Điều tôi ước mình biết trước khi phát triển DeFi Dapp trên Ethereum

Bài dịch từ bài viết của Andre Cronje (Founder của Yearn Finance) sẽ kể lại những khó khăn mà anh phải trải qua và những điều anh ấy ước rằng mình đã biết trước khi bắt đầu phát triển một trong những DeFi Dapp thành công nhất từ trước đến nay.

Triển khai các Dapp rất tốn kém (nếu bạn không biết mình đang làm gì)

Đây là địa chỉ tôi dùng để triển khai Yearn.Finance: https://etherscan.io/address/0x2D407dDb06311396fE14D4b49da5F0471447d45C#analytics

Ngoài một vài sự đóng góp và giúp đỡ từ đồng nghiệp, mọi phần còn lại tôi đều phải tự mình tìm tòi.

Dưới đây là tổng giá trị của các ETH transaction, tổng cộng là 93.64 ETH và số tài sản còn lại là 16.84 ETH. Có nghĩa là 76 ETH (gần 15,000 đô) đã được tôi sử dụng cho việc triển khai và chạy lỗi.

Nói đi thì cũng phải nói lại, tôi đã phạm phải nhiều lỗi ngu ngốc, phải triển khai lại dự án nhiều lần, cũng có thể thiết kế một hệ thống tốt hơn và nếu như có cơ hội được làm lại một lần nữa, tôi có thể chỉ phải tốn xấp xỉ 10 ETH. Tất nhiên là phải có những kiến thức mà hiện tại tôi đang có rồi.

Những testnet rất tuyệt vời, Kovan và cả Ropsten, nhưng tôi không thể tìm hoặc phỏng theo rất nhiều contract mà bản thân đang làm việc cùng (uniswap, 1inch, compound, dydx, fulcrum, Aave, curve.fi, lendf, ddex tất cả chúng đều không thể được mô phỏng ở trên testnet). Vì vậy tôi đã phải phát triển và test rất nhiều lần trên mainnet.

Ngoài ra còn một vấn đề nữa, là một người thiếu kiên nhẫn nên tôi luôn trả mức phí cao nhất để tăng tốc độ công việc, nhưng khi bạn ở trong vòng lặp thiết kế và test, điều này sẽ có ảnh hưởng rất lớn.

Thế nên bài học rút ra, đừng cố vọc mạch phát triển những smart contract trừ khi bạn có một số tiền dự phòng, việc này đã khiến tôi mất rất nhiều tiền so với dự tính.

Mọi người sẽ không (hoặc không muốn) sử dụng phần mềm của bạn nếu chưa được audit

Có thể các bạn xem nhẹ điều này, nhưng trong thế giới mã nguồn mở đây chính là một điều thiết yếu.

Nhưng vấn đề ở đây là, tôi phát triển dự án hoàn toàn miễn phí như là một thú vui, không được tài trợ, không chi phí, không token, (không cộng đồng). Nhưng câu nói đầu tiên tôi nhận được luôn là “Phần mềm này đã được audit chưa?”. Đây là câu hỏi mà bạn cần làm quen mỗi khi có người hỏi bạn về dự án và khi câu trả lời không thể tránh khỏi là “không”, họ sẽ đơn giản bỏ qua.

Điều đó dẫn chúng ta đến việc thứ 3.

Đưa một sản phẩm đi audit rất cạnh tranh và tốn kém

Sau khi đã dùng tiền để triển khai và test dapp của mình. Việc tiếp theo cần làm là đưa dự án đó đi audit. Tôi đã hỏi một vài nguồn xung quanh và được giới thiệu những cái tên sau:

• trailofbits.com
• cryptomaniac
• certik.org
• quantstamp.com
• sigmaprime.io
• openzeppelin.com

Tôi bắt đầu treo giải thưởng trên cộng đồng vào ngày 30/01.

Kết quả là không nhận được phản hồi nào.

@epheph trên twitter ngỏ ý sử dụng chương trình audit của ethereum foundation security. Dù đã thể hiện sự quan tâm nhưng kết quả cuối cùng không đi đến đâu.

Vào ngày 31/01, tôi bắt đầu nhắn trên telegram của certik và cryptomaniac (cũng có một chút may mắn khi tôi có chi tiết liên lạc của họ) về yêu cầu audit của mình.

Đến ngày 04/02 và vẫn chưa nhận được phản hồi nào, tôi bắt đầu gửi email cho họ.

Gửi yêu cầu audit cho openzeppelin thông qua email [email protected] và cùng ngày hôm đó tôi nhận được phản hồi là họ sẽ liên lạc lại với tôi trong khoảng 1, 2 ngày nữa. “1, 2 ngày đó” sẽ được cập nhật ở đây khi họ phản hồi.

Gửi mail cho trailofbits, họ phản hồi trong ngày và nói sẽ xong trong 1 tuần với mức giá 16,000 đô. Họ sẽ thực hiện: “Đánh giá sơ bộ rủi ro sử dụng các phương thức thủ công và tự động cùng với vấn đề bảo mật của các file”, đáng tiếc là tôi phải phản hồi rằng mức giá đó là quá đắt. Sau đó tôi nhận được một phản hồi khác gợi ý sử dụng những công cụ sau:

• crytic.io
• github.com/crytic/slither
• github.com/crytic/building-secure-contracts

Không phải là audit, nhưng ít ra chúng cũng hữu dụng (mặc dù vẫn tiêu tốn của tôi 259 đô/tháng)!

Cũng đã gửi mail cho quantstamp thông qua form online của họ, vẫn chưa nhận được phản hồi.

Gửi mail cho sigmaprime, họ nhắn lại cùng ngày hôm đó và sau một vài mail qua lại. Họ nói sẽ cần 11 ngày và với mức giá 27,500 đô. Và tất nhiên tôi đành phải phản hồi không thể đồng ý với mức giá đó.

Cuối cùng tôi chấp nhận đề nghị của cryptomaniac với giá 5000 đô.

Tổng kết:

• trailofbits.com $16,000
• cryptomaniacs $5,000 
• certik.org (pending)
• quantstamp.com (không phản hồi)
• sigmaprime.io $27,500 
• openzeppelin.com (pending)

Tôi đồng ý với cryptomaniac để họ tiến hành audit của mình. Tôi cũng đã gửi yêu cầu gây quỹ trên gitcoin và metacartel, nhưng cả hai đều không phản hồi, nên cứ coi như sẽ không có sự trợ giúp từ đó đi.

Phải nhấn mạnh một điều, đây không phải là audit cho toàn bộ hệ thống, tất cả yêu cầu phía trên chỉ là để dành cho một file có 359 dòng code Solidity. Cho dù có lựa chọn mức giá rẻ nhất từ cryptomaniac thì đó cũng là 13 đô/dòng.

Vì vậy nếu như bạn có một dự án lớn hơn, cứ hãy chuẩn bị tinh thần cho khoảng 50 nghìn đô cho một lần audit.

TLDR

Khoảng 20,000 đô đã bay khỏi ví cho một dự án miễn phí, mã nguồn mở của tôi. Không có sự giúp đỡ từ cộng đồng hoặc trợ giúp từ ethereum foundation, nhưng có thể là do tôi đã liên lạc sai người hoặc có thể do họ không có hứng thú với Yearn.finance. Nhưng tôi vẫn nghĩ “crypto network” của mình tốt hơn hầu hết những gì các bên khác đang mang lại vào thời điểm này.

Thật không thể tượng tượng nổi với một người hoàn toàn mới thì sẽ khó khăn như thế nào cho họ để có thể bước chân vào thị trường.

Lessons learned.

Một vài điều khá rõ ràng những vẫn nên được liệt kê

Các VC sẽ không cấp vốn cho hệ thống miễn phí, không có token

Khá rõ ràng, nhưng vẫn cần được nhấn mạnh. Một sự nể phục dành cho pooltogether, không rõ họ có thể làm điều này bằng cách nào. 

Token giúp thúc đẩy phát triển

Tôi ghét token, các dự án mà tôi đã phát triển: Yearn.finance và Xar.network đều là mô hình không token, không cần trả phí và cả hai đều phải vật lộn quá nhiều vì không có “token network effect”. Muốn phát triển cộng đồng thật nhanh? Hãy thêm token (hoặc có một VC phía sau bạn).

Bạn sẽ không thể có được sự giúp đỡ từ cộng đồng trừ khi bạn đã có sẵn cộng đồng, thứ mà bạn sẽ không thể có nếu không có sự giúp đỡ

Khá là khó hiểu nhỉ, nhưng vòng lặp này là thứ bạn phải biết nếu muốn có sự giúp đỡ từ cộng đồng.

Dễ hơn để “giả vờ đã đạt được điều đó trước khi đạt được điều đó”

Mọi câu nói: “AUM (tài sản đang quản lý) của chúng tôi đã tăng rất nhiều” hay “tỷ lệ lợi nhuận của chúng tôi rất cao” đều chỉ đúng một nửa. Bản thân các dự án đã có AUM ban đầu (từ VC, funding hoặc từ cộng đồng ~ aka token) và sử dụng những “con số” đó để tăng tỉ lệ deposit từ phía khác. Pooltogether là một ví dụ tốt với 250,000 đô “quỹ của bản thân”.

Một model tương tự có thể hiệu quả với Yearn.finance nhưng tôi không nghĩ số tiền ít ỏi đó có thể khuyến khích mọi người.

Cheat Sheet

Ra mắt token, premine 50%, lockdrop (khóa và unlock dần) 50% còn lại cho các nhà tài trợ AUM, gây quỹ với 50% token, tìm một vài VC, sử dụng 20,000 đô để phát triển sản phẩm (hoặc copy Yearn.finance miễn phí) dùng tất cả số vốn bạn đã gây quỹ được vào một “starter fund” để tạo ra một tỷ suất lợi nhuận khủng (gấp 2 lần những bên khác đang offer).

Bởi vì tỉ suất của bạn rất cao nên hãy thêm vào phí hệ thống (hơn 15% lợi nhuận của đối thủ lớn nhất), ai cũng sẽ không quan tâm đâu vì họ vẫn kiếm về gấp 2 lần trừ đi 15% so với đối thủ của bạn. Hoàn trả vốn cho các token holder với AUM ngày càng tăng (thứ mà bạn đã có sẵn bởi 50% lockdrop) thế là bạn đã có giá trị liên kết mạng lưới.

Đừng làm theo cách mà tôi đã làm, nó rất khó khăn, tốn của tôi rất nhiều tiền và tạo ra rất ít hiệu ứng mạng lưới.

Lessons learned.