Cinco dicas para elevar sua pesquisa DeFi

DeFi tem potencial para ser um lugar selvagem às vezes. Protocolos aparentemente à prova de balas podem tapete em um instante ou sofrer explorações que os preços dos tokens nunca se recuperarão de.

De acordo com a segurança do The Defiant missão de conscientização, vou delinear algumas dicas sobre como identificar um desastre potencial antes que ele aconteça. eu gasto meu dias identificando como os projetos conduzem o desenvolvimento e medindo como eles acabam implantando seu código. Depois de avaliar mais de 200 protocolos, coletamos alguns insights para identificar práticas de desenvolvimento inadequadas em DeFi.

Finanças Inversas e Axie Infinity sofreu recentemente explorações que resultaram em perdas significativas de fundos. Katana, a única exchange descentralizada na cadeia Ronin da Axie que foi desenvolvida pela mesma equipe (com as mesmas práticas de desenvolvimento), pontuou 5% em nossa avaliação. Pontuação inversa muito melhor mas ainda ficou atrasado em algumas áreas críticas. Ambos não foram auditados, não tinham recompensas de bugs e forneceram provas de testes extremamente limitadas ou nenhuma. Katana foi especialmente opaca quando se tratou de explicar como funcionava. Apesar da identificação desses problemas, essas explorações ainda aconteceram e os usuários ainda perderam suas economias. 

Com esta lista de verificação, quero munir você – o humilde macaco/agricultor/degen – com algumas dicas e truques personalizados de acordo com seu perfil de risco enquanto você navega no campo minado DeFi. 

Observe que nenhuma dessas verificações é a solução perfeita que pode garantir uma experiência DeFi totalmente segura. O DeFi continua sendo um lugar incrivelmente arriscado e um protocolo poderia facilmente atender a todas essas verificações e ainda assim ser explorado. Por favor, use esta lista de verificação como uma lista não prescritiva e certifique-se de sempre realizar sua própria diligência antes de começar a imitar. 

Posso encontrar o repositório GitHub? Está bem elaborado?

Vamos começar com a pergunta mais fundamental que você deve se perguntar antes de interagir com qualquer contrato. Posso encontrar o repositório GitHub que o protocolo usa? 

Para os não iniciados, GitHub é um site que as equipes usam para coordenar o desenvolvimento de software. Você deve conseguir encontrar facilmente o GitHub de uma equipe pesquisando o nome de um protocolo, seguido por GitHub. 

A principal pergunta que você deve fazer aqui é se é público. Vamos comparar os exemplos de Repositório GitHub do Bancor e a de Finanças sombrias, que foi explorado por US$ 30 milhões em dezembro de 2021. Veja como o repositório do Bancor é bem elaborado: várias pastas, uma visão geral do protocolo README.md, colaboradores públicos, mais de 4000 envios. Compare isso com o da Grim Finance – é privado. Você não tem ideia com quais contratos está interagindo. 

O que é especialmente importante notar é que os repositórios privados tornam as auditorias inúteis, porque você nunca pode ter certeza de que os contratos que os desenvolvedores implantaram são os mesmos que os auditores analisaram se você mesmo não puder verificá-los. A transparência é uma parte importante do desenvolvimento do DeFi: ela leva a um código mais forte, permitindo que todos o examinem. Repositórios privados impedem a transparência e minam o espírito de código aberto da web3. 

O protocolo está bem documentado? A propriedade do contrato é identificada? 

Uma segunda etapa é navegar pela documentação do protocolo. Geralmente está vinculado à página principal do site e pode ser escrito no GitBook ou em um meio semelhante. Deve fornecer uma visão geral de alto nível de como o protocolo funciona e outras informações relevantes escritas em linguagem simples para que você ou eu possamos entender o que estamos prestes a usar. 

Um bom exemplo disso é o PancakeSwap: olha que fofo e compreensível que sejam os pequenos wabbits! 

Uma boa documentação significa que o protocolo conhece seu código de dentro para fora. Os protocolos podem facilmente bifurcar outros protocolos com pouca ideia de como as coisas funcionam, o que pode aumentar a probabilidade de um incidente. Documentação relevante geralmente significa que eles a entendem, pois podem sintetizar a informação em algo mais digerível. 

Uma área importante para permanecer especialmente vigilante é se os proprietários e as permissões dos contratos com os quais você está interagindo estão listados ou não. Alguns contratos podem ser alterados à vontade, o que pode expor os seus fundos a novos riscos. Certifique-se de se sentir confortável com quem está no controle: só porque você vê outras pessoas confiando em um protocolo não significa que ele seja seguro. Veja como o Tracer afirma explicitamente que seu DAO possui seus contratos. 

Você também deve permanecer atento aos endereços dos contratos. Verifique novamente se eles são iguais àqueles com os quais você está interagindo no site do protocolo. A Gearbox declara explicitamente e os vincula ao etherscan para que você mesmo possa verificá-los. Esta ação simples poderia ter ajudado os usuários a evitar o ataque frontend do BadgerDAO, no qual US$ 120 milhões foram levados. 

O código é auditado?

Uma terceira verificação que você deve realizar é verificar se o código foi auditado. As empresas de auditoria fornecem uma nova visão valiosa sobre o código que você deseja usar. A auditoria deve ser pública e os contratos revisados ​​pelos auditores devem ser listados. Veja se a auditoria destacou algum problema e se eles foram resolvidos, como Auditoria do Protocolo 0x onde um problema foi identificado e então corrigido. Destacado em vermelho está um problema importante que foi identificado e em verde que foi corrigido. Problemas importantes podem resultar na perda de fundos do usuário, por isso é fundamental que o Protocolo 0x tenha um segundo par de olhos para verificar seu código. 

Outras perguntas que você pode considerar fazer são: 

• A auditoria é detalhada ou uma inspeção superficial?
• Quantas pessoas trabalharam na auditoria?
• Quanto tempo a auditoria demorou para ser realizada?
• A auditoria foi realizada antes da implantação do código?
• Existe uma análise técnica dos problemas encontrados?

Embora as auditorias não sejam infalíveis, elas fornecem uma camada adicional de segurança.

Existe uma recompensa por insetos? 

A penúltima verificação que você deve executar é se há uma recompensa por bug. Os protocolos geralmente reservam fundos para que os hackers tenham uma maneira de identificar explorações para os desenvolvedores sem realmente usá-los. Ao executar esses programas, exércitos de hackers de chapéu branco são direcionados para testar a resistência dos protocolos. Recompensas maiores atraem mais atenção, levando a mais testes e, eventualmente, a um código melhor. Esses valores costumam ser surpreendentes para garantir que os hackers usem esses programas. 

Como prova da eficácia desses programas, veja como o armor.fi aumentou sua recompensa de US$ 27 mil para US$ 700 mil. Um dia depois, um bug que poderia ter travado o protocolo foi identificado e corrigido. Esses programas ajudam muito a garantir que o código se torne mais seguro, o que significa que seus fundos também estarão mais seguros. 

A equipe de desenvolvimento é pública e ela se envolve proativamente com sua comunidade?

A verificação final que você deve fazer é da própria equipe de desenvolvimento. Alguns desenvolvedores permanecem anônimos, enquanto outros revelam suas identidades. As equipes públicas de desenvolvimento hesitarão antes de roubar seus fundos, pois seus nomes ficarão manchados para sempre. Equipes anônimas não têm o mesmo desincentivo. Embora seja importante lembrar que alguns desenvolvedores anônimos são os contribuidores mais valiosos para o DeFi, você deve equilibrar isso com sua capacidade de desaparecer. Em suma, os desenvolvedores públicos são responsabilizados por meio de suas identidades públicas.

Boas equipes também devem valorizar a comunicação e facilitar o contato com elas. É uma importante válvula de escape para queixas e sugestões – todas elas fortalecendo um protocolo. Um canal de discórdia ou telegrama da comunidade deve estar vinculado ao site, permitindo que você faça perguntas. Você consegue ver alguém tentando entrar em contato com um gerente de comunidade ou até mesmo com um desenvolvedor? Eles são úteis/amigáveis? Eles descartam suas preocupações? Todas essas são considerações importantes. 

Usando este guia, você poderá realizar algumas verificações rápidas de última hora antes de aprovar suas transações e, com sorte, ficar um pouco mais seguro como resultado. 

Obrigado pela leitura e feliz macaco. 

rio0x trabalha para defisafety. com, que analisa os protocolos DeFi e mede as práticas de desenvolvimento. Isso é feito pontuando-os inteiramente em uma variedade de dados quantitativos, entrando em contato com a equipe de desenvolvimento para esclarecimentos e, em seguida, liberando o relatório gratuitamente. De modo geral, quanto maior a pontuação, menor a probabilidade de um protocolo sofrer alguma forma de exploração.

Leia o post original em O Desafiador

• Coinsmart. A melhor troca de Bitcoin e criptografia da Europa.
• Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. ACESSO LIVRE.
• CryptoHawk. Radar Altcoin. Teste grátis.
• Fonte: https://thedefiant.io/defi-safety-tips/