Pięć wskazówek, jak poprawić wyniki badań DeFi

DeFi ma potencjał, aby być czasami dzikie miejsce. Pozornie kuloodporne protokoły mogą dywanik w mgnieniu oka lub cierpieć, wykorzystuje to ceny tokenów nigdy już nie wzrosną.

Zgodnie z bezpieczeństwem Defianta misja świadomości, przedstawię kilka wskazówek, jak rozpoznać potencjalną katastrofę, zanim ona nastąpi. Spędzam swoje dni identyfikowanie, w jaki sposób projekty prowadzą rozwój i mierzenie, w jaki sposób ostatecznie wdrażają swój kod. Po ocenie ponad 200 protokołów zebraliśmy kilka spostrzeżeń, które pozwalają zidentyfikować złe praktyki programistyczne w DeFi.

Finanse odwrotne i Axie Infinity ostatnio doświadczył exploitów, które spowodowały znaczne straty środków. Katana, jedyna zdecentralizowana giełda w sieci Ronin firmy Axie, opracowana przez ten sam zespół (przy zastosowaniu tych samych praktyk programistycznych), zdobyła 5% w naszej ocenie. Punktacja odwrotna dużo lepiej ale nadal wykazuje opóźnienia w niektórych kluczowych obszarach. Obydwa nie zostały poddane audytowi, nie zapewniały nagród za błędy i zapewniały bardzo ograniczone dowody testowania lub nie zapewniały ich wcale. Katana była szczególnie nieprzejrzysta, jeśli chodzi o wyjaśnienie, jak to działa. Pomimo zidentyfikowania tych problemów, exploity te nadal miały miejsce, a użytkownicy nadal tracili oszczędności życia. 

Za pomocą tej listy kontrolnej chcę uzbroić Cię – skromną małpę/rolnika/degena – w kilka wskazówek i trików dostosowanych do Twojego profilu ryzyka podczas poruszania się po polu minowym DeFi. 

Pamiętaj, że żadna z tych kontroli nie jest idealnym rozwiązaniem, które może zapewnić całkowicie bezpieczne korzystanie z DeFi. DeFi pozostaje niezwykle ryzykownym miejscem, a protokół może z łatwością spełnić wszystkie te kontrole, a mimo to nadal być wykorzystywany. Proszę, użyj tej listy kontrolnej jako listy nienakazowej i upewnij się, że zawsze postępujesz zgodnie z należytą starannością przed małpowaniem. 

Czy mogę znaleźć repozytorium GitHub? Czy jest dobrze dopracowany?

Zacznijmy od najbardziej podstawowego pytania, które powinieneś sobie zadać przed interakcją każdy kontrakt. Czy mogę znaleźć repozytorium GitHub, z którego korzysta protokół? 

Dla niewtajemniczonych GitHub to witryna internetowa, której zespoły używają do koordynowania rozwoju oprogramowania. Znalezienie GitHuba zespołu powinno być łatwe, wyszukując nazwę protokołu, a następnie GitHub. 

Głównym pytaniem, które powinieneś tutaj zadać, jest to, czy jest to publiczne. Porównajmy przykłady Repozytorium GitHub firmy Bancor i że z Ponury Finanse, które zostało wykorzystane za 30 mln dolarów w grudniu 2021 r. Spójrz, jak dobrze rozbudowane jest repozytorium Bancor: wiele folderów, przegląd protokołu w pliku README.md, współpracownicy publiczni, ponad 4000 zgłoszeń. Porównaj to z Grim Finance – jest prywatne. Nie masz pojęcia, z jakimi umowami współpracujesz. 

Szczególnie ważne jest, aby pamiętać, że prywatne repozytoria sprawiają, że audyty są bezużyteczne, ponieważ nigdy nie można mieć pewności, że umowy wdrożone przez programistów są tymi samymi, które sprawdzali audytorzy, jeśli nie można ich samodzielnie zweryfikować. Przejrzystość jest ważną częścią rozwoju DeFi: prowadzi do silniejszego kodu, umożliwiając każdemu jego analizę. Prywatne repozytoria uniemożliwiają przejrzystość i podważają ducha open source web3. 

Czy protokół jest dobrze udokumentowany? Czy określono własność umowy? 

Drugim krokiem jest przejrzenie dokumentacji protokołu. Link do niego znajduje się zwykle na stronie głównej ich witryny internetowej i można go zapisać w GitBooku lub podobnym medium. Powinien zapewniać ogólny przegląd działania protokołu i inne istotne informacje napisane prostym językiem, aby Ty lub ja mogliśmy zrozumieć, czego będziemy używać. 

Dobrym tego przykładem jest PancakeSwap: spójrz, jaki słodki i zrozumiałe są te małe wabbity! 

Dobra dokumentacja oznacza, że ​​protokół zna swój kod od podszewki. Protokoły mogą łatwo forkować inne protokoły, nie mając pojęcia o tym, jak wszystko działa, co może zwiększyć prawdopodobieństwo wystąpienia incydentu. Odpowiednia dokumentacja zwykle oznacza, że ​​ją rozumie, ponieważ może zsyntetyzować informacje w coś bardziej strawnego. 

Kluczowym obszarem, na który należy zachować szczególną czujność, jest to, czy na liście znajdują się właściciele i uprawnienia umów, z którymi współpracujesz. Niektóre umowy można dowolnie zmieniać, co może narazić Twoje fundusze na nowe ryzyko. Upewnij się, że czujesz się komfortowo wiedząc, kto ma kontrolę:  to, że widzisz, że inni ufają protokołowi, nie oznacza, że ​​jest on bezpieczny. Zobacz, jak Tracer wyraźnie stwierdza, że ​​jego DAO jest właścicielem ich kontraktów. 

Należy także zachować czujność w przypadku adresów kontraktowych. Sprawdź dokładnie, czy są takie same, jak te, z którymi współpracujesz na stronie internetowej protokołu. Gearbox wyraźnie stwierdza i łączy je z etherscan, dzięki czemu możesz je zweryfikować samodzielnie. Ta prosta czynność mogła pomóc użytkownikom uniknąć ataku frontendowego BadgerDAO, w którym Zabrano 120 milionów dolarów. 

Czy kod jest kontrolowany?

Trzecią kontrolą, którą powinieneś przeprowadzić, jest sprawdzenie, czy kod został poddany audytowi. Firmy audytorskie zapewniają cenne, świeże spojrzenie na kod, którego chcesz użyć. Audyt powinien być publiczny, a umowy kontrolowane przez audytorów powinny być wymienione. Sprawdź, czy audyt wykazał jakieś problemy i czy zostały one rozwiązane, np 0x Audyt protokołu gdzie problem został zidentyfikowany, a następnie naprawiony. Na czerwono wyróżniono główny problem, który został zidentyfikowany, a na zielono, że został on naprawiony. Poważne problemy mogą skutkować utratą środków użytkownika, dlatego niezwykle ważne jest, aby protokół 0x otrzymał drugą parę oczu, aby dokładnie sprawdzić swój kod. 

Inne pytania, które możesz rozważyć, to: 

• Czy audyt jest szczegółowy, czy pobieżna kontrola?
• Ile osób pracowało przy audycie?
• Jak długo trwał audyt?
• Czy audyt został przeprowadzony przed wdrożeniem kodu?
• Czy istnieje opis techniczny znalezionych problemów?

Chociaż audyty nie są niezawodne, zapewniają dodatkową warstwę bezpieczeństwa.

Czy istnieje nagroda za błąd? 

Przedostatnim sprawdzeniem, które powinieneś przeprowadzić, jest sprawdzenie, czy istnieje nagroda za błąd. Protokoły często rezerwują fundusze, aby hakerzy mieli możliwość zidentyfikowania programistów exploitów bez ich faktycznego wykorzystania. Uruchamiając te programy, armie hakerów w białych kapeluszach są kierowane do testowania protokołów pod kątem warunków skrajnych. Większe nagrody przyciągają więcej uwagi, co prowadzi do większej liczby testów i ostatecznie lepszego kodu. Kwoty te często przyprawiają o zawrót głowy, aby mieć pewność, że hakerzy skorzystają z tych programów. 

Jako dowód skuteczności tych programów, spójrz, jak Armor.fi podniósł nagrodę z 27 tys. dolarów do 700 tys. dolarów. Dzień później zidentyfikowano i naprawiono błąd, który mógł potencjalnie spowodować awarię protokołu. Programy te w dużym stopniu przyczyniają się do zapewnienia, że ​​kod stanie się bezpieczniejszy, co oznacza, że ​​Twoje fundusze również będą bezpieczniejsze. 

Czy zespół programistów jest publiczny i czy aktywnie współpracuje ze swoją społecznością?

Ostatnia kontrola, którą powinieneś przeprowadzić, dotyczy samego zespołu programistów. Niektórzy programiści pozostają anonimowi, inni ujawniają swoją tożsamość. Publiczne zespoły programistów zawahają się, zanim ukradną Twoje fundusze, ponieważ ich nazwiska zostaną przez to skażone na zawsze. Anonimowe zespoły nie mają takich samych czynników zniechęcających. Chociaż należy pamiętać, że niektórzy anonimowi programiści są najcenniejszymi współtwórcami DeFi, należy zrównoważyć to z ich zdolnością do znikania. Krótko mówiąc, publiczni deweloperzy są pociągani do odpowiedzialności poprzez swoją publiczną tożsamość.

Dobre zespoły powinny także cenić komunikację i ułatwiać nawiązanie z nimi kontaktu. Jest to ważny zawór uwalniający skargi i sugestie – a wszystko to wzmacnia protokół. Na ich stronie internetowej powinien znajdować się link do kanału społecznościowego lub kanału telegramu, umożliwiającego zadawanie pytań. Czy widzisz, jak ktoś próbuje skontaktować się z menadżerem społeczności lub nawet programistą? Czy są pomocni/przyjazni? Czy lekceważą swoje obawy? To wszystko są ważne kwestie. 

Korzystając z tego przewodnika, powinieneś być w stanie przeprowadzić kilka szybkich kontroli w ostatniej chwili przed zatwierdzeniem transakcji i, miejmy nadzieję, dzięki temu będziesz trochę bezpieczniejszy. 

Dziękuję za przeczytanie i życzę szczęśliwego małpowania. 

rzeka0x pracuje dla defisafety.com, który dokonuje przeglądu protokołów DeFi i mierzy praktyki rozwojowe. Odbywa się to poprzez ocenę ich wyłącznie na podstawie różnych punktów danych ilościowych, skontaktowanie się z zespołem programistów w celu uzyskania wyjaśnień, a następnie bezpłatne udostępnienie raportu. Ogólnie rzecz biorąc, im wyższy wynik, tym mniejsze prawdopodobieństwo, że protokół tak się stanie cierpieć z powodu jakiejś formy wyzysku.

Przeczytaj oryginalny post na Wyzywający

• Coinsmart. Najlepsza w Europie giełda bitcoinów i kryptowalut.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. DARMOWY DOSTĘP.
• CryptoJastrząb. Radar Altcoin. Bezpłatna wersja próbna.
• Źródło: https://thedefiant.io/defi-safety-tips/