A DeFi-nek megvan a lehetősége, hogy a vad hely időnként. A látszólag golyóálló protokollok képesek szőnyeg egy pillanat alatt vagy elszenvedi kihasználja azt token árak soha nem fognak talpra állni.
A The Defiant biztonságával összhangban tudatosító küldetés, felvázolok néhány támpontot arra vonatkozóan, hogyan lehet azonosítani egy lehetséges katasztrófát, mielőtt kibontakozna. költöm az én napok annak azonosítása, hogy a projektek hogyan hajtják végre a fejlesztést, és mérjük, hogyan vezetik be a kódjukat. Több mint 200 protokoll értékelése után összegyűjtöttünk néhány betekintést a DeFi gyenge fejlesztési gyakorlatainak azonosítására.
Inverz pénzügyek és a Axie Végtelen a közelmúltban jelentős pénzveszteséget okozó visszaéléseket szenvedett el. A Katana, az egyetlen decentralizált központ az Axie's Ronin láncon, amelyet ugyanaz a csapat fejlesztett ki (ugyanolyan fejlesztési gyakorlattal) 5% értékelésünkben. Inverse gólt szerzett sokkal jobb de néhány kritikus területen még mindig lemaradt. Mindkettő nem volt auditálva, nem tartalmazott hibajavítást, és rendkívül korlátozottan igazolták a tesztelést, vagy egyáltalán nem. Katana különösen átláthatatlan volt, amikor el kellett magyaráznia, hogyan működik. Annak ellenére, hogy azonosították ezeket a problémákat, ezek a visszaélések továbbra is megtörténtek, és a felhasználók továbbra is elvesztették életük megtakarításait.
Ezzel az ellenőrző listával szeretnélek felvértezni téged – az alázatos majmot/gazdát/degent – néhány tippel és trükkel, amelyek a kockázati profilodhoz szabhatók, miközben a DeFi aknamezőn navigálsz.
Vegye figyelembe, hogy ezen ellenőrzések egyike sem a tökéletes megoldás, amely garantálja a teljesen biztonságos DeFi élményt. A DeFi továbbra is hihetetlenül kockázatos hely, és egy protokoll könnyen megfelelhet ezeknek az ellenőrzéseknek, és mégis kihasználható. Kérjük, használja ezt az ellenőrző listát nem előíró listaként, és győződjön meg róla, hogy mindig saját átvilágítást végez a majmolás előtt.
Megtalálom a GitHub adattárat? Jól húsos?
Kezdjük a legalapvetőbb kérdéssel, amelyet fel kell tennie magának, mielőtt kapcsolatba lép bármilyen szerződés. Megkereshetem a protokoll által használt GitHub-tárat?
Az avatatlanok számára a GitHub egy olyan webhely, amelyet a csapatok a szoftverfejlesztés koordinálására használnak. Könnyen meg kell találnia egy csapat GitHubját, ha rákeres egy protokoll nevére, majd a GitHubra.
A fő kérdés, amit itt fel kell tenni, az az, hogy nyilvános-e. Hasonlítsuk össze a példákat A Bancor GitHub tárháza és az Grim pénzügyek, amelyet 30 millió dollárért használtak ki 2021 decemberében. Nézze meg, milyen jól kidolgozott a Bancor tárháza: több mappa, a README.md protokoll áttekintése, nyilvános együttműködők, 4000+ beküldés. Hasonlítsa össze a Grim Finance-éval – ez privát. Fogalma sincs, milyen szerződésekkel áll kapcsolatban.
Különösen fontos megjegyezni, hogy a privát adattárak használhatatlanná teszik az auditokat, mert soha nem lehet biztos abban, hogy a fejlesztők által alkalmazott szerződések ugyanazok, mint amelyeket az auditorok megvizsgáltak, ha Ön nem tudja ellenőrizni őket. Az átláthatóság a DeFi fejlesztésének fontos része: erősebb kódhoz vezet azáltal, hogy mindenki átvizsgálja. A privát adattárak megakadályozzák az átláthatóságot, és aláássák a web3 nyílt forráskódú szellemét.
Jól dokumentált a protokoll? Meg van határozva a szerződéses tulajdonjog?
A második lépés a protokoll dokumentációjának böngészése. Ez általában a webhelyük főoldaláról van linkelve, és GitBook-ba vagy hasonló médiába írható. Magas szintű áttekintést kell nyújtania a protokoll működéséről, és egyéb releváns információkat egyszerű nyelven megírva, hogy Ön vagy én megérthessük, mit fogunk használni.
Jó példa erre a PancakeSwap: nézd milyen aranyos és a érthetőek a kis wabbitok!
A jó dokumentáció azt jelenti, hogy a protokoll belülről ismeri a kódját. A protokollok könnyen elágazhatnak más protokollokat anélkül, hogy fogalmuk sincs a dolgok működéséről, ami növelheti az incidens valószínűségét. A releváns dokumentáció általában azt jelenti, hogy megértik, mivel az információt valami emészthetőbb dologgá tudják szintetizálni.
A kulcsfontosságú terület, amelyre különösen ügyelni kell, az, hogy fel vannak-e sorolva az Ön által érintett szerződések tulajdonosai és engedélyei. Egyes szerződések tetszés szerint módosíthatók, ami új kockázatoknak teheti ki pénzeszközeit. Győződjön meg arról, hogy jól érzi magát azzal, hogy ki irányítja: az, hogy látja, hogy mások megbíznak egy protokollban, még nem jelenti azt, hogy az biztonságos. Tekintse meg, hogy a Tracer kifejezetten kijelenti, hogy a DAO tulajdonosa a szerződéseik.
Vigyáznia kell a szerződéses címekre is. Ellenőrizze még egyszer, hogy megegyeznek-e azokkal, amelyekkel kapcsolatba lép a protokoll webhelyén. A Gearbox kifejezetten kimondja és összekapcsolja őket az etherscan-nel, így Ön is ellenőrizheti őket. Ez az egyszerű művelet segíthetett volna a felhasználóknak elkerülni a BadgerDAO frontend támadását, amelyben 120 millió dollárt vittek el.
A kód auditált?
A harmadik ellenőrzés, amelyet el kell végeznie, annak ellenőrzése, hogy a kódot ellenőrizték-e. A könyvvizsgáló cégek értékes új szempárt biztosítanak a használni kívánt kódról. Az ellenőrzésnek nyilvánosnak kell lennie, és fel kell sorolni a könyvvizsgálók által felülvizsgált szerződéseket. Nézze meg, hogy az audit feltárt-e valamilyen problémát, és sikerült-e megoldani, mint pl 0x Protokoll audit ahol egy problémát azonosítottak, majd javítottak. A pirossal kiemelve az azonosított fő probléma, zölddel pedig azt, hogy kijavították. A nagyobb problémák a felhasználói források elvesztéséhez vezethetnek, ezért kulcsfontosságú, hogy a 0x Protocol kapott egy második szempárt a kód ellenőrzéséhez.
További kérdések, amelyeket érdemes feltenni:
- Az audit részletes vagy felületes ellenőrzés?
- Hányan dolgoztak az auditon?
- Mennyi ideig tartott az audit elvégzése?
- Megtörtént-e az ellenőrzés a kód bevezetése előtt?
- Létezik a talált problémák technikai részlete?
Bár az auditok nem tévedhetetlenek, további biztonságot nyújtanak.
Van Bug Bounty?
Az utolsó előtti ellenőrzés, amelyet le kell futtatnia, az, hogy van-e hibajavítás. A protokollok gyakran elkülönítenek pénzeszközöket, hogy a hackerek úgy azonosítsák a fejlesztők számára a visszaéléseket, hogy azokat ténylegesen nem használják fel. E programok futtatása során fehérkalapos hackerek hadait irányítják a protokollok stressztesztjére. A nagyobb jutalmak több figyelmet vonzanak, ami több teszteléshez és végül jobb kódhoz vezet. Ezek az összegek gyakran szemet gyönyörködtetőek annak biztosítására, hogy a hackerek használják ezeket a programokat.
E programok hatékonyságának bizonyítékaként nézze meg, hogyan az armor.fi 27 700 dollárról XNUMX XNUMX dollárra emelték a jutalmukat. Egy nappal később azonosítottak és javítottak egy hibát, amely potenciálisan összeomolhatta a protokollt. Ezek a programok nagymértékben hozzájárulnak a kód biztonságosabbá tételéhez, ami azt jelenti, hogy az Ön pénzeszközei is biztonságosabbak lesznek.
Nyilvános-e a fejlesztőcsapat, és proaktívan együttműködnek-e közösségükkel?
Az utolsó ellenőrzést magának a fejlesztőcsapatnak kell elvégeznie. Egyes fejlesztők névtelenek maradnak, míg mások felfedik kilétüket. A nyilvános fejlesztőcsapatok habozni fognak, mielőtt ellopnák az Ön pénzét, mert a nevüket örökre beszennyezi. Az anonim csapatok nem rendelkeznek ugyanilyen visszatartó erővel. Bár fontos megjegyezni, hogy egyes névtelen fejlesztők a DeFi legértékesebb közreműködői, ezt egyensúlyba kell hoznia az eltűnési képességükkel. Röviden: a nyilvános fejlesztőket nyilvános identitásukon keresztül vonják felelősségre.
A jó csapatoknak értékelniük kell a kommunikációt is, és meg kell könnyíteniük a velük való kapcsolatfelvételt. Ez egy fontos kioldószelep a sérelmek és javaslatok számára – amelyek mindegyike erősebbé teszi a protokollt. Egy közösségi viszályt vagy távirati csatornát linkelni kell a webhelyükön, hogy kérdéseket tegyen fel. Látod, hogy valaki megpróbál kapcsolatba lépni egy közösségi menedzserrel vagy akár egy fejlesztővel? Segítőkészek/barátságosak? Elvetik az aggodalmukat? Ezek mind fontos szempontok.
Ennek az útmutatónak a segítségével végre kell hajtania néhány gyors utolsó pillanatban végzett ellenőrzést a tranzakciók jóváhagyása előtt, és remélhetőleg ezáltal egy kicsit nagyobb biztonságban lesz.
Köszönöm, hogy elolvastad, és boldog majmolást.
folyó0x dolgozik defisafety.com, amely áttekinti a DeFi protokollokat és méri a fejlesztési gyakorlatokat. Ez úgy történik, hogy teljes egészében pontozzák őket különböző mennyiségi adatpontokon, felveszik a kapcsolatot a fejlesztőcsapattal pontosításért, majd ingyenesen közzéteszik a jelentést. Általánosságban elmondható, hogy minél magasabb a pontszám, annál kevésbé valószínű a protokoll elszenvedni valamilyen kizsákmányolást.
Olvassa el az eredeti bejegyzést A Defiant
- "
- 0x
- 2021
- 67
- Rólunk
- Akció
- címek
- Minden termék
- lehetővé téve
- Összegek
- TERÜLET
- ARM
- könyvvizsgálat
- Bogár
- lánc
- Ellenőrzések
- kód
- Coindesk
- CoinGecko
- közlés
- közösség
- teljesen
- szerződés
- szerződések
- ellenőrzés
- koordináta
- tudott
- kritikai
- DAO
- dátum
- nap
- Defi
- telepített
- bevezetéséhez
- Ellenére
- fejlett
- Fejlesztő
- fejlesztők
- Fejlesztés
- fejlesztőkkel
- DID
- szorgalom
- eltűnik
- katasztrófa
- viszály
- könnyen
- hatékonyság
- ELEMELNI
- különösen
- mindenki
- példa
- csere
- tapasztalat
- örökké
- villa
- forma
- talált
- Ingyenes
- friss
- alapok
- általában
- GitHub
- jó
- Zöld
- útmutató
- hackerek
- boldog
- itt
- <p></p>
- Kiemelt
- Hogyan
- How To
- HTTPS
- ötlet
- azonosítani
- azonosító
- fontos
- Növelje
- információ
- meglátások
- kérdés
- kérdések
- IT
- maga
- Kulcs
- nyelv
- nagyobb
- vezető
- vezetékek
- Valószínű
- Korlátozott
- vonal
- linkek
- Lista
- Listázott
- kis
- Hosszú
- nézett
- fontos
- Gyártás
- menedzser
- jelenti
- közepes
- több
- a legtöbb
- többszörös
- nevek
- Más
- saját
- tulajdonosok
- tulajdon
- Emberek (People)
- döntő
- szegény
- potenciális
- magán
- Probléma
- problémák
- profil
- Programok
- projektek
- bizonyíték
- protokoll
- protokollok
- ad
- nyilvános
- mennyiségi
- kérdés
- Olvasás
- Meggyógyul
- engedje
- jelentést
- raktár
- kutatás
- Vélemények
- Kockázat
- kockázatok
- Kockázatos
- futás
- futás
- biztonságos
- biztonság
- készlet
- rövid
- jelentős
- hasonló
- Egyszerű
- So
- szoftver
- szoftverfejlesztés
- megoldások
- néhány
- Valaki
- valami
- költ
- kezdet
- Államok
- feszültség
- csapat
- Műszaki
- Telegram
- teszt
- Tesztelés
- Keresztül
- tippek
- Tippek és trükkök
- érintse
- rajzol
- Tranzakciók
- Átláthatóság
- megért
- használ
- Felhasználók
- rendszerint
- érték
- szelep
- fajta
- Web3
- weboldal
- Mit
- vajon
- míg
- nélkül
- dolgozott
- művek
- youtube
