DeFi لديه القدرة على أن يكون مكان البرية في بعض الأحيان. على ما يبدو يمكن للبروتوكولات المضادة للرصاص البساط في لحظة أو يعانون من مآثر ذلك أسعار الرمز المميز لن تتعافى أبدًا.
تماشيًا مع أمان The Defiant مهمة التوعية، سألخص بعض المؤشرات حول كيفية تحديد الكارثة المحتملة قبل أن تتكشف. أقضي بلدي أيام تحديد كيفية قيام المشاريع بإجراء التطوير وقياس كيفية نشر التعليمات البرمجية الخاصة بها في نهاية المطاف. بعد تقييم أكثر من 200 بروتوكول، حصلنا على بعض الأفكار لتحديد ممارسات التطوير الضعيفة في التمويل اللامركزي.
عكس التمويل و أكسي إنفينيتي عانت مؤخرًا من عمليات استغلال أدت إلى خسائر كبيرة في الأموال. كاتانا، البورصة اللامركزية الوحيدة في سلسلة Axie's Ronin التي تم تطويرها بواسطة نفس الفريق (بنفس ممارسات التطوير)، حصلت على نقاط 5% في تقييمنا. سجل معكوس أفضل بكثير لكنها لا تزال متخلفة في بعض المجالات الحيوية. كلاهما لم يتم تدقيقهما، ولم يكن لديهما مكافآت أخطاء، وقدما دليلًا محدودًا للغاية على الاختبار أو لم يقدما أي دليل على الإطلاق. كانت كاتانا مبهمة بشكل خاص عندما يتعلق الأمر بشرح كيفية عملها. وعلى الرغم من تحديد هذه المشكلات، إلا أن هذه الثغرات ما زالت تحدث وما زال المستخدمون يفقدون مدخراتهم.
من خلال قائمة المراجعة هذه، أريد تسليحك - القرد / المزارع / الديجن المتواضع - ببعض النصائح والحيل التي تم تخصيصها لملف تعريف المخاطر الخاص بك أثناء التنقل في حقل ألغام التمويل اللامركزي.
لاحظ أن أيًا من هذه الاختبارات لا يعد الحل الأمثل الذي يمكنه ضمان تجربة DeFi آمنة تمامًا. يظل التمويل اللامركزي (DeFi) مكانًا محفوفًا بالمخاطر بشكل لا يصدق، ويمكن للبروتوكول أن يلبي بسهولة كل هذه الفحوصات ومع ذلك لا يزال يتم استغلاله. يرجى استخدام قائمة المراجعة هذه كقائمة غير إلزامية والتأكد من إجراء العناية الواجبة دائمًا قبل أن تصبح قردًا.
هل يمكنني العثور على مستودع GitHub؟ هل تم تجسيدها بشكل جيد؟
لنبدأ بالسؤال الأساسي الذي يجب أن تطرحه على نفسك قبل التفاعل معه أي وقت عقد. هل يمكنني العثور على مستودع GitHub الذي يستخدمه البروتوكول؟
بالنسبة للمبتدئين، GitHub هو موقع ويب تستخدمه الفرق لتنسيق تطوير البرامج. يجب أن تكون قادرًا بسهولة على العثور على GitHub للفريق من خلال البحث عن اسم البروتوكول، متبوعًا بـ GitHub.
السؤال الرئيسي الذي يجب عليك طرحه هنا هو ما إذا كان عامًا أم لا. دعونا نقارن الأمثلة على مستودع GitHub الخاص بـ Bancor وهذا من جريم للتمويل، والذي تم استغلاله بمبلغ 30 مليون دولار في ديسمبر 2021. انظر إلى مدى جودة مستودع Bancor: مجلدات متعددة، ونظرة عامة على README.md للبروتوكول، والمتعاونين العامين، وأكثر من 4000 إرسال. قارن ذلك بشركة Grim Finance – فهي شركة خاصة. ليس لديك أي فكرة عن العقود التي تتفاعل معها.
ما هو مهم بشكل خاص هو أن نلاحظ أن المستودعات الخاصة تجعل عمليات التدقيق عديمة الفائدة، لأنه لا يمكنك أبدًا التأكد من أن العقود التي نشرها المطورون هي نفس العقود التي فحصها المدققون إذا لم تتمكن من التحقق منها بنفسك. تعد الشفافية جزءًا مهمًا من تطوير DeFi: فهي تؤدي إلى تعليمات برمجية أقوى من خلال السماح للجميع بفحصها. المستودعات الخاصة تمنع الشفافية وتقوض روح المصدر المفتوح للويب 3.
هل البروتوكول موثق جيدًا؟ هل تم تحديد ملكية العقد؟
الخطوة الثانية هي تصفح وثائق البروتوكول. عادةً ما يتم ربط هذا من الصفحة الرئيسية لموقعهم على الويب ويمكن كتابته في GitBook أو وسيلة مشابهة. وينبغي أن يقدم نظرة عامة رفيعة المستوى حول كيفية عمل البروتوكول والمعلومات الأخرى ذات الصلة المكتوبة بلغة بسيطة حتى نتمكن أنت أو أنا من فهم ما نحن على وشك استخدامه.
وخير مثال على ذلك هو PancakeSwap: انظر كم هو لطيف و مفهومة wabbits قليلا!
التوثيق الجيد يعني أن البروتوكول يعرف الكود الخاص به من الداخل إلى الخارج. يمكن للبروتوكولات أن تتفرع بسهولة عن بروتوكولات أخرى دون أن تكون لديها فكرة تذكر عن كيفية عمل الأشياء، مما قد يزيد من احتمالية وقوع حادث. عادةً ما تعني الوثائق ذات الصلة أنهم يفهمونها، حيث يمكنهم تجميع المعلومات وتحويلها إلى شيء أكثر قابلية للهضم.
أحد المجالات الرئيسية التي يجب أن تظل يقظًا بشكل خاص هو ما إذا كان تم إدراج مالكي وأذونات العقود التي تتفاعل معها أم لا. يمكن تغيير بعض العقود حسب الرغبة، مما قد يعرض أموالك لمخاطر جديدة. تأكد من أنك تشعر بالارتياح مع من يتولى زمام الأمور: مجرد رؤية الآخرين يثقون في البروتوكول لا يعني أنه آمن. انظر كيف تنص شركة Tracer صراحةً على أن DAO الخاص بها تمتلك عقودها.
يجب عليك أيضًا أن تظل متيقظًا لعناوين العقود. تأكد مرة أخرى من أنها مماثلة لتلك التي تتفاعل معها على موقع الويب الخاص بالبروتوكول. تنص Gearbox بشكل صريح على هذه العناصر وتربطها بـ etherscan حتى تتمكن من التحقق منها بنفسك. كان من الممكن أن يساعد هذا الإجراء البسيط المستخدمين على تجنب هجوم الواجهة الأمامية لـ BadgerDAO تم أخذ 120 مليون دولار.
هل تم تدقيق الكود؟
الفحص الثالث الذي يجب عليك إجراؤه هو معرفة ما إذا كان قد تم تدقيق الكود أم لا. توفر شركات التدقيق نظرة جديدة وقيمة على الكود الذي تريد استخدامه. ويجب أن تكون عملية التدقيق علنية وأن يتم إدراج العقود التي راجعها مدققو الحسابات. معرفة ما إذا كان التدقيق قد سلط الضوء على أي مشاكل وما إذا كان قد تم حلها، مثل 0x تدقيق البروتوكول حيث تم تحديد المشكلة ومن ثم إصلاحها. تم تسليط الضوء باللون الأحمر على مشكلة رئيسية تم تحديدها، وباللون الأخضر تم إصلاحها. يمكن أن تؤدي المشكلات الرئيسية إلى خسارة أموال المستخدم، لذلك من المهم أن يحصل بروتوكول 0x على زوج آخر من العيون للتحقق مرة أخرى من التعليمات البرمجية الخاصة به.
الأسئلة الأخرى التي قد تفكر في طرحها هي:
- هل التدقيق تفصيلي أم فحص سريع؟
- كم عدد الأشخاص الذين عملوا في التدقيق؟
- كم من الوقت استغرق إجراء التدقيق؟
- هل تم إجراء التدقيق قبل نشر الكود؟
- هل هناك تحليل فني للمشكلات التي تم العثور عليها؟
على الرغم من أن عمليات التدقيق ليست مضمونة، إلا أنها توفر طبقة إضافية من الأمان.
هل هناك مكافأة علة؟
الفحص قبل الأخير الذي يجب عليك إجراؤه هو ما إذا كانت هناك مكافأة للأخطاء. غالبًا ما تخصص البروتوكولات الأموال جانبًا حتى يكون لدى المتسللين طريقة للتعرف على عمليات استغلال الثغرات للمطورين دون استخدامها فعليًا. أثناء تشغيل هذه البرامج، يتم توجيه جيوش من قراصنة القبعة البيضاء لاختبار الضغط على البروتوكولات. تجذب المكافآت الأكبر حجمًا مزيدًا من الاهتمام مما يؤدي إلى المزيد من الاختبارات وفي نهاية المطاف كود أفضل. غالبًا ما تكون هذه المبالغ هائلة لضمان استخدام المتسللين لهذه البرامج.
وكدليل على فعالية هذه البرامج، أنظر إلى كيفية عمل Armor.fi رفعوا مكافأتهم من 27 ألف دولار إلى 700 ألف دولار. وبعد يوم واحد، تم تحديد وإصلاح الخلل الذي كان من الممكن أن يؤدي إلى تعطل البروتوكول. تقطع هذه البرامج شوطًا طويلًا في التأكد من أن الرمز أصبح أكثر أمانًا، مما يعني أن أموالك ستكون أكثر أمانًا أيضًا.
هل فريق التطوير عام وهل يتفاعل بشكل استباقي مع مجتمعه؟
الفحص النهائي الذي يجب عليك إجراؤه يتم على فريق التطوير نفسه. يظل بعض المطورين مجهولين، بينما يكشف البعض الآخر عن هوياتهم. سوف تتردد فرق التطوير العامة قبل سرقة أموالك لأن أسمائهم سوف تتلوث بها إلى الأبد. الفرق المجهولة ليس لديها نفس المثبطات. في حين أنه من المهم أن تتذكر أن بعض المطورين المجهولين هم المساهمين الأكثر قيمة في التمويل اللامركزي، إلا أنه يجب عليك موازنة ذلك مع قدرتهم على الاختفاء. باختصار، يخضع المطورون العامون للمساءلة من خلال هوياتهم العامة.
يجب على الفرق الجيدة أيضًا أن تقدر التواصل وتسهل عليك التواصل معهم. إنه صمام تحرير مهم للتظلمات والاقتراحات - وكلها تجعل البروتوكول أقوى. يجب ربط قناة Discord المجتمعية أو قناة Telegram على موقع الويب الخاص بهم مما يسمح لك بطرح الأسئلة. هل يمكنك رؤية شخص ما يحاول الاتصال بمدير المجتمع أو حتى أحد المطورين؟ هل هي مفيدة/ودية؟ هل يرفضون مخاوفهم؟ هذه كلها اعتبارات مهمة.
باستخدام هذا الدليل، من المفترض أن تكون قادرًا على إكمال بعض عمليات التحقق السريعة في اللحظة الأخيرة قبل الموافقة على معاملاتك، ونأمل أن تكون أكثر أمانًا نتيجة لذلك.
شكرا على القراءة، وقرد سعيد.
River0x يعمل ل defisafety.com، الذي يراجع بروتوكولات DeFi ويقيس ممارسات التطوير. ويتم ذلك عن طريق تسجيلها بالكامل على مجموعة متنوعة من نقاط البيانات الكمية، والاتصال بفريق التطوير للحصول على توضيحات ثم إصدار التقرير مجانًا. بشكل عام، كلما ارتفعت النتيجة، قل احتمال نجاح البروتوكول تعاني من شكل من أشكال الاستغلال.
اقرأ المنشور الأصلي على المتحدي
- "
- 0x
- 2021
- 67
- من نحن
- اكشن
- عناوين
- الكل
- السماح
- المبالغ
- المنطقة
- ARM
- التدقيق
- علة
- سلسلة
- الشيكات
- الكود
- Coindesk
- CoinGecko
- Communication
- مجتمع
- تماما
- عقد
- عقود
- مراقبة
- رابطة
- استطاع
- حرج
- DAO
- البيانات
- يوم
- الصدمة
- نشر
- نشر
- على الرغم من
- المتقدمة
- المطور
- المطورين
- التطوير التجاري
- المشروعات الإنمائية
- فعل
- الاجتهاد
- اختفى
- كارثة
- خلاف
- بسهولة
- فعالية
- رفع
- خاصة
- كل شخص
- مثال
- تبادل
- الخبره في مجال الغطس
- إلى الأبد
- شوكة
- النموذج المرفق
- وجدت
- مجانا
- جديد
- أموال
- على العموم
- GitHub جيثب:
- خير
- أخضر
- توجيه
- قراصنة
- سعيد
- هنا
- أعلى
- سلط الضوء
- كيفية
- كيفية
- HTTPS
- فكرة
- تحديد
- تحديد
- أهمية
- القيمة الاسمية
- معلومات
- رؤى
- قضية
- مسائل
- IT
- نفسها
- القفل
- لغة
- أكبر
- قيادة
- يؤدي
- على الأرجح
- محدود
- خط
- وصلات
- قائمة
- المدرج
- القليل
- طويل
- بدا
- رائد
- القيام ب
- مدير
- معنى
- متوسط
- الأكثر من ذلك
- أكثر
- متعدد
- أسماء
- أخرى
- الخاصة
- أصحاب
- ملكية
- مجتمع
- محوري
- فقير
- محتمل
- خاص
- المشكلة
- مشاكل
- ملفي الشخصي
- البرامج
- مشروع ناجح
- دليل
- بروتوكول
- البروتوكولات
- تزود
- جمهور
- كمي
- سؤال
- نادي القراءة
- استعادة
- الافراج عن
- ذات الصلة
- تقرير
- مستودع
- بحث
- التعليقات
- المخاطرة
- المخاطر
- محفوف بالمخاطر
- يجري
- تشغيل
- خزنة
- أمن
- طقم
- قصير
- هام
- مماثل
- الاشارات
- So
- تطبيقات الكمبيوتر
- تطوير البرمجيات
- حل
- بعض
- شخص ما
- شيء
- أنفق
- بداية
- المحافظة
- إجهاد
- فريق
- تقني
- تیلیجرام
- تجربه بالعربي
- الاختبار
- عبر
- نصائح
- نصائح وحيل
- تواصل
- مرسمة
- المعاملات
- الشفافية
- فهم
- تستخدم
- المستخدمين
- عادة
- قيمنا
- صمام
- تشكيلة
- Web3
- الموقع الإلكتروني
- ابحث عن
- سواء
- في حين
- بدون
- عمل
- أعمال
- موقع YouTube
