Vijf tips om uw DeFi-onderzoek naar een hoger niveau te tillen

DeFi heeft de potentie om een soms een wilde plek. Schijnbaar kogelvrije protocollen kunnen dat wel vloerkleed in een handomdraai of daar misbruik van maken tokenprijzen zullen nooit meer herstellen.

In lijn met de beveiliging van The Defiant bewustwordingsmissiezal ik een paar tips schetsen over hoe je een potentiële ramp kunt identificeren voordat deze zich ontvouwt. Ik besteed mijn dagen identificeren hoe projecten de ontwikkeling uitvoeren en meten hoe ze uiteindelijk hun code inzetten. Na het beoordelen van meer dan 200 protocollen hebben we een paar inzichten verzameld om slechte ontwikkelingspraktijken in DeFi te identificeren.

Inverse Financiën en Axie Oneindigheid heeft onlangs te maken gehad met exploits die tot aanzienlijke financiële verliezen hebben geleid. Katana, de enige gedecentraliseerde uitwisseling op de Ronin-keten van Axie die door hetzelfde team (met dezelfde ontwikkelingspraktijken) werd ontwikkeld, scoorde 5% in onze beoordeling. Omgekeerd gescoord veel beter maar bleef op sommige kritieke gebieden nog steeds achter. Beide waren niet gecontroleerd, hadden geen bugpremies en leverden uiterst beperkt of helemaal geen bewijs van testen. Katana was vooral ondoorzichtig als het erom ging uit te leggen hoe het werkte. Ondanks het identificeren van deze problemen, vonden deze exploits nog steeds plaats en raakten gebruikers nog steeds hun spaargeld kwijt. 

Met deze checklist wil ik jou – de nederige aap/boer/degen – bewapenen met een paar tips en trucs die zijn afgestemd op jouw risicoprofiel terwijl je door het DeFi-mijnenveld navigeert. 

Houd er rekening mee dat geen van deze controles de perfecte oplossing is die een volledig veilige DeFi-ervaring kan garanderen. DeFi blijft een ongelooflijk riskante plek en een protocol zou gemakkelijk aan al deze controles kunnen voldoen en toch kunnen worden uitgebuit. Gebruik deze checklist a.u.b. als een niet-prescriptieve lijst en zorg ervoor dat u altijd uw eigen due diligence-onderzoek uitvoert voordat u gaat apen. 

Kan ik de GitHub-repository vinden? Is het goed uitgewerkt?

Laten we beginnen met de meest fundamentele vraag die u uzelf moet stellen voordat u ermee aan de slag gaat elke contract. Kan ik de GitHub-repository vinden die door het protocol wordt gebruikt? 

Voor niet-ingewijden: GitHub is een website die teams gebruiken om de softwareontwikkeling te coördineren. Je zou de GitHub van een team gemakkelijk moeten kunnen vinden door te zoeken naar de naam van een protocol, gevolgd door GitHub. 

De belangrijkste vraag die u hier moet stellen, is of deze openbaar is. Laten we de voorbeelden vergelijken van Bancor's GitHub-repository en dat van Grimmige Financiën, dat in december 30 voor 2021 miljoen dollar werd geëxploiteerd. Kijk eens hoe goed de repository van Bancor is uitgewerkt: meerdere mappen, een README.md-overzicht van het protocol, openbare bijdragers, meer dan 4000 inzendingen. Vergelijk dat eens met dat van Grim Finance: het is privé. U heeft geen idee met welke contracten u te maken heeft. 

Wat vooral belangrijk is om op te merken is dat privérepository's audits nutteloos maken, omdat je er nooit zeker van kunt zijn dat de contracten die de ontwikkelaars hebben opgesteld dezelfde zijn als waar de auditors naar hebben gekeken als je ze niet zelf kunt verifiëren. Transparantie is een belangrijk onderdeel van de ontwikkeling van DeFi: het leidt tot sterkere code doordat iedereen deze onder de loep kan nemen. Privéopslagplaatsen verhinderen transparantie en ondermijnen de open-sourcegeest van web3. 

Is het protocol goed gedocumenteerd? Wordt contracteigendom geïdentificeerd? 

Een tweede stap is het bladeren door de documentatie van het protocol. Dit is meestal gelinkt vanaf de hoofdpagina van hun website en kan in GitBook of een vergelijkbaar medium worden geschreven. Het moet een overzicht op hoog niveau bieden van hoe het protocol werkt en andere relevante informatie, geschreven in eenvoudige taal, zodat jij of ik kunnen begrijpen wat we gaan gebruiken. 

Een mooi voorbeeld hiervan is PancakeSwap: kijk eens hoe schattig en begrijpelijk zijn de kleine wabbits! 

Goede documentatie betekent dat het protocol de code door en door kent. Protocollen kunnen gemakkelijk andere protocollen afsplitsen zonder enig idee van hoe de zaken werken, wat de kans op een incident kan vergroten. Relevante documentatie betekent meestal dat ze het wel begrijpen, omdat ze de informatie kunnen synthetiseren tot iets beter verteerbaars. 

Een belangrijk gebied waar u vooral waakzaam op moet blijven, is of de eigenaren en machtigingen van de contracten waarmee u te maken heeft, al dan niet worden vermeld. Sommige contracten kunnen naar believen worden gewijzigd, waardoor uw geld aan nieuwe risico's kan worden blootgesteld. Zorg ervoor dat u zich op uw gemak voelt bij wie de controle heeft: het feit dat u ziet dat anderen een protocol vertrouwen, betekent niet dat het veilig is. Zie hoe Tracer expliciet stelt dat zijn DAO eigenaar is van hun contracten. 

U moet ook waakzaam blijven voor contractadressen. Controleer nogmaals of ze dezelfde zijn als degene waarmee u communiceert op de website van het protocol. Gearbox vermeldt ze expliciet en koppelt ze aan etherscan zodat je ze zelf kunt verifiëren. Deze eenvoudige actie had gebruikers kunnen helpen de frontend-aanval van BadgerDAO te vermijden Er werd 120 miljoen dollar buitgemaakt. 

Wordt de code gecontroleerd?

Een derde controle die u moet uitvoeren, is kijken of de code is gecontroleerd. Accountantskantoren bieden waardevolle, frisse ogen op de code die u wilt gebruiken. De audit moet openbaar zijn en de door de auditors beoordeelde contracten moeten worden vermeld. Kijk of de audit problemen aan het licht heeft gebracht en of deze zijn opgelost, bijvoorbeeld 0x Protocol-audit waar een probleem werd geïdentificeerd en vervolgens opgelost. In het rood is een groot probleem aangegeven dat is geïdentificeerd, en in het groen is aangegeven dat het is opgelost. Grote problemen kunnen resulteren in het verlies van gebruikersgelden, dus het is van cruciaal belang dat 0x Protocol een tweede paar ogen krijgt om hun code nogmaals te controleren. 

Andere vragen die u zou kunnen overwegen zijn: 

• Is de audit gedetailleerd of een vluchtige inspectie?
• Hoeveel mensen hebben aan de audit gewerkt?
• Hoe lang heeft de audit geduurd?
• Is de audit uitgevoerd voordat de code werd geïmplementeerd?
• Is er een technisch overzicht van de gevonden problemen?

Hoewel audits niet onfeilbaar zijn, bieden ze wel een extra beveiligingslaag.

Is er een bugbounty? 

De voorlaatste controle die u moet uitvoeren, is of er een bugbounty is. Protocollen zetten vaak geld opzij, zodat hackers een manier hebben om exploits aan ontwikkelaars te identificeren zonder deze daadwerkelijk te gebruiken. Bij het uitvoeren van deze programma's krijgen legers white hat-hackers de opdracht om de protocollen aan een stresstest te onderwerpen. Grotere premies trekken meer aandacht, wat leidt tot meer tests en uiteindelijk betere code. Deze bedragen zijn vaak oogstrelend om ervoor te zorgen dat hackers deze programma’s gebruiken. 

Als bewijs van de effectiviteit van deze programma's kun je kijken naar hoe armour.fi verhoogde hun premie van $ 27 naar $ 700. Een dag later werd een bug geïdentificeerd en verholpen die mogelijk het protocol had kunnen laten crashen. Deze programma's zorgen ervoor dat de code veiliger wordt, wat betekent dat uw geld ook veiliger zal zijn. 

Is het ontwikkelingsteam openbaar en engageren ze zich proactief met hun gemeenschap?

De laatste controle die u moet uitvoeren, is die van het ontwikkelteam zelf. Sommige ontwikkelaars blijven anoniem, terwijl anderen hun identiteit onthullen. Openbare ontwikkelingsteams zullen aarzelen voordat ze uw geld stelen, omdat hun naam er voor altijd door zal worden besmet. Anonieme teams hebben niet dezelfde belemmering. Hoewel het belangrijk is om te onthouden dat sommige anonieme ontwikkelaars de meest waardevolle bijdragers aan DeFi zijn, moet je dit in evenwicht brengen met hun vermogen om te verdwijnen. Kortom, publieke ontwikkelaars worden verantwoordelijk gehouden via hun publieke identiteit.

Goede teams moeten ook communicatie waarderen en het u gemakkelijk maken om met hen in contact te komen. Het is een belangrijke uitlaatklep voor klachten en suggesties – die allemaal een protocol sterker maken. Er moet een community-discord- of telegramkanaal op hun website worden gelinkt, zodat u vragen kunt stellen. Zie je iemand proberen in contact te komen met een communitymanager of zelfs een ontwikkelaar? Zijn ze behulpzaam/vriendelijk? Negeren zij hun zorgen? Dit zijn allemaal belangrijke overwegingen. 

Met behulp van deze handleiding zou u enkele snelle last-minute controles moeten kunnen uitvoeren voordat u uw transacties goedkeurt, en daardoor hopelijk een beetje veiliger zijn. 

Bedankt voor het lezen, en veel aapplezier. 

rivier0x werkt voor defisafety.com, waarin DeFi-protocollen worden beoordeeld en ontwikkelingspraktijken worden gemeten. Dit wordt gedaan door ze volledig te scoren op een verscheidenheid aan kwantitatieve gegevenspunten, contact op te nemen met het ontwikkelingsteam voor opheldering en vervolgens het rapport gratis vrij te geven. Over het algemeen geldt: hoe hoger de score, hoe kleiner de kans dat een protocol dat doet lijden onder een vorm van uitbuiting.

Lees het originele bericht op De Defiant

• Coinsmart. Europa's beste Bitcoin- en crypto-uitwisseling.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. GRATIS TOEGANG.
• CryptoHawk. Altcoin-radar. Gratis proefversie.
• Bron: https://thedefiant.io/defi-safety-tips/