DeFi には次のような可能性があります。 時にはワイルドな場所。 一見防弾のように見えるプロトコルでも、 あっという間に敷物 または悪用を受けます トークン価格は決して回復しない.
ザ・ディファイアントのセキュリティに従って 意識向上の使命, 潜在的な災害を発生前に特定する方法について、いくつかのポイントを説明します。 私は自分の 日 プロジェクトがどのように開発を実施するかを特定し、最終的にコードがどのようにデプロイされるかを測定します。 200 を超えるプロトコルを評価した後、DeFi における不適切な開発慣行を特定するためのいくつかの洞察をピックアップしました。
インバースファイナンス および アクシーインフィニティ 最近悪用を受け、多額の資金を損失しました。 同じチームによって(同じ開発手法で)開発された、Axie の Ronin チェーン上で唯一の分散型取引所である Katana は、次のスコアを獲得しました。 5% 弊社の評価では。 逆スコア ずっといい しかし、いくつかの重要な分野ではまだ遅れをとっています。 どちらも監査されておらず、バグ報奨金もなく、テストの証拠が非常に限られているか、まったく提供されていませんでした。 Katana がどのように機能するかを説明することに関しては、特に不透明でした。 これらの問題を特定したにもかかわらず、これらのエクスプロイトは依然として発生し、ユーザーは依然としてライフ貯蓄を失いました。
このチェックリストを使用して、謙虚な類人猿/農夫/変性動物であるあなたに、DeFi 地雷原をナビゲートする際のリスク プロファイルに合わせてカスタマイズされたいくつかのヒントとコツを提供したいと思います。
これらのチェックはいずれも、完全に安全な DeFi エクスペリエンスを保証できる完璧なソリューションではないことに注意してください。 DeFi は依然として非常に危険な場所であり、プロトコルはこれらすべてのチェックを簡単に満たしていても、依然として悪用される可能性があります。 このチェックリストは非規範的なリストとして使用し、サルをする前に常に自分自身でデューデリジェンスを実施するようにしてください。
GitHub リポジトリを見つけることはできますか? しっかり肉付けされていますか?
人と対話する前に自問すべき最も基本的な質問から始めましょう。 どれか 契約。 プロトコルが使用する GitHub リポジトリを見つけることはできますか?
初心者のために説明すると、GitHub はチームがソフトウェア開発を調整するために使用する Web サイトです。 プロトコル名に続いて GitHub を検索すると、チームの GitHub を簡単に見つけることができます。
ここで尋ねるべき主な質問は、それが公開されているかどうかです。 の例を比較してみましょう Bancor の GitHub リポジトリ と グリムファイナンス、30 年 2021 月に 4000 万ドルで悪用されました。Bancor のリポジトリがどのように具体化されているかを見てください: 複数のフォルダー、プロトコルの README.md 概要、公開協力者、XNUMX 件を超える提出物。 Grim Finance のそれと比較してください – それは非公開です。 どのような契約をやり取りしているのかわかりません。
特に注意すべき重要な点は、プライベート リポジトリでは監査が役に立たないということです。開発者がデプロイした契約が監査人が調べたものと同じであるかどうかは、自分で検証できなければ確信が持てないからです。 透明性は DeFi 開発の重要な部分です。誰もがコードを精査できるようにすることで、より強力なコードが作成されます。 プライベート リポジトリは透明性を妨げ、web3 のオープンソース精神を損ないます。
プロトコルは十分に文書化されていますか? 契約の所有権は特定されていますか?
XNUMX 番目のステップは、プロトコルのドキュメントを参照することです。 これは通常、Web サイトのメイン ページからリンクされており、GitBook または同様の媒体で記述することができます。 これは、プロトコルがどのように機能するかについての概要と、その他の関連情報を簡単な言語で記述して、私たちが使用しようとしているプロトコルが何であるかを理解できるようにする必要があります。
この良い例は PancakeSwap です。見てください、なんてかわいいのでしょう。 および 小さなワビットの気持ちは理解できます!
優れたドキュメントは、プロトコルがそのコードを隅々まで理解していることを意味します。 プロトコルは、物事がどのように動作するかをほとんど理解していなくても、他のプロトコルを簡単にフォークすることができるため、インシデントが発生する可能性が高まります。 関連するドキュメントは通常、情報をより理解しやすいものに統合できるため、ユーザーがそれを理解していることを意味します。
特に注意が必要な重要な点は、やり取りしている契約の所有者と権限がリストに記載されているかどうかです。 一部の契約は任意に変更できるため、資金が新たなリスクにさらされる可能性があります。 誰が制御しているかについて安心できるようにしてください。他の人がプロトコルを信頼しているのを見たからといって、そのプロトコルが安全であるとは限りません。 Tracer が DAO がコントラクトを所有していることをどのように明示的に示しているかを確認してください。
契約アドレスにも注意する必要があります。 プロトコルの Web サイトでやり取りしているものと同じであることを再確認してください。 Gearbox はそれらを明示的に記述し、etherscan にリンクしているため、自分で検証できます。 この単純なアクションは、ユーザーが BadgerDAO のフロントエンド攻撃を回避するのに役立つ可能性があります。 120億XNUMX万ドルが取られました。
コードは監査されていますか?
実行する必要がある XNUMX 番目のチェックは、コードが監査されているかどうかを確認することです。 監査会社は、使用したいコードに関して貴重な新たな目を提供します。 監査は公開されるべきであり、監査人がレビューした契約書はリストに掲載されるべきです。 監査で問題が指摘されたかどうか、またそれらが解決されたかどうかを確認します。 0x プロトコルの監査 問題が特定され、修正された場合。 特定された重大な問題は赤で強調表示され、修正されたことは緑で強調表示されます。 重大な問題が発生するとユーザーの資金が失われる可能性があるため、0x Protocol がコードを再チェックするための XNUMX 番目の目を得ることが極めて重要です。
他に次のような質問を検討するとよいでしょう。
- 監査は詳細な監査ですか、それとも大まかな監査ですか?
- 監査には何人が携わりましたか?
- 監査の実行にはどのくらいの時間がかかりましたか?
- 監査はコードがデプロイされる前に実施されましたか?
- 問題の技術的な内訳は見つかっていますか?
監査は確実ではありませんが、追加のセキュリティ層を提供します。
バグ報奨金はありますか?
最後から XNUMX 番目に実行する必要があるチェックは、バグ報奨金があるかどうかです。 プロトコルは多くの場合、ハッカーが実際に使用せずに開発者にエクスプロイトを特定する方法を提供するために資金を確保します。 これらのプログラムを実行する際、ホワイトハットハッカーの軍隊はプロトコルのストレステストを行うよう指示されます。 報奨金が大きいほど注目が集まり、より多くのテストが行われ、最終的にはより良いコードが得られます。 ハッカーがこれらのプログラムを使用することを保証するには、これらの金額はしばしば目を見張るものです。
これらのプログラムの有効性の証拠として、armor.fi がどのように実行されるかを見てください。 報奨金を27ドルから700ドルに引き上げた。 XNUMX 日後、プロトコルをクラッシュさせる可能性のあるバグが特定され、修正されました。 これらのプログラムはコードの安全性を確実に高めるのに大いに役立ち、つまりあなたの資金もより安全になります。
開発チームは公開されており、コミュニティと積極的に関わっていますか?
最終チェックは開発チーム自体に対して行う必要があります。 匿名のままの開発者もいれば、身元を明かす開発者もいます。 公的開発チームは、資金を盗む前に躊躇するでしょう。なぜなら、彼らの名前が永遠に汚されるからです。 匿名チームには同じような阻害要因はありません。 一部の匿名開発者が DeFi に最も貴重な貢献者であることを覚えておくことは重要ですが、これと彼らの消滅能力とのバランスを取る必要があります。 つまり、公開開発者は公開アイデンティティを通じて責任を負うことになります。
優れたチームはコミュニケーションも重視し、あなたがチームと簡単に連絡できるようにする必要があります。 これは苦情や提案に対する重要な解放弁であり、これらすべてがプロトコルを強化します。 コミュニティの Discord または Telegram チャンネルを Web サイトにリンクして、質問できるようにする必要があります。 誰かがコミュニティマネージャーや開発者に連絡を取ろうとしているのが見えますか? 彼らは親切/フレンドリーですか? 彼らは自分たちの懸念を無視しますか? これらはすべて重要な考慮事項です。
このガイドを使用すると、取引を承認する前にいくつかの簡単な直前のチェックを完了でき、その結果、少しでも安全になることが期待されます。
読んでくれてありがとう、そして幸せに過ごしてください。
川0x のために働く デフィセーフティ.com、DeFiプロトコルをレビューし、開発慣行を測定します。 これは、さまざまな定量的データ ポイントに基づいて完全にスコアを付け、開発チームに連絡して説明を求めた後、レポートを無料でリリースすることによって行われます。 一般に、スコアが高いほど、プロトコルが次のことを行う可能性は低くなります。 何らかの形で搾取を受ける.
元の投稿を読む 反抗的
- "
- 0x
- 2021
- 67
- 私たちについて
- Action
- アドレス
- すべて
- 許可
- 金額
- AREA
- ARM
- 監査
- バグ
- チェーン
- 小切手
- コード
- Coindesk
- CoinGecko
- コミュニケーション
- コミュニティ
- 完全に
- 縮小することはできません。
- 契約
- コントロール
- 調整する
- 可能性
- 重大な
- DAO
- データ
- 中
- DeFi
- 展開
- 展開する
- にもかかわらず
- 発展した
- Developer
- 開発者
- 開発
- 開発者
- DID
- 勤勉
- 姿を消す
- 災害
- 不和
- 簡単に
- 有効
- エレベート
- 特に
- 誰も
- 例
- 交換
- 体験
- に前進
- フォーク
- フォーム
- 発見
- 無料版
- 新鮮な
- 資金
- 一般に
- GitHubの
- 良い
- グリーン
- ガイド
- ハッカー
- ハッピー
- こちら
- より高い
- 強調表示された
- 認定条件
- How To
- HTTPS
- アイデア
- 識別する
- 識別
- 重要
- 増える
- 情報
- 洞察
- 問題
- 問題
- IT
- 自体
- キー
- 言語
- より大きい
- 主要な
- リード
- 可能性が高い
- 限定的
- LINE
- リンク
- リスト
- リストされた
- 少し
- 長い
- 見
- 主要な
- 作成
- マネージャー
- 意味
- ミディアム
- 他には?
- 最も
- の試合に
- 名
- その他
- 自分の
- 所有者
- 所有権
- のワークプ
- 極めて重要な
- 貧しいです
- 潜在的な
- プライベート
- 問題
- 問題
- プロフィール
- プログラム
- プロジェクト(実績作品)
- 証明
- プロトコル
- 提供します
- 公共
- 質問
- リーディング
- 回復する
- リリース
- 関連した
- レポート
- 倉庫
- 研究
- レビュー
- リスク
- リスク
- リスキーな
- ラン
- ランニング
- 安全な
- セキュリティ
- セッションに
- ショート
- 重要
- 同様の
- 簡単な拡張で
- So
- ソフトウェア
- ソフトウェア開発
- 溶液
- 一部
- 誰か
- 何か
- 過ごす
- start
- 米国
- ストレス
- チーム
- 技術的
- Telegram
- test
- テスト
- 介して
- ヒント
- ヒントとトリック
- touch
- トレーサー
- 取引
- 透明性
- わかる
- つかいます
- users
- 通常
- 値
- バルブ
- 多様
- Web3
- ウェブサイト
- この試験は
- かどうか
- while
- 無し
- 働いていました
- 作品
- ユーチューブ