Cinque suggerimenti per migliorare la tua ricerca DeFi

La DeFi ha il potenziale per essere un luogo selvaggio a volte. I protocolli apparentemente a prova di proiettile possono tappeto in un istante o subirne gli exploit i prezzi dei token non si riprenderanno mai.

In linea con la sicurezza di The Defiant missione di sensibilizzazione, delineerò alcuni suggerimenti su come identificare un potenziale disastro prima che si manifesti. spendo il mio giorni identificare come i progetti conducono lo sviluppo e misurare come finiscono per implementare il loro codice. Dopo aver valutato oltre 200 protocolli, abbiamo raccolto alcune informazioni per identificare pratiche di sviluppo scadenti nella DeFi.

Finanza inversa ed Axie Infinity recentemente ha subito exploit con conseguenti perdite significative di fondi. Katana, l'unico scambio decentralizzato sulla catena Ronin di Axie che è stato sviluppato dallo stesso team (con le stesse pratiche di sviluppo), ha segnato 5% nella nostra valutazione. Punteggio inverso molto meglio ma ancora in ritardo in alcune aree critiche. Entrambi non erano certificati, non avevano ricompense di bug e fornivano prove di test estremamente limitate o del tutto assenti. Katana era particolarmente opaca quando si trattava di spiegare come funzionava. Nonostante l'identificazione di questi problemi, questi exploit si sono verificati ancora e gli utenti hanno comunque perso i risparmi di una vita. 

Con questa lista di controllo, voglio fornire a te, l'umile scimmia/agricoltore/degen, alcuni suggerimenti e trucchi personalizzati in base al tuo profilo di rischio mentre navighi nel campo minato della DeFi. 

Tieni presente che nessuno di questi controlli è la soluzione perfetta in grado di garantire un'esperienza DeFi completamente sicura. La DeFi rimane un luogo incredibilmente rischioso e un protocollo potrebbe facilmente soddisfare tutti questi controlli e tuttavia essere sfruttato. Si prega di utilizzare questo elenco di controllo come un elenco non prescrittivo e assicurarsi di condurre sempre la propria due diligence prima di scimmiottare. 

Posso trovare il repository GitHub? È ben strutturato?

Iniziamo con la domanda più fondamentale che dovresti porti prima di interagire con in qualsiasi contrarre. Posso trovare il repository GitHub utilizzato dal protocollo? 

Per chi non lo sapesse, GitHub è un sito Web che i team utilizzano per coordinare lo sviluppo del software. Dovresti essere in grado di trovare facilmente il GitHub di un team cercando il nome di un protocollo, seguito da GitHub. 

La domanda principale che dovresti porre qui è se è pubblico. Confrontiamo gli esempi di Repository GitHub di Bancor e quello di Tesa finanza, che è stato sfruttato per $ 30 milioni a dicembre 2021. Guarda quanto è ben strutturato il repository di Bancor: più cartelle, una panoramica README.md del protocollo, collaboratori pubblici, oltre 4000 invii. Confrontalo con quello di Grim Finance: è privato. Non hai idea di quali contratti stai interagendo. 

Ciò che è particolarmente importante da notare è che i repository privati ​​rendono inutili gli audit, perché non si può mai essere sicuri che i contratti distribuiti dagli sviluppatori siano gli stessi che hanno esaminato gli auditor se non è possibile verificarli da soli. La trasparenza è una parte importante dello sviluppo della DeFi: porta a un codice più forte consentendo a tutti di esaminarlo. I repository privati ​​impediscono la trasparenza e minano lo spirito open source di web3. 

Il protocollo è ben documentato? La proprietà del contratto è identificata? 

Un secondo passaggio consiste nel sfogliare la documentazione del protocollo. Questo di solito è collegato dalla pagina principale del loro sito Web e potrebbe essere scritto in GitBook o un supporto simile. Dovrebbe fornire una panoramica di alto livello di come funziona il protocollo e altre informazioni rilevanti scritte in un linguaggio semplice in modo che tu o io possiamo capire cosa stiamo per usare. 

Un buon esempio di questo è PancakeSwap: guarda che carino ed comprensibili sono i piccoli wabbit! 

Una buona documentazione significa che il protocollo conosce il suo codice alla perfezione. I protocolli possono facilmente biforcare altri protocolli con poca idea di come funzionano le cose, il che può aumentare la probabilità di un incidente. La documentazione pertinente di solito significa che la capiscono, poiché possono sintetizzare le informazioni in qualcosa di più digeribile. 

Un'area chiave su cui prestare particolare attenzione è se sono elencati o meno i proprietari e le autorizzazioni dei contratti con cui stai interagendo. Alcuni contratti possono essere modificati a piacimento, il che può esporre i tuoi fondi a nuovi rischi. Assicurati di sentirti a tuo agio con chi ha il controllo: solo perché vedi altri che si fidano di un protocollo non significa che sia sicuro. Guarda come Tracer afferma esplicitamente che il suo DAO possiede i loro contratti. 

Dovresti anche rimanere vigile per gli indirizzi dei contratti. Ricontrolla che siano gli stessi con cui stai interagendo sul sito Web del protocollo. Gearbox li dichiara esplicitamente e li collega a etherscan in modo da poterli verificare tu stesso. Questa semplice azione avrebbe potuto aiutare gli utenti a evitare l'attacco frontend di BadgerDAO in cui Sono stati presi 120 milioni di dollari. 

Il codice è controllato?

Un terzo controllo da eseguire è vedere se il codice è stato controllato. Le società di revisione forniscono un prezioso paio di occhi nuovi sul codice che si desidera utilizzare. L'audit dovrebbe essere pubblico e dovrebbero essere elencati i contratti esaminati dai revisori dei conti. Verificare se l'audit ha evidenziato problemi e se sono stati risolti, ad esempio 0x Audit del protocollo dove un problema è stato identificato e quindi risolto. Evidenziato in rosso è un problema importante che è stato identificato e in verde che è stato risolto. Problemi importanti potrebbero comportare la perdita di fondi degli utenti, quindi è fondamentale che il protocollo 0x abbia un secondo paio di occhi per ricontrollare il loro codice. 

Altre domande che potresti porre sono: 

• L'audit è dettagliato o un'ispezione superficiale?
• Quante persone hanno lavorato all'audit?
• Quanto tempo ci è voluto per eseguire l'audit?
• L'audit è stato condotto prima della distribuzione del codice?
• C'è una ripartizione tecnica dei problemi riscontrati?

Sebbene gli audit non siano infallibili, forniscono un ulteriore livello di sicurezza.

C'è un Bug Bounty? 

Il penultimo controllo che dovresti eseguire è se c'è una taglia di bug. I protocolli spesso mettono da parte fondi in modo che gli hacker abbiano un modo per identificare gli exploit per gli sviluppatori senza effettivamente utilizzarli. Nell'esecuzione di questi programmi, eserciti di hacker white hat sono diretti a sottoporre a stress test i protocolli. Ricompense più grandi attirano più attenzione portando a più test e alla fine a un codice migliore. Questi importi sono spesso sbalorditivi per garantire che gli hacker utilizzino questi programmi. 

A riprova dell'efficacia di questi programmi, guarda come armor.fi hanno aumentato la loro taglia da $ 27 a $ 700. Il giorno dopo, è stato identificato e corretto un bug che avrebbe potuto potenzialmente causare il crash del protocollo. Questi programmi fanno molto per assicurarsi che il codice diventi più sicuro, il che significa che anche i tuoi fondi saranno più sicuri. 

Il team di sviluppo è pubblico e si impegna in modo proattivo con la propria community?

Il controllo finale che dovresti fare è sul team di sviluppo stesso. Alcuni sviluppatori rimangono anonimi, mentre altri rivelano le loro identità. I team di sviluppo pubblico esiteranno prima di rubare i tuoi fondi poiché i loro nomi ne saranno contaminati per sempre. Le squadre anonime non hanno lo stesso disincentivo. Sebbene sia importante ricordare che alcuni sviluppatori anonimi sono i contributori più preziosi alla DeFi, devi bilanciare questo con la loro capacità di scomparire. In breve, gli sviluppatori pubblici sono ritenuti responsabili attraverso le loro identità pubbliche.

I buoni team dovrebbero anche valorizzare la comunicazione e renderti facile entrare in contatto con loro. È un'importante valvola di sfogo per reclami e suggerimenti, che rafforzano il protocollo. Una discordia della comunità o un canale di telegramma dovrebbero essere collegati al loro sito Web per consentirti di porre domande. Riesci a vedere qualcuno che cerca di mettersi in contatto con un community manager o anche con uno sviluppatore? Sono disponibili/amichevoli? Respingono le loro preoccupazioni? Sono tutte considerazioni importanti. 

Utilizzando questa guida dovresti essere in grado di completare alcuni rapidi controlli dell'ultimo minuto prima di approvare le tue transazioni e, si spera, essere un po' più sicuro di conseguenza. 

Grazie per la lettura e buona scimmia. 

fiume0x lavori per defisafety.com, che esamina i protocolli DeFi e misura le pratiche di sviluppo. Questo viene fatto valutandoli interamente su una varietà di punti di dati quantitativi, contattando il team di sviluppo per chiarimenti e quindi rilasciando il rapporto gratuitamente. In generale, più alto è il punteggio, meno è probabile che un protocollo lo faccia subire una qualche forma di sfruttamento.

Leggi il post originale su Il ribelle

• Coinsmart. Il miglior scambio di bitcoin e criptovalute d'Europa.
• Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. ACCESSO LIBERO.
• Criptofalco. Radar Altcoin. Prova gratuita.
• Fonte: https://thedefiant.io/defi-safety-tips/