Cinq conseils pour élever votre recherche DeFi

DeFi a le potentiel d'être un lieu parfois sauvage. Des protocoles apparemment à l'épreuve des balles peuvent tapis en un instant ou subir des exploits qui les prix symboliques ne se remettront jamais de.

Conformément à la sécurité de The Defiant mission de sensibilisation, je vais décrire quelques conseils sur la façon d'identifier une catastrophe potentielle avant qu'elle ne se produise. je passe mon jours identifier comment les projets conduisent le développement et mesurer comment ils finissent par déployer leur code. Après avoir évalué plus de 200 protocoles, nous avons recueilli quelques informations pour identifier les mauvaises pratiques de développement dans DeFi.

Finance inversée et les Axie Infinity ont récemment subi des exploits entraînant d'importantes pertes de fonds. Katana, le seul échange décentralisé sur la chaîne Ronin d'Axie qui a été développé par la même équipe (avec les mêmes pratiques de développement), a marqué 5% dans notre appréciation. Inverse marqué beaucoup mieux mais toujours à la traîne dans certains domaines critiques. Les deux n'étaient pas audités, n'avaient aucune prime de bogue et fournissaient des preuves de test extrêmement limitées, voire aucune. Katana était particulièrement opaque lorsqu'il s'agissait d'expliquer comment cela fonctionnait. Malgré l'identification de ces problèmes, ces exploits se produisaient toujours et les utilisateurs perdaient toujours leurs économies. 

Avec cette liste de contrôle, je veux vous armer - l'humble singe/fermier/degen - de quelques trucs et astuces personnalisés en fonction de votre profil de risque lorsque vous naviguez dans le champ de mines DeFi. 

Notez qu'aucune de ces vérifications n'est la solution parfaite qui peut garantir une expérience DeFi totalement sûre. DeFi reste un endroit incroyablement risqué et un protocole pourrait facilement répondre à tous ces contrôles et pourtant être exploité. Veuillez utiliser cette liste de contrôle comme une liste non normative et assurez-vous de toujours faire preuve de diligence raisonnable avant de singe. 

Puis-je trouver le dépôt GitHub ? Est-ce bien étoffé ?

Commençons par la question la plus fondamentale que vous devriez vous poser avant d'interagir avec tous Contrat. Puis-je trouver le référentiel GitHub utilisé par le protocole ? 

Pour les non-initiés, GitHub est un site Web que les équipes utilisent pour coordonner le développement de logiciels. Vous devriez pouvoir trouver facilement le GitHub d'une équipe en recherchant le nom d'un protocole, suivi de GitHub. 

La principale question que vous devriez vous poser ici est de savoir si c'est public. Comparons les exemples de Dépôt GitHub de Bancor et celui de Finance sinistre, qui a été exploité pour 30 millions de dollars en décembre 2021. Regardez à quel point le référentiel de Bancor est bien étoffé : plusieurs dossiers, un aperçu README.md du protocole, des collaborateurs publics, plus de 4000 soumissions. Comparez cela à Grim Finance's - c'est privé. Vous n'avez aucune idée des contrats avec lesquels vous interagissez. 

Il est particulièrement important de noter que les référentiels privés rendent les audits inutiles, car vous ne pouvez jamais être sûr que les contrats déployés par les développeurs sont les mêmes que ceux que les auditeurs ont examinés si vous ne pouvez pas les vérifier vous-même. La transparence est un élément important du développement DeFi : elle conduit à un code plus fort en permettant à tout le monde de l'examiner. Les référentiels privés empêchent la transparence et sapent l'esprit open source du web3. 

Le protocole est-il bien documenté ? La propriété du contrat est-elle identifiée ? 

Une deuxième étape consiste à parcourir la documentation du protocole. Ceci est généralement lié à la page principale de leur site Web et peut être écrit dans GitBook ou un support similaire. Il doit fournir un aperçu de haut niveau du fonctionnement du protocole et d'autres informations pertinentes écrites dans un langage simple afin que vous ou moi puissions comprendre ce que nous allons utiliser. 

Un bon exemple de ceci est PancakeSwap : regardez comme c'est mignon et les compréhensibles les petits wabbits sont ! 

Une bonne documentation signifie que le protocole connaît parfaitement son code. Les protocoles peuvent facilement bifurquer d'autres protocoles avec peu d'idée de la façon dont les choses fonctionnent, ce qui peut augmenter la probabilité d'un incident. Une documentation pertinente signifie généralement qu'ils la comprennent, car ils peuvent synthétiser les informations en quelque chose de plus digeste. 

Un domaine clé sur lequel il faut rester particulièrement vigilant est de savoir si les propriétaires et les autorisations des contrats avec lesquels vous interagissez sont répertoriés ou non. Certains contrats peuvent être modifiés à volonté, ce qui peut exposer vos fonds à de nouveaux risques. Assurez-vous de vous sentir à l'aise avec qui contrôle : ce n'est pas parce que vous voyez d'autres personnes faire confiance à un protocole qu'il est sûr. Voyez comment Tracer déclare explicitement que son DAO est propriétaire de ses contrats. 

Vous devez également rester vigilant pour les adresses de contrat. Vérifiez qu'ils sont identiques à ceux avec lesquels vous interagissez sur le site Web du protocole. Gearbox les indique explicitement et les relie à etherscan afin que vous puissiez les vérifier vous-même. Cette action simple aurait pu aider les utilisateurs à éviter l'attaque frontale de BadgerDAO dans laquelle 120 millions de dollars ont été prélevés. 

Le code est-il audité ?

Une troisième vérification que vous devez effectuer consiste à voir si le code a été audité. Les cabinets d'audit offrent un regard neuf et précieux sur le code que vous souhaitez utiliser. L'audit doit être public et les contrats examinés par les auditeurs doivent être répertoriés. Voyez si l'audit a mis en évidence des problèmes et s'ils ont été résolus, tels que 0x Audit du protocole où un problème a été identifié puis corrigé. Surligné en rouge est un problème majeur qui a été identifié, et en vert qu'il a été résolu. Des problèmes majeurs pourraient entraîner la perte des fonds des utilisateurs, il est donc essentiel que 0x Protocol ait une deuxième paire d'yeux pour revérifier leur code. 

Les autres questions que vous pourriez envisager de poser sont les suivantes : 

• L'audit est-il détaillé ou une inspection superficielle ?
• Combien de personnes ont travaillé sur l'audit ?
• Combien de temps l'audit a-t-il duré ?
• L'audit a-t-il été réalisé avant le déploiement du code ?
• Existe-t-il une ventilation technique des problèmes détectés ?

Bien que les audits ne soient pas infaillibles, ils offrent une couche de sécurité supplémentaire.

Existe-t-il un Bug Bounty ? 

L'avant-dernière vérification que vous devez exécuter est de savoir s'il y a une prime de bogue. Les protocoles réservent souvent des fonds afin que les pirates aient un moyen d'identifier les exploits aux développeurs sans les utiliser réellement. Lors de l'exécution de ces programmes, des armées de hackers chapeau blanc sont chargées de tester les protocoles. Les primes plus importantes attirent plus d'attention, ce qui conduit à plus de tests et éventuellement à un meilleur code. Ces montants sont souvent exorbitants pour s'assurer que les pirates utilisent ces programmes. 

Comme preuve de l'efficacité de ces programmes, regardez comment armor.fi a augmenté sa prime de 27 700 $ à XNUMX XNUMX $. Un jour plus tard, un bogue qui aurait pu potentiellement planter le protocole a été identifié et corrigé. Ces programmes contribuent grandement à garantir que le code devient plus sûr, ce qui signifie que vos fonds seront également plus sûrs. 

L'équipe de développement est-elle publique et s'engage-t-elle de manière proactive avec sa communauté ?

La vérification finale que vous devez faire concerne l'équipe de développement elle-même. Certains développeurs restent anonymes, tandis que d'autres révèlent leur identité. Les équipes de développement publiques hésiteront avant de voler vos fonds puisque leurs noms en seront à jamais entachés. Les équipes anonymes n'ont pas la même dissuasion. S'il est important de se rappeler que certains développeurs anonymes sont les contributeurs les plus précieux de DeFi, vous devez équilibrer cela avec leur capacité à disparaître. En bref, les développeurs publics sont tenus responsables à travers leurs identités publiques.

Les bonnes équipes doivent également valoriser la communication et vous permettre d'entrer facilement en contact avec elles. C'est une soupape de libération importante pour les griefs et les suggestions - qui renforcent tous un protocole. Une discorde communautaire ou un canal de télégramme devrait être lié sur leur site Web vous permettant de poser des questions. Pouvez-vous voir quelqu'un essayer d'entrer en contact avec un gestionnaire de communauté ou même un développeur ? Sont-ils serviables/amicaux ? Est-ce qu'ils rejettent leurs préoccupations? Ce sont toutes des considérations importantes. 

À l'aide de ce guide, vous devriez être en mesure d'effectuer quelques vérifications rapides de dernière minute avant d'approuver vos transactions et, espérons-le, être un peu plus en sécurité en conséquence. 

Merci d'avoir lu et bon singe. 

rivière0x travaillant pour défisafety.com, qui examine les protocoles DeFi et mesure les pratiques de développement. Cela se fait en les notant entièrement sur une variété de points de données quantitatives, en contactant l'équipe de développement pour des éclaircissements, puis en publiant le rapport gratuitement. De manière générale, plus le score est élevé, moins un protocole est susceptible de subir une forme d'exploitation.

Lire le message original sur Le defiant

• Coinsmart. Le meilleur échange Bitcoin et Crypto d'Europe.
• Platoblockchain. Intelligence métaverse Web3. Connaissance amplifiée. ACCÈS LIBRE.
• CryptoHawk. Radar Altcoins. Essai gratuit.
• Source : https://thedefiant.io/defi-safety-tips/