwiązań.

W tym artykule przyjrzymy się zagrożeniom, jakie generuje stosowanie stETH przez różne projekty.

Artykuł nie stanowi porady inwestycyjnej. Zawsze wykonaj własne badanie ryzyka i projektów.

Lido i stETH, czyli po co istnieje płynny staking?

Lido to projekt, który pozwala każdemu zainteresowanemu brać pośredni udział w stakingu poprzez zdeponowanie ETH do smart kontraktów. To ETH trafia następnie do walidatorów (którzy go nie kontrolują!), a depozytor w zamian otrzymuje płynną reprezentacje tych tokenów oraz zarabianych przez nie nagród w postaci stETH.

czym jest Lido

stETH to token płynnego stakingu, który działa na zasadzie “rebase”. Oznacza to, że codziennie ilość stETH, która posiadana jest przez wszystkich użytkowników zmienia się tak, aby odwzorować ilość ETH, jaka znajduje się w całym systemie Lido. Uwzględnia to nagrody (minus prowizja Lido i operatorów węzłów), a także, o ile występuje, slashing.

Slashing to kara za złe zachowanie walidatorów. Oznacza “obcięcie” części stakowanych ETH, czyli po prostu ich utratę. Koszty slashingu w systemie ponoszą wszyscy posiadający stETH lub, jak miało to miejsce w przeszłości, operator węzłów, które zostały ukarane, o ile kara jest realna do pokrycia.

Gdy nastąpi duże zdarzenie, stETH zostanie na każdym koncie dostosowane, ale nie w górę, jak ma to miejsce w związku z nagrodami, ale w dół. Lido posiada spory fundusz, którego może użyć do pokrycia slashingu. W momencie pisania jego wartość przekracza 6300 stETH.

Płynny staking cieszy się ogromną popularnością na Ethereum nie tylko za sprawą Lido z jednego prostego powodu - Tak zostało zaprojektowane Ethereum.

Ethereum nie pozwala na delegację ETH, tak jak większość innych sieci Proof of Stake, a wymagania dla jednego walidatora wynoszą aż 32 ETH, czyli niemal 100 tys. USD. Nie ma więc innej możliwości dołączenia do sieci dla osób, które:

nie chcą/nie umieją postawić własnego węzła
nie stać ich na 32 ETH

Płynny staking jest pochodną zarówno wyborów Ethereum, jak i zachowania inwestorów. W innych sieciach delegacja także jest najpopularniejszą formą dołączania do stakingu w sieci, ale jest to rozwiązane systemowo. W Ethereum trzeba było zająć się tym za pomocą smart kontraktów i projektów takich jak Lido, Frax, czy Rocket Pool.

Smart kontrakty oraz płynne tokeny (których w delegacji nie ma), które reprezentują zablokowane w stakingu ETH stanowią główny problem wielu, choć nie wszystkich, rozwiązań.

Ryzyko stETH

Istnieje wiele zagrożeń korzystania z stETH do budowy własnego rozwiązania, a także wiele zagrożeń w samym zastosowaniu płynnego stakingu w takiej formie.

Wiele z nich jest albo rozdmuchana, albo niezrozumiana, jak temat braku bezpieczeństwa Lido, które NIE MA wpływu na nic, co robią walidatorzy! Lido jedynie wybiera ich i przydziela im ETH, ale nie może ich nawet usunąć w szybkim czasie, jeśli chciałoby zrobić “podmiankę” na swojego (można twierdzić, że wszyscy są “ich”, ale to nieprawda).

Lido DAO tylko wybiera walidatorów (zgodnie ze swoim widzimisię), ale później nie mają już nad nimi kontroli, mogą ich jedynie powoli podmieniać/usuwać. Bardzo powoli. Ma to związek z kolejkami wyjścia (i wejścia) do stakingu ETH, a nawet z tym, że to… operator musi wykonać operację “odstakowania”. Lido nie może zmusić go do tego, choć ta dynamika zmieni się po aktualizacji EIP-7002. Taka podmianka i jej powód od razu dostałaby się do szerszego grona, choćby poprzez media społecznościowe i dałaby czas na zauważenie zagrożenia i wyjście z stETH.

Jednak nie jest to artykuł “bronimy stETH”, tylko “ryzyko stETH” zatem przejdźmy do realnych zagrożeń i jak duże jest ich ryzyko.

stETH nie równa się ETH

Bardzo często znajdziemy określenia takie jak “peg”, czyli powiązanie stETH z ETH, które wynosi zazwyczaj blisko 1:1.

Największe odstępstwo od stosunku 1:1 wyniosło 0.936

stETH to nie jest ETH! To, że na giełdach 1 stETH można kupić i sprzedać blisko wartości 1 ETH, ma związek z racjonalnym podejściem do rynku, ponieważ za 1 stETH można odebrać 1 ETH. Jeśli cena spada, daje to uczestnikom “darmowe” ETH, ponieważ można kupić tańsze stETH i odebrać więcej ETH.

Jednak należy pamiętać, że stETH to nie stablecoin. stETH to token, który pozwala odebrać równowartość w ETH, ale jego cena zależy także od spekulacji i wpływać na nią mogą różne zdarzenia, takie jak wspomniany slashing, ale również “niecierpliwe wieloryby”, błędy wyroczni dostarczających dane, panika na rynku, czy nawet celowe manipulacje spowodowane chęcią likwidacji innego inwestora lub zarobkiem na pozycji krótkiej.

Cena tokena stETH może więc wynosić znacznie mniej niż pozwala on realnie odebrać ze względu na spekulację kierowaną różnymi powodami. Kilka z nich omówimy, zaczynając od najczęściej wspomnianego ostatnimi czasy - “depeg”.

1. Spadek ceny i likwidacje

Jednym z największych zagrożeń dla projektów takich jak Ethena, czyli tych, które wykorzystują stETH jako zastaw, jest spadek ceny tego tokena. Jak napisano w dokumentacji cena stETH musiałaby odbiegać 40-65% od ceny ETH, aby pojawiły się problemy związane z likwidacjami, zakładając brak interwencji Ethena w międzyczasie.

Tak duży spadek cen jest możliwy tylko w ekstremalnych scenariuszach, o których za chwilę oraz takich, w których duży posiadacz stETH pragnie nagle wyjść, akceptując ogromną stratę lub gdy ktoś obiera celową strategię zbicia ceny, w celu likwidacji projektów takich jak Ethena (i innych projektów wykorzystujących dźwignię zabezpieczoną stETH), czyli z premedytacją obniża cenę stETH.

Scenariusz pierwszy jest bardzo mało prawdopodobny, ponieważ nikt przy zdrowych zmysłach nie zaakceptuje tak dużej straty, mogąc jej uniknąć. Dodatkowo pule Curve, w których przebywa główna płynność stETH, potrafią utrzymywać powiązanie nawet gdy występuje spory brak balansu dwóch tokenów.

Jest to więc możliwe, ale bardzo mało prawdopodobne i stanowiłoby świetną okazję do arbitrażu.

Drugi scenariusz jest ciekawszy i zależy od tego jak duża będzie Ethena i jak dużo można będzie zarobić.

Prawdopodobieństwo takiego ataku może rosnąć wraz z użytą dźwignią w projektach DeFi, jak Aave, w projektach CeFi oraz gdy Ethena osiągnie duże rozmiary i da dużo paliwa do zarobku na takiej manipulacji. Wpływ na rynek może zależeć od tego, jak duże straty poniosą wszyscy zlikwidowani. Im więcej, tym większa szansa na zdarzenie, które może odbić się na cenach wszystkich kryptowalut. Czy mogłoby to nawet zakończyć hossę? Raczej nie, ale zależy to od rozmiarów strat.

Długoterminowo będzie to dobra okazja do pomnożenia swojego ETH dzięki arbitrażowi stETH.

EigenLayer i tokeny płynnego restakingu

Pytanie, jakie nasuwa się w takim scenariuszu, to jak ucierpi drugi z głośnych projektów tego roku, EigenLayer oraz projekty płynnego restakingu.

EigenLayer co to

Sam EigenLayer nijak nie ucierpi, ponieważ 1 stETH nadal daje prawo odebrać 1 ETH. Jego cena nie ma znaczenia w scenariuszu, w którym po prostu, chwilowo dzieje się coś, co sprawia, że stETH traci na wartości dolarowej, ale jednocześnie Lido się nie zawala (!).

Tokeny płynnego restakingu mają swoje ceny i zazwyczaj używają natywnego ETH, choć mogą wykorzystywać dowolne tokeny, także stETH. Ich cena może spaść, ale znów, przy zwykłym chwilowym zachwianiu ceny, niewynikającym z zagrożeń mogących podważać istnienie stETH i jego przyszłość, likwidowani są traderzy wykorzystujący dźwignię, nie projekty, takie jak EigenLayer, czy nawet tokeny płynnego restakingu.

Jedynie co w takiej sytuacji traci EigenLayer, to notuje spadek ekonomicznego bezpieczeństwa AVS, które są zabezpieczane tylko stETH (pytanie ile takich będzie). Prawdopodobnie nadal pozostaną wystarczająco bezpieczne.

Na spadku ceny stETH (zwłaszcza w stosunku do ETH) tracą przede wszystkim projekty, które wykorzystują stETH jako zabezpieczenie do pobrania pożyczek. Nic się w takim scenariuszu nie zmienia, ani w ofercie Ethereum, ani Lido, ani EigenLayer.

Ryzykiem EigenLayer jest opisany w artykule o tym projekcie dodatkowy slashing, o którym jeszcze wspomnę w dalszej części tekstu. Cena stETH nie ma większego znaczenia.

Zacząłem od prostego depegu ceny stETH od ETH, ponieważ jest to najbardziej prawdopodobne ryzyko. Może ono skończyć się masowymi likwidacjami w DeFi, projektów CeFi, które używały stETH jako zastawu, czy upadkiem projektów takich jak Ethena, o ile będą spać i nie zamkną shortów, ale nie mają one innych konsekwencji. Likwidowani tracą, ceny chwilowo spadają, ale wszystko może wrócić do normy. Niestety nie jest to jedyne ryzyko.

2. Wady smart kontraktów

Jedno z największych zagrożeń dla wszystkich projektów płynnego stakingu są wady smart kontraktów.

Jakie to mogą być wady? Nie wiadomo, ponieważ gdyby je znano, to pewnie by je wyeliminowano. Mogą się one okazać niegroźne, ale mogą też skończyć się tragicznie i spowodować koniec hossy, a nawet odbić się długoterminowo na Ethereum i wszystkich innych projektach płynnego stakingu w innych sieciach. Podobnie jak UST zakończyło żywot wszystkich algorytmicznych stablecoinów, stETH może zakończyć żywot płynnego stakingu.

Oczywiście stETH to nie jakiś tam smart kontrakt pisany na kolanie, a wielokrotnie audytowany przez firmy, pojedynczych programistów, a także zapewne stale sprawdzany przez… hakerów, jeden z największych programów “bug bounty” na rynku. Złamanie tego kontraktu dałoby zarobić lub pozwoliło zniszczyć płynny staking Lido.

Lido zmienia się, wprowadza zmiany (jak V2) i nowe smart kontrakty. Wada może zostać znaleziona w każdym z nich. Najpoważniejszą jest taka, która skończyłaby się np. wybiciem ogromnej ilości stETH, a następnie sprzedaniu całości na DEX i pchnięciu ceny stETH właściwie do zera.

Spowodowałoby to nie tylko likwidacje opisane powyżej, ale i sprawiło, że ciężko byłoby odebrać stETH komukolwiek, tak aby było “sprawiedliwie”. Arbitraż w takim scenariuszu odpada. Wpłynęło by to też na EigenLayer, ponieważ duża część tokenów straciłaby niemal całą wartość i nie stanowiła żadnego bezpieczeństwa.

Rozwiązań powrotu po takim ataku jest kilka. Można w nic nie ingerować i dać się rozwijać wydarzeniom, co poskutkuje ogromnymi stratami.

Można pozwolić załamać się Lido, ale zatrzymać możliwość odbioru ETH i przeprowadzić ją tylko dla osób, które przed atakiem miały stETH (czyli ukarać dostawców płynności stratą kapitału).

Można też próbować ratować Lido przez hard fork i cofnięcie stanu całego łańcucha Ethereum, co jednak spowoduje kolejne problemy, idące znacznie dalej niż strata pieniędzy przez posiadaczy stETH i dostawców płynności. Chociażby problemy z CEX i likwidacjami na giełdach scentralizowanych.

Jest to scenariusz absolutnie ekstremalny. Ciężko przewidzieć konsekwencje i realne straty dla całego rynku, a idealnego rozwiązania, które wszystko naprawi, nie ma.

3. LDO i zarządzanie

Jeśli myślisz, że tylko wady i ataki na smart kontrakty są problemem, to przedstawiam LDO. Token zarządzający, który może przegłosować taką zmianę jak wybicie stETH w nielimitowanej ilości.

Posiadacze LDO mogą nie tylko przegłosować wybicie stETH i sprzedanie go na rynku, ale i zablokować możliwość wypłat, a więc uwięzić ETH w projekcie (lub to i to).

Trzeba wiedzieć jedną rzecz. Posiadacze stETH, choć najważniejsi w Lido, nie mają nic do powiedzenia oprócz wycofania kapitału w uczciwie działającym systemie.

Zarządzanie projektem podlega pod posiadaczy LDO i to oni kontrolują co się dzieje. Jednym z rozwiązań tego problemu, które jest szeroko omawiane od dłuższego czasu, jest wprowadzenie podwójnego zarządzania, czyli danie prawa veta posiadaczom stETH.

Właściwie wyeliminowałoby to zagrożenie takich zmian, które szkodziłyby stETH.

Warto jednak zaznaczyć, że taki atak niszczy wartość stETH i LDO. Co więcej, zakłada, że posiadacze LDO chcą zaszkodzić sami sobie, a także całemu Ethereum, reputacji wszystkim głosującym “ZA” oraz wiąże się z wieloma konsekwencjami prawnymi.

Ryzyko takiego ataku jest więc bardzo niskie, ale jego skutki, jeśli się wydarzy, druzgocące.

4. Slashing

Slashing jest naturalną konsekwencją i oczywistym, akceptowanym przez stakujących ryzykiem stakowania ETH i wielu innych projektów POS.

Tutaj nie grożą już konsekwencje prawne i nie potrzeba żadnego “złośliwego” zachowania. To znaczy potrzeba, od tego jest slashing, ale wynikać może ono z przypadku, błędu lub awarii.

Slashing zdarzał się już w przeszłości, także bezpośrednio w Lido, ale był niewielki (28 ETH). Nie jest to coś, co jest nagminne. Gdyby tak było nikt by nie chciał stakować, a wiele osób z jakiegoś powodu bardzo chce.

Mimo to należy wziąć pod uwagę to ryzyko i o nim pamiętać, nie tylko w Ethereum i Lido.

Ewentualne kary ze slashingu mogą być pokryte ze środków Lido, ale w przypadku jakiejś tragedii i np. błędu klienta lub innych wydarzeniach z dużymi konsekwencjami, obcięte mogą zostać dziesiątki tysięcy ETH, a więc ilość stETH zmniejszy się na kontach wszystkich posiadaczy tokena.

Straty dziesiątek tysięcy ETH wcale nie są najgorsze. Mogą objąć… 100% stakowanego ETH.

W razie zmowy walidatorów (nie muszą to być Ci z Lido) mogą oni zaryzykować, w końcu nie swoje, ETH i wykonać atak na konsensus, który poskutkuje slashingiem 100% ETH. Na rynku wywoła to panikę i szybko sprowadzi cenę stETH na giełdach do zera. Lido, po uwzględnieniu slashingu, także sprowadzi stETH na kontach posiadaczy tych tokenów do takiej właśnie wartości.

Slashing nie musi być zmową, może być błędem w kodzie oprogramowania klienta, czy problemem ze sprzętem i zbyt długim przebywaniem off-line. Skutki będą mniejsze, ale także wywołają reakcję sprzedaży na rynku, do momentu, w którym cena stETH nie spadnie niżej niż wyniosła kara (choć nie wiadomo, w panice może być różnie).

Niewielki slashing już się zdarzał, więc nie jest to Science fiction. Większy, ale nadal “do ogarnięcia” także może wystąpić. Spowoduje to zmniejszenie się ilości stETH na naszych kontach, ale nie będzie to strata nie do zaakceptowania.

Ryzyko scenariusza zagłady jest... niezerowe.

A EigenLayer?

Slashing oczywiście odbiłby się także na EigenLayer. To jak duże byłoby to odbicie, zależy od powodu i wysokości kar.

Bardzo istotne jest tutaj to, że EigenLayer nie korzysta z dźwigni. To nie Celsius. Posiadacz stETH sam decyduje się deponować token do EigenLayer, ale nie otrzymuje w zamian żadnej reprezentacji. 1 stETH nadal zabezpiecza Ethereum u operatorów Lido i może odebrać 1 ETH. Nic tu się nie zmienia, oprócz tego, że to 1 stETH w EigenLayer może zostać dodatkowo ukarane.

Eigenlayer nie jest dźwignią finansową, tylko dźwignią bezpieczeństwa. Korzystając z tego projektu wystawiamy się na dodatkowe czynniki ryzyka, a więc to je lewarujemy, a nie ETH, czy stETH. Wpłacając 1 stETH nadal mamy 1 stETH. Ten token jest zablokowany i nikt go nie używa do zaciągania pożyczki.

Tutaj jednak, cały na biało, wkracza płynny restaking. Z tym jest ciężej, ponieważ jest to już kręcenie się w kółko. Nie tylko dodajemy kolejne warstwy zagrożenia smart kontraktów, czy pośredników, ale i otrzymujemy w zamian kolejny token. Możemy go używać w DeFi, a więc możemy brać pożyczki. Jeśli zdepeguje się stETH, to zdepeguje się także płynna reprezentacja restakowanego stETH, w postaci xxxxETH.

Jeśli powstanie, a na to się zanosi, restakowane płynnie restakowane płynne stakowane ETH (nie ja to wymyśliłem…), to mamy scenariusz na nowy, zdecentralizowany film "Big Short".

ryzyko stETH

Podsumowanie

W żadnym z tych scenariuszy (raczej) nie jest zagrożone istnienie samego Ethereum. Hard fork w celu ratowania posiadaczy stETH, po ataku na smart kontrakty Lido, jako bardzo ekstremalny scenariusz mógłby zaburzyć zaufanie (lub odwrotnie, zwiększyć je. Kto wie, co by się zdarzyło), ale raczej nie zniszczyłby Ethereum.

Błąd w kliencie spowodowałby slashing nie tylko Lido, które co warto zaznaczyć operuje na różnych klientach (a dokładniej mówiąc operatorzy korzystają z różnych klientów), ale i wszystkich innych walidatorów danej wersji oprogramowania. Jednak tak ten system ma działać. Ethereum w dowolny sposób mogłoby się z tego pozbierać, a o tak duży błąd nie tak łatwo. Na szali są jeszcze większe pieniądze niż w Lido. Bug bounty działa jeszcze lepiej, a każda firma poważnie podchodząca do stakingu, a jest takich wiele, audytuje kod na własną rękę.

Dla posiadaczy stETH ryzyko istnieje i może nadejść z wielu stron. O ile Lido może upaść po ogromnym błędzie, o tyle samemu Ethereum raczej to nie grozi.

Najbardziej zagrożeni są posiadacze stETH, wykorzystujący ten token jako zastaw w swoich pożyczkach lub bazę do budowy kolejnych warstw na jego podstawie.

Ryzyko stETH jest często rozdmuchane, a prawdopodobieństwo błędu w smart kontrakcie jest podobne, a nawet niższe niż w innych projektach DeFi, a nawet w samych projektach sieci kryptowalut.

Mimo to RYZYKO ISTNIEJE. Nawet jeśli w wielu ekstremalnych przypadkach jest niskie, NIE JEST ZEROWE.

Niektóre z brutalnych scenariuszy są nawet w stanie złamać cały rynek i w krótkim czasie spowodować straty miliardów dolarów, zaburzyć całe zaufanie do stakingu i wstrząsnąć wieloma projektami kryptowalut.

No cóż. Pozostaje jak mantrę powtarzać; Nie ryzykuj więcej niż możesz stracić. Kryptowaluty to oprogramowanie. Może ono mieć błędy i tyczy się to wszystkiego. Jednak ryzyko stETH jest mniejsze niż smart kontraktów, które budują na stETH i takich, które budują na tych budujących na stETH. Każda kolejna warstwa to dodatkowe igranie z ogniem, a zawalenie się najważniejszej, kończy się fatalnie dla każdej pozostałej.

Źródła: