DeFi может стать дикое место временами. На первый взгляд пуленепробиваемые протоколы могут ковер в мгновение ока или страдать от эксплойтов, которые цены на токены никогда не восстановятся после.
В соответствии с безопасностью Defiant информационная миссия, я дам несколько советов о том, как определить потенциальную катастрофу до того, как она развернется. я трачу свое дня определение того, как проекты ведут разработку, и измерение того, как они заканчивают развертывание своего кода. Оценив более 200 протоколов, мы сделали несколько выводов, позволяющих выявить неэффективные методы разработки в DeFi.
Обратное финансирование и Axie Infinity недавно пострадали от эксплойтов, приведших к значительным потерям средств. Katana, единственная децентрализованная биржа в сети Axie’s Ronin, разработанная той же командой (с теми же методами разработки), набрала 5% в нашей оценке. Обратная оценка намного лучше но по-прежнему отстает в некоторых критических областях. Оба не подвергались аудиту, не имели вознаграждений за ошибки и предоставили крайне ограниченные доказательства тестирования или вообще не предоставили никаких доказательств. Катана была особенно непрозрачна, когда дело дошло до объяснения того, как она работает. Несмотря на выявление этих проблем, эти эксплойты все еще случались, и пользователи все еще теряли свои сбережения.
С помощью этого контрольного списка я хочу вооружить вас — скромных обезьян / фермеров / выродков — несколькими советами и рекомендациями, которые будут персонализированы в соответствии с вашим профилем риска, когда вы путешествуете по минному полю DeFi.
Обратите внимание, что ни одна из этих проверок не является идеальным решением, которое может обеспечить полностью безопасную работу с DeFi. DeFi остается невероятно рискованным местом, и протокол может легко пройти все эти проверки и все же быть использованным. Пожалуйста, используйте этот контрольный список в качестве непредписывающего списка и убедитесь, что вы всегда проводите собственную должную осмотрительность, прежде чем подражать.
Могу ли я найти репозиторий GitHub? Он хорошо проработан?
Давайте начнем с самого фундаментального вопроса, который вы должны задать себе, прежде чем взаимодействовать с любой договор. Могу ли я найти репозиторий GitHub, который использует протокол?
Для непосвященных: GitHub — это веб-сайт, который команды используют для координации разработки программного обеспечения. Вы должны легко найти GitHub команды, выполнив поиск по имени протокола, а затем по GitHub.
Главный вопрос, который вы должны задать здесь, - является ли он публичным. Давайте сравним примеры Репозиторий Bancor на GitHub и Мрачные финансы, который был использован за 30 миллионов долларов в декабре 2021 года. Посмотрите, насколько хорошо проработан репозиторий Bancor: несколько папок, обзор протокола README.md, публичные соавторы, более 4000 представлений. Сравните это с Grim Finance — это частная компания. Вы понятия не имеете, с какими контрактами взаимодействуете.
Что особенно важно отметить, так это то, что частные репозитории делают аудит бесполезным, потому что вы никогда не можете быть уверены, что контракты, развернутые разработчиками, — это те же самые контракты, на которые смотрели аудиторы, если вы не можете проверить их самостоятельно. Прозрачность — важная часть разработки DeFi: она позволяет сделать код более надежным, позволяя каждому изучить его. Частные репозитории препятствуют прозрачности и подрывают дух открытого исходного кода web3.
Хорошо ли документирован протокол? Установлено ли право собственности на контракт?
Второй шаг — просмотреть документацию протокола. Это обычно связано с главной страницей их веб-сайта и может быть написано в GitBook или аналогичном носителе. Он должен предоставлять общий обзор того, как работает протокол, и другую соответствующую информацию, написанную простым языком, чтобы вы или я могли понять, что мы собираемся использовать.
Хорошим примером этого является PancakeSwap: посмотрите, как мило и понятные маленькие болваны!
Хорошая документация означает, что протокол знает свой код наизнанку. Протоколы могут легко разветвляться на другие протоколы, не имея представления о том, как все работает, что может увеличить вероятность инцидента. Соответствующая документация обычно означает, что они ее понимают, поскольку могут синтезировать информацию во что-то более удобоваримое.
Ключевым моментом, к которому следует проявлять особую бдительность, является наличие в списке владельцев и разрешений контрактов, с которыми вы взаимодействуете. Некоторые контракты могут быть изменены по желанию, что может подвергнуть ваши средства новым рискам. Убедитесь, что вы чувствуете себя комфортно с тем, кто контролирует: то, что вы видите, что другие доверяют протоколу, не означает, что он безопасен. Посмотрите, как Tracer прямо заявляет, что его DAO владеет их контрактами.
Вы также должны сохранять бдительность в отношении адресов контрактов. Дважды проверьте, совпадают ли они с теми, с которыми вы взаимодействуете на веб-сайте протокола. Gearbox явно указывает и связывает их с etherscan, чтобы вы могли проверить их самостоятельно. Это простое действие могло бы помочь пользователям избежать атаки BadgerDAO, в ходе которой было взято 120 миллионов долларов.
Проверяется ли код?
Третья проверка, которую вы должны выполнить, — это посмотреть, прошел ли аудит код. Аудиторские фирмы предоставляют ценный свежий взгляд на код, который вы хотите использовать. Аудит должен быть публичным, а контракты, проверенные аудиторами, должны быть перечислены. Посмотрите, выявил ли аудит какие-либо проблемы и были ли они решены, например: 0x Аудит протокола где проблема была выявлена, а затем устранена. Красным цветом выделена серьезная проблема, которая была обнаружена, а зеленым — ее устранили. Серьезные проблемы могут привести к потере пользовательских средств, поэтому очень важно, чтобы у 0x Protocol была вторая пара глаз, чтобы перепроверить их код.
Другие вопросы, которые вы могли бы задать:
- Аудит детальный или поверхностный?
- Сколько человек работало над аудитом?
- Сколько времени понадобилось для проведения аудита?
- Проводился ли аудит перед развертыванием кода?
- Есть ли техническая разбивка обнаруженных проблем?
Хотя аудиты не являются надежными, они обеспечивают дополнительный уровень безопасности.
Есть ли Bug Bounty?
Предпоследняя проверка, которую вы должны выполнить, — есть ли вознаграждение за ошибку. Протоколы часто выделяют средства, чтобы хакеры могли идентифицировать эксплойты для разработчиков, фактически не используя их. При запуске этих программ армии белых хакеров направляются на стресс-тестирование протоколов. Большие награды привлекают больше внимания, что приводит к большему тестированию и, в конечном итоге, к лучшему коду. Эти суммы часто бросаются в глаза, чтобы убедиться, что хакеры используют эти программы.
В качестве доказательства эффективности этих программ посмотрите на то, как armour.fi увеличили свою награду с 27 тысяч долларов до 700 тысяч долларов.. Днем позже была обнаружена и исправлена ошибка, которая потенциально могла привести к сбою протокола. Эти программы имеют большое значение для обеспечения безопасности кода, а значит, и ваших средств.
Является ли команда разработчиков общедоступной и активно ли они взаимодействуют со своим сообществом?
Последняя проверка, которую вы должны сделать, касается самой команды разработчиков. Некоторые разработчики остаются анонимными, тогда как другие раскрывают свою личность. Публичные команды разработчиков будут колебаться перед тем, как украсть ваши средства, поскольку их имена будут запятнаны этим навсегда. У анонимных команд нет такого сдерживающего фактора. Хотя важно помнить, что некоторые анонимные разработчики вносят самый ценный вклад в DeFi, вы должны сбалансировать это с их способностью исчезнуть. Короче говоря, публичные разработчики несут ответственность через свои публичные личности.
Хорошие команды также должны ценить общение и облегчать вам общение с ними. Это важный выпускной клапан для жалоб и предложений, которые делают протокол сильнее. На их веб-сайте должна быть ссылка на дискорд сообщества или канал телеграммы, чтобы вы могли задавать вопросы. Вы видите, как кто-то пытается связаться с менеджером сообщества или даже с разработчиком? Они полезны/дружелюбны? Отмахиваются ли они от своих опасений? Все это важные соображения.
Используя это руководство, вы сможете выполнить несколько быстрых проверок в последнюю минуту перед утверждением ваших транзакций и, надеюсь, в результате будете немного безопаснее.
Спасибо за прочтение и счастливого обезьянничания.
река0x работает на defisafety.com, который рассматривает протоколы DeFi и измеряет методы разработки. Это делается путем их полной оценки по множеству количественных данных, обращения к команде разработчиков за разъяснениями, а затем бесплатного выпуска отчета. Вообще говоря, чем выше оценка, тем меньше вероятность того, что протокол подвергаться той или иной форме эксплуатации.
Прочтите исходный пост на Вызывающий
- "
- 0x
- 2021
- 67
- О нас
- Действие
- адреса
- Все
- Позволяющий
- суммы
- ПЛОЩАДЬ
- ARM
- аудит
- Ошибка
- цепь
- Проверки
- код
- Coindesk
- CoinGecko
- Связь
- сообщество
- полностью
- контракт
- контрактов
- контроль
- координировать
- может
- критической
- DAO
- данным
- день
- Defi
- развернуть
- развертывание
- Несмотря на
- развитый
- Застройщик
- застройщиков
- Развитие
- Devs
- DID
- усердие
- исчезать
- катастрофа
- раздор
- легко
- эффективность
- ELEVATE
- особенно
- все члены
- пример
- обмена
- опыт
- навсегда
- вилка
- форма
- найденный
- Бесплатно
- свежий
- средства
- в общем
- GitHub
- хорошо
- Зелёная
- инструкция
- Хакеры
- счастливый
- здесь
- высший
- Выделенные
- Как
- How To
- HTTPS
- идея
- определения
- идентифицирующий
- важную
- Увеличение
- информация
- размышления
- вопрос
- вопросы
- IT
- саму трезвость
- Основные
- язык
- больше
- ведущий
- Лиды
- Вероятно
- Ограниченный
- линия
- связи
- Список
- Включенный в список
- мало
- Длинное
- смотрел
- основной
- Создание
- менеджер
- смысл
- средний
- БОЛЕЕ
- самых
- с разными
- имена
- Другое
- собственный
- Владельцы
- собственность
- Люди
- основной
- состояния потока
- потенциал
- частная
- Проблема
- проблемам
- Профиль
- Программы
- проектов
- доказательство
- протокол
- протоколы
- обеспечивать
- что такое варган?
- количественный
- вопрос
- Reading
- Recover
- освободить
- соответствующие
- отчету
- хранилище
- исследованиям
- Отзывы
- Снижение
- рисках,
- рискованный
- Run
- Бег
- безопасный
- безопасность
- набор
- Короткое
- значительный
- аналогичный
- просто
- So
- Software
- разработка программного обеспечения
- Решение
- некоторые
- Кто-то
- удалось
- тратить
- Начало
- Области
- стресс
- команда
- Технический
- Telegram
- тестXNUMX
- Тестирование
- Через
- Советы
- советы и рекомендации
- трогать
- Трассирующий снаряд
- Сделки
- Прозрачность
- понимать
- использование
- пользователей
- обычно
- ценностное
- клапан
- разнообразие
- Web3
- Вебсайт
- Что
- будь то
- в то время как
- без
- работавший
- работает
- YouTube
