Fem tips for å øke DeFi-forskningen din

DeFi har potensial til å være en vill sted til tider. Tilsynelatende skuddsikre protokoller kan teppe på et øyeblikk eller lide utnyttelser som token-priser vil aldri komme seg fra.

I tråd med The Defiants sikkerhet bevisstgjøringsoppdrag, vil jeg skissere noen tips om hvordan du identifiserer en potensiell katastrofe før den utspiller seg. Jeg bruker min dager identifisere hvordan prosjekter gjennomfører utvikling og måle hvordan de ender opp med å implementere koden. Etter å ha vurdert over 200 protokoller, har vi fått noen få innsikter for å identifisere dårlig utviklingspraksis i DeFi.

Omvendt økonomi og Axie uendelig nylig lidd utnyttelser som resulterte i betydelige tap av midler. Katana, den eneste desentraliserte børsen i Axies Ronin-kjede som ble utviklet av det samme teamet (med samme utviklingspraksis), scoret 5% i vår vurdering. Inverse scoret mye bedre men haltet fortsatt på noen kritiske områder. Begge var urevidert, hadde ingen feilpremier og ga ekstremt begrenset bevis på testing eller ingen i det hele tatt. Katana var spesielt ugjennomsiktig når det gjaldt å forklare hvordan det fungerte. Til tross for å identifisere disse problemene, skjedde disse utnyttelsene fortsatt, og brukere mistet fortsatt sparepengene sine. 

Med denne sjekklisten vil jeg bevæpne deg – den ydmyke apen/bonden/degenen – med noen tips og triks som er tilpasset risikoprofilen din mens du navigerer i DeFi-minefeltet. 

Merk at ingen av disse sjekkene er den perfekte løsningen som kan sikre en helt sikker DeFi-opplevelse. DeFi er fortsatt et utrolig risikabelt sted, og en protokoll kan lett oppfylle alle disse kontrollene og likevel bli utnyttet. Vennligst bruk denne sjekklisten som en ikke-preskriptiv liste og sørg for at du alltid gjennomfører din egen due diligence før du aper. 

Kan jeg finne GitHub-depotet? Er det godt utformet?

La oss starte med det mest grunnleggende spørsmålet du bør stille deg selv før du samhandler med noen kontrakt. Kan jeg finne GitHub-depotet som protokollen bruker? 

For de uinnvidde er GitHub et nettsted som team bruker for å koordinere programvareutvikling. Du bør lett kunne finne et teams GitHub ved å søke etter en protokolls navn, etterfulgt av GitHub. 

Hovedspørsmålet du bør stille her er om det er offentlig. La oss sammenligne eksemplene på Bancors GitHub-depot og det av Grim finans, som ble utnyttet for $30 millioner i desember 2021. Se på hvor godt depotet til Bancor er: flere mapper, en README.md-oversikt over protokollen, offentlige samarbeidspartnere,  4000+ innsendinger. Sammenlign det med Grim Finance – det er privat. Du aner ikke hvilke kontrakter du samhandler med. 

Det som er spesielt viktig å merke seg, er at private depoter gjør revisjoner ubrukelige, fordi du aldri kan være sikker på at kontraktene utviklerne distribuerte er de samme som revisorene så på hvis du ikke kan verifisere dem selv. Åpenhet er en viktig del av DeFi-utviklingen: den fører til sterkere kode ved å la alle granske den. Private depoter hindrer åpenhet og undergraver åpen kildekodeånden til web3. 

Er protokollen godt dokumentert? Er kontraktseierskap identifisert? 

Et andre trinn er å bla gjennom dokumentasjonen til protokollen. Dette er vanligvis koblet fra hovedsiden til nettstedet deres og kan være skrevet i GitBook eller et lignende medium. Den skal gi en oversikt på høyt nivå over hvordan protokollen fungerer og annen relevant informasjon skrevet på et enkelt språk, slik at du eller jeg kan forstå hva det er vi skal bruke. 

Et godt eksempel på dette er PancakeSwap: se hvor søt og forståelige de små wabbitene er! 

God dokumentasjon betyr at protokollen kjenner koden sin ut og inn. Protokoller kan lett splitte andre protokoller med liten ide om hvordan ting fungerer, noe som kan øke sannsynligheten for en hendelse. Relevant dokumentasjon betyr vanligvis at de forstår det, da de kan syntetisere informasjonen til noe mer fordøyelig. 

Et nøkkelområde å være spesielt oppmerksom på er hvorvidt eierne og tillatelsene til kontraktene du samhandler med er oppført eller ikke. Noen kontrakter kan endres etter eget ønske, noe som kan utsette midlene dine for ny risiko. Sørg for at du føler deg komfortabel med hvem som har kontroll: Bare fordi du ser at andre stoler på en protokoll, betyr det ikke at den er trygg. Se hvordan Tracer eksplisitt sier at deres DAO eier kontraktene deres. 

Du bør også være årvåken for kontraktsadresser. Dobbeltsjekk at de er de samme som de du samhandler med på protokollens nettsted. Gearbox oppgir og kobler dem eksplisitt til etherscan slik at du kan verifisere dem selv. Denne enkle handlingen kunne ha hjulpet brukere med å unngå BadgerDAOs frontend-angrep der 120 millioner dollar ble tatt. 

Er koden revidert?

En tredje sjekk du bør utføre er å se om koden er revidert. Revisjonsfirmaer gir et verdifullt friskt par øyne på koden du ønsker å bruke. Revisjonen bør være offentlig og kontraktene som er gjennomgått av revisorene bør listes opp. Se om tilsynet synliggjorde noen problemer og om de ble løst, som f.eks 0x-protokollens revisjon hvor et problem ble identifisert og deretter løst. Uthevet i rødt er et stort problem som ble identifisert, og i grønt at det ble løst. Store problemer kan føre til tap av brukermidler, så det er avgjørende at 0x Protocol fikk et ekstra par øyne for å dobbeltsjekke koden deres. 

Andre spørsmål du kan vurdere å stille er: 

• Er revisjonen detaljert eller en overfladisk inspeksjon?
• Hvor mange personer jobbet med tilsynet?
• Hvor lang tid tok tilsynet å utføre?
• Ble tilsynet utført før koden ble implementert?
• Er det en teknisk sammenbrudd av problemene som er funnet?

Selv om revisjoner ikke er idiotsikker, gir de et ekstra lag med sikkerhet.

Er det en Bug Bounty? 

Den nest siste sjekken du bør kjøre er om det er en bug-bounty. Protokoller setter ofte til side midler slik at hackere har en måte å identifisere utnyttelser til utviklere uten å faktisk bruke dem. Når du kjører disse programmene, blir hærer av hackere med hvite hatter henvist til å stressteste protokollene. Større dusører tiltrekker seg mer oppmerksomhet som fører til mer testing og til slutt bedre kode. Disse beløpene er ofte overveldende for å sikre at hackere bruker disse programmene. 

Som bevis på effektiviteten til disse programmene, se på hvordan armor.fi økte dusøren fra $27K til $700K. En dag senere ble en feil som potensielt kunne ha krasjet protokollen identifisert og fikset. Disse programmene sørger langt for å sikre at koden blir tryggere, noe som betyr at pengene dine også vil være tryggere. 

Er utviklingsteamet offentlig og engasjerer de seg proaktivt i samfunnet deres?

Den siste kontrollen du bør gjøre er på selve utviklingsteamet. Noen utviklere forblir anonyme, mens andre avslører identiteten deres. Offentlige utviklingsteam vil nøle før de stjeler pengene dine, siden navnene deres vil være tilsmusset av det for alltid. Anonyme lag har ikke samme disincentiv. Selv om det er viktig å huske at noen anonyme utviklere er de mest verdifulle bidragsyterne til DeFi, må du balansere dette med deres evne til å forsvinne. Kort sagt, offentlige utviklere blir holdt ansvarlige gjennom sine offentlige identiteter.

Gode ​​team bør også verdsette kommunikasjon og gjøre det enkelt for deg å komme i kontakt med dem. Det er en viktig utløsningsventil for klager og forslag – som alle gjør en protokoll sterkere. En fellesskapsstrid eller telegramkanal bør være koblet på nettstedet deres slik at du kan stille spørsmål. Kan du se noen prøver å komme i kontakt med en fellesskapsadministrator eller til og med en utvikler? Er de hjelpsomme/vennlige? Avviser de bekymringene sine? Dette er alle viktige hensyn. 

Ved å bruke denne veiledningen bør du kunne fullføre noen raske kontroller i siste øyeblikk før du godkjenner transaksjonene dine, og forhåpentligvis være litt tryggere som et resultat. 

Takk for at du leste, og lykke til. 

river0x jobber for defisafety.com, som gjennomgår DeFi-protokoller og måler utviklingspraksis. Dette gjøres ved å score dem helt på en rekke kvantitative datapunkter, kontakte utviklingsteamet for avklaringer og deretter frigi rapporten gratis. Generelt sett, jo høyere poengsum, jo ​​mindre sannsynlig er det for en protokoll lider av en form for utnyttelse.

Les originalinnlegget på Den trassende

• Myntsmart. Europas beste Bitcoin og Crypto Exchange.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. FRI TILGANG.
• CryptoHawk. Altcoin Radar. Gratis prøveperiode.
• Kilde: https://thedefiant.io/defi-safety-tips/