DeFi این پتانسیل را دارد که یک مکان وحشی گاهی پروتکل های به ظاهر ضد گلوله می توانند فرش در یک لحظه یا از سوء استفاده هایی که قیمت های توکن هرگز بهبود نمی یابند.
در راستای امنیت The Defiant ماموریت آگاهی، من چند نکته را در مورد چگونگی شناسایی یک فاجعه بالقوه قبل از آشکار شدن آن شرح خواهم داد. من خرج می کنم روز شناسایی اینکه پروژهها چگونه توسعه را انجام میدهند و اندازهگیری اینکه چگونه در نهایت کد خود را به کار میبرند. پس از ارزیابی بیش از 200 پروتکل، چند بینش برای شناسایی شیوههای توسعه ضعیف در DeFi به دست آوردهایم.
معکوس مالی و Axie Infinity اخیراً دچار سوء استفاده هایی شده است که منجر به زیان قابل توجهی از منابع مالی شده است. کاتانا، تنها صرافی غیرمتمرکز در زنجیره رونین Axie که توسط همان تیم (با همان شیوههای توسعه) توسعه یافته بود، امتیاز کسب کرد. 5% در ارزیابی ما معکوس گل زد خیلی بهتر اما هنوز در برخی از مناطق بحرانی عقب مانده است. هر دو ممیزی نشده بودند، هیچ جایزه باگ نداشتند و مدرک بسیار محدودی برای آزمایش ارائه کردند یا اصلاً هیچ مدرکی نداشتند. کاتانا به خصوص زمانی که صحبت از توضیح نحوه عملکرد آن می شد، مبهم بود. علیرغم شناسایی این مشکلات، این سوء استفاده ها همچنان اتفاق افتاد و کاربران همچنان پس انداز خود را از دست دادند.
با این چک لیست، میخواهم شما را – میمون/کشاورز/دگن فروتن – با چند نکته و ترفند که برای نمایه ریسک شما شخصیسازی شدهاند، در حین حرکت در میدان مین DeFi مسلح کنم.
توجه داشته باشید که هیچ یک از این بررسی ها راه حل کاملی نیستند که می توانند تجربه DeFi کاملاً ایمن را تضمین کنند. DeFi یک مکان فوقالعاده خطرناک است و یک پروتکل میتواند به راحتی تمام این بررسیها را برآورده کند و در عین حال همچنان مورد سوء استفاده قرار گیرد. لطفاً از این چک لیست بهعنوان یک فهرست غیر تجویزی استفاده کنید و مطمئن شوید که همیشه قبل از میمون کردن، بررسی لازم را انجام میدهید.
آیا می توانم مخزن GitHub را پیدا کنم؟ آیا به خوبی گوشت داده شده است؟
بیایید با اساسی ترین سوالی که قبل از تعامل با آن باید از خود بپرسید شروع کنیم هر قرارداد. آیا می توانم مخزن GitHub مورد استفاده پروتکل را پیدا کنم؟
برای افراد ناآشنا، GitHub یک وب سایت است که تیم ها از آن برای هماهنگ کردن توسعه نرم افزار استفاده می کنند. شما باید با جستجوی نام پروتکل و به دنبال آن GitHub به راحتی بتوانید GitHub یک تیم را پیدا کنید.
سوال اصلی که باید در اینجا بپرسید این است که آیا عمومی است یا خیر. بیایید نمونه های آن را با هم مقایسه کنیم مخزن GitHub Bancor و از گریم فاینانس، که در دسامبر 30 به قیمت 2021 میلیون دلار مورد سوء استفاده قرار گرفت. نگاه کنید که مخزن Bancor چقدر خوب است: پوشه های متعدد، نمای کلی README.md از پروتکل، همکاران عمومی، بیش از 4000 مورد ارسالی. آن را با Grim Finance مقایسه کنید - خصوصی است. شما نمی دانید با چه قراردادهایی در حال تعامل هستید.
نکته ای که به خصوص مهم است این است که مخازن خصوصی حسابرسی را بی فایده می کنند، زیرا اگر خودتان نتوانید آنها را تأیید کنید، هرگز نمی توانید مطمئن باشید که قراردادهایی که توسعه دهندگان مستقر کرده اند همان قراردادهایی است که حسابرسان به آن نگاه کرده اند. شفافیت بخش مهمی از توسعه DeFi است: با اجازه دادن به همه افراد برای بررسی دقیق کد، منجر به کد قویتر میشود. مخازن خصوصی از شفافیت جلوگیری می کنند و روح منبع باز وب 3 را تضعیف می کنند.
آیا پروتکل به خوبی مستند شده است؟ آیا مالکیت قرارداد مشخص شده است؟
مرحله دوم مرور اسناد پروتکل است. این معمولاً از صفحه اصلی وب سایت آنها پیوند داده می شود و می تواند در GitBook یا یک رسانه مشابه نوشته شود. باید یک نمای کلی در سطح بالا از نحوه عملکرد پروتکل و سایر اطلاعات مرتبط که به زبان ساده نوشته شده است ارائه دهد تا من یا شما بتوانیم بفهمیم که قرار است از چه چیزی استفاده کنیم.
یک مثال خوب از آن PancakeSwap است: ببینید چقدر زیباست و وابیت های کوچک قابل درک هستند!
مستندسازی خوب به این معنی است که پروتکل کد خود را از درون می داند. پروتکلها به راحتی میتوانند پروتکلهای دیگر را بدون ایده کمی از نحوه عملکرد چیزها ایجاد کنند، که میتواند احتمال وقوع یک حادثه را افزایش دهد. اسناد مربوطه معمولاً به این معنی است که آنها آن را درک می کنند، زیرا می توانند اطلاعات را به چیزی قابل هضم تر ترکیب کنند.
یکی از حوزههای کلیدی که باید بهویژه مراقب باشید این است که آیا مالکان و مجوزهای قراردادهایی که در حال تعامل با آنها هستید فهرست شدهاند یا خیر. برخی از قراردادها را می توان به میل خود تغییر داد، که می تواند وجوه شما را در معرض خطرات جدیدی قرار دهد. مطمئن شوید که با افرادی که کنترل را در دست دارند احساس راحتی میکنید: فقط به این دلیل که میبینید دیگران به یک پروتکل اعتماد دارند، به این معنی نیست که پروتکل ایمن است. ببینید چگونه Tracer به صراحت بیان می کند که DAO آن مالک قراردادهای آنها است.
همچنین باید مراقب آدرس های قرارداد باشید. مجدداً بررسی کنید که آنها با آنهایی که در وب سایت پروتکل با آنها تعامل دارید یکسان باشند. گیربکس به صراحت آنها را به Etherscan مرتبط می کند تا بتوانید خودتان آنها را تأیید کنید. این اقدام ساده میتوانست به کاربران کمک کند از حمله frontend BadgerDAO که در آن انجام میشود، اجتناب کنند 120 میلیون دلار گرفته شد.
آیا کد ممیزی شده است؟
بررسی سومی که باید انجام دهید این است که ببینید آیا کد ممیزی شده است یا خیر. مؤسسات حسابرسی اطلاعات ارزشمندی را به کدی که می خواهید استفاده کنید ارائه می دهند. حسابرسی باید عمومی باشد و قراردادهای بررسی شده توسط حسابرسان باید فهرست شود. ببینید آیا ممیزی مشکلاتی را برجسته کرده است و آیا آنها حل شده اند، مانند ممیزی پروتکل 0x جایی که یک مشکل شناسایی و سپس رفع شد. مشخص شده با رنگ قرمز مشکل عمده ای است که مشخص شد و با رنگ سبز رفع شد. مشکلات عمده می تواند منجر به از دست رفتن سرمایه کاربر شود، بنابراین بسیار مهم است که پروتکل 0x یک جفت چشم دوم برای بررسی مجدد کد خود داشته باشد.
سوالات دیگری که ممکن است بپرسید عبارتند از:
- آیا حسابرسی مفصل است یا یک بازرسی گذرا؟
- چند نفر روی حسابرسی کار کردند؟
- ممیزی چقدر طول کشید تا انجام شود؟
- آیا ممیزی قبل از استقرار کد انجام شده است؟
- آیا تفکیک فنی مسائل پیدا شده است؟
در حالی که ممیزی ها بی خطا نیستند، آنها یک لایه امنیتی اضافی ارائه می دهند.
آیا Bug Bounty وجود دارد؟
بررسی ماقبل آخری که باید انجام دهید این است که آیا جایزه باگ وجود دارد. پروتکلها اغلب بودجهای را کنار میگذارند تا هکرها راهی برای شناسایی اکسپلویتها برای توسعهدهندگان بدون استفاده واقعی از آنها داشته باشند. در اجرای این برنامه ها، ارتش هکرهای کلاه سفید به تست استرس پروتکل ها هدایت می شوند. پاداش های بزرگتر توجه بیشتری را به خود جلب می کند که منجر به آزمایش بیشتر و در نهایت کد بهتر می شود. این مقادیر اغلب برای اطمینان از استفاده هکرها از این برنامه ها چشمگیر است.
به عنوان دلیلی بر اثربخشی این برنامه ها، نگاهی به armor.fi بیاندازید جایزه خود را از 27 هزار دلار به 700 هزار دلار افزایش داد. یک روز بعد، باگی که میتوانست پروتکل را از کار بیندازد، شناسایی و برطرف شد. این برنامهها کمک زیادی به اطمینان از ایمنتر شدن کد میکنند، به این معنی که وجوه شما نیز امنتر خواهد بود.
آیا تیم توسعه عمومی است و آیا آنها فعالانه با جامعه خود درگیر هستند؟
بررسی نهایی که باید انجام دهید مربوط به خود تیم توسعه است. برخی از توسعه دهندگان ناشناس می مانند، در حالی که برخی دیگر هویت خود را فاش می کنند. تیم های توسعه عمومی قبل از سرقت وجوه شما تردید خواهند کرد زیرا نام آنها برای همیشه توسط آن آلوده خواهد شد. تیم های ناشناس همان بازدارندگی را ندارند. در حالی که مهم است به یاد داشته باشید که برخی از توسعه دهندگان ناشناس با ارزش ترین مشارکت کنندگان DeFi هستند، شما باید این را با توانایی ناپدید شدن آنها متعادل کنید. به طور خلاصه، توسعه دهندگان عمومی از طریق هویت عمومی خود پاسخگو هستند.
تیم های خوب همچنین باید برای ارتباطات ارزش قائل شوند و ارتباط شما را با آنها آسان کنند. این یک دریچه آزادسازی مهم برای شکایات و پیشنهادات است - همه اینها یک پروتکل را قوی تر می کند. یک ناهماهنگی اجتماعی یا کانال تلگرام باید در وب سایت آنها پیوند داده شود تا به شما امکان بپرسید. آیا می توانید کسی را ببینید که سعی می کند با یک مدیر انجمن یا حتی یک توسعه دهنده در تماس باشد؟ آیا آنها مفید/دوستانه هستند؟ آیا آنها نگرانی های خود را نادیده می گیرند؟ اینها همه ملاحظات مهمی هستند.
با استفاده از این راهنما، باید بتوانید قبل از تأیید تراکنشهای خود، چند بررسی سریع در لحظه آخر را تکمیل کنید و امیدواریم در نتیجه کمی ایمنتر باشید.
با تشکر از خواندن، و میمون مبارک.
river0x کار می کند defisafety.com، که پروتکل های DeFi را بررسی می کند و شیوه های توسعه را اندازه گیری می کند. این کار با امتیاز دهی کامل به آنها در انواع نقاط داده کمی، تماس با تیم توسعه برای شفاف سازی و سپس انتشار گزارش به صورت رایگان انجام می شود. به طور کلی، هر چه امتیاز بالاتر باشد، احتمال کمتری برای پروتکل وجود دارد دچار نوعی سوء استفاده شوند.
پست اصلی را در ادامه بخوانید نافرجام
- "
- 0x
- 2021
- 67
- درباره ما
- عمل
- آدرس
- معرفی
- اجازه دادن
- مقدار
- محدوده
- ARM
- حسابرسی
- اشکال
- زنجیر
- چک
- رمز
- Coindesk
- coingecko
- ارتباط
- انجمن
- به طور کامل
- قرارداد
- قرارداد
- کنترل
- مختصات
- میتوانست
- بحرانی
- دائو
- داده ها
- روز
- DEFI
- مستقر
- استقرار
- با وجود
- توسعه
- توسعه دهنده
- توسعه دهندگان
- پروژه
- سازندگان
- DID
- سخت کوشی
- ناپدید می شوند
- فاجعه
- اختلاف
- به آسانی
- اثر
- بالا بردن
- به خصوص
- هر کس
- مثال
- تبادل
- تجربه
- برای همیشه
- چنگال
- فرم
- یافت
- رایگان
- تازه
- بودجه
- عموما
- GitHub
- خوب
- سبز
- راهنمایی
- هکرها
- خوشحال
- اینجا کلیک نمایید
- بالاتر
- برجسته
- چگونه
- چگونه
- HTTPS
- اندیشه
- شناسایی
- شناسایی
- مهم
- افزایش
- اطلاعات
- بینش
- موضوع
- مسائل
- IT
- خود
- کلید
- زبان
- بزرگتر
- برجسته
- منجر می شود
- احتمالا
- محدود شده
- لاین
- لینک ها
- فهرست
- ذکر شده
- کوچک
- طولانی
- نگاه
- عمده
- ساخت
- مدیر
- معنی
- متوسط
- بیش
- اکثر
- چندگانه
- نام
- دیگر
- خود
- صاحبان
- مالکیت
- مردم
- محوری
- فقیر
- پتانسیل
- خصوصی
- مشکل
- مشکلات
- مشخصات
- برنامه ها
- پروژه ها
- اثبات
- پروتکل
- پروتکل
- ارائه
- عمومی
- کمی
- سوال
- مطالعه
- بهبود یافتن
- آزاد
- مربوط
- گزارش
- مخزن
- تحقیق
- بررسی
- خطر
- خطرات
- خطرناک
- دویدن
- در حال اجرا
- امن
- تیم امنیت لاتاری
- تنظیم
- کوتاه
- قابل توجه
- مشابه
- ساده
- So
- نرم افزار
- توسعه نرم افزار
- راه حل
- برخی از
- کسی
- چیزی
- خرج کردن
- شروع
- ایالات
- فشار
- تیم
- فنی
- تلگرام
- آزمون
- تست
- از طریق
- نکات
- نکات و ترفندها
- لمس
- قرعه کشی
- معاملات
- شفافیت
- فهمیدن
- استفاده کنید
- کاربران
- معمولا
- ارزش
- دریچه
- تنوع
- Web3
- سایت اینترنتی
- چی
- چه
- در حین
- بدون
- مشغول به کار
- با این نسخهها کار
- یوتیوب