DeFi har potential att vara en vild plats ibland. Till synes skottsäkra protokoll kan matta på ett ögonblick eller lida utnyttjande som tokenpriser kommer aldrig att återhämta sig från.
I linje med The Defiants säkerhet medvetenhetsuppdrag, jag kommer att beskriva några tips om hur man identifierar en potentiell katastrof innan den utspelar sig. Jag spenderar min dagar identifiera hur projekt bedriver utveckling och mäta hur de kommer att implementera sin kod. Efter att ha utvärderat över 200 protokoll har vi fått några insikter för att identifiera dåliga utvecklingsmetoder i DeFi.
Omvänd ekonomi och Axie oändlighet nyligen drabbats av bedrifter som resulterade i betydande förluster av medel. Katana, den enda decentraliserade börsen i Axies Ronin-kedja som utvecklades av samma team (med samma utvecklingsmetoder), gjorde mål 5% i vår bedömning. Invers gjorde mål mycket bättre men släpade fortfarande efter på vissa kritiska områden. Båda var oreviderade, hade inga buggar och gav extremt begränsade bevis på testning eller inga alls. Katana var särskilt ogenomskinlig när det kom till att förklara hur det fungerade. Trots att de identifierat dessa problem, hände dessa utnyttjande fortfarande och användare förlorade fortfarande sina besparingar.
Med denna checklista vill jag beväpna dig – den ödmjuka apan/bonden/degenen – med några tips och tricks som är anpassade till din riskprofil när du navigerar i DeFis minfält.
Observera att ingen av dessa kontroller är den perfekta lösningen som kan säkerställa en helt säker DeFi-upplevelse. DeFi förblir en otroligt riskabel plats och ett protokoll skulle lätt kunna uppfylla alla dessa kontroller och ändå utnyttjas. Använd denna checklista som en icke-föreskrivande lista och se till att du alltid gör din egen due diligence innan du apar.
Kan jag hitta GitHub-förvaret? Är det väl utarbetat?
Låt oss börja med den mest grundläggande frågan du bör ställa dig själv innan du interagerar med vilken som helst avtal. Kan jag hitta GitHub-förrådet som protokollet använder?
För den oinvigde är GitHub en webbplats som team använder för att koordinera mjukvaruutveckling. Du bör lätt kunna hitta ett teams GitHub genom att söka efter ett protokolls namn, följt av GitHub.
Huvudfrågan du bör ställa här är om den är offentlig. Låt oss jämföra exemplen på Bancors GitHub-förråd och det av Grim finans, som utnyttjades för $30 miljoner i december 2021. Titta på hur väl utarbetat Bancors arkiv är: flera mappar, en README.md-översikt över protokollet, offentliga samarbetspartners, 4000+ inlämningar. Jämför det med Grim Finances – det är privat. Du har ingen aning om vilka kontrakt du interagerar med.
Det som är särskilt viktigt att notera är att privata arkiv gör revisioner värdelösa, eftersom man aldrig kan vara säker på att kontrakten som utvecklarna satte in är samma som revisorerna tittade på om man inte kan verifiera dem själv. Transparens är en viktig del av DeFi-utvecklingen: den leder till starkare kod genom att låta alla granska den. Privata arkiv förhindrar insyn och undergräver webb3-andan med öppen källkod.
Är protokollet väldokumenterat? Är kontraktsägande identifierat?
Ett andra steg är att bläddra igenom dokumentationen för protokollet. Detta är vanligtvis länkat från huvudsidan på deras webbplats och kan skrivas i GitBook eller liknande medium. Det bör ge en överblick över hur protokollet fungerar på hög nivå och annan relevant information skriven på ett enkelt språk så att du eller jag kan förstå vad det är vi ska använda.
Ett bra exempel på detta är PancakeSwap: titta så söt och begripliga de små wabbits är!
Bra dokumentation innebär att protokollet känner sin kod ut och in. Protokoll kan lätt splittra andra protokoll med liten aning om hur saker fungerar, vilket kan öka sannolikheten för en incident. Relevant dokumentation innebär vanligtvis att de förstår den, eftersom de kan syntetisera informationen till något mer lättsmält.
Ett viktigt område att vara särskilt vaksam på är huruvida ägarna och behörigheterna för kontrakten du interagerar med är listade eller inte. Vissa kontrakt kan ändras efter behag, vilket kan exponera dina medel för nya risker. Se till att du känner dig bekväm med vem som har kontroll: bara för att du ser att andra litar på ett protokoll betyder det inte att det är säkert. Se hur Tracer uttryckligen anger att dess DAO äger deras kontrakt.
Du bör också vara vaksam på kontraktsadresser. Dubbelkolla att de är samma som de du interagerar med på protokollets webbplats. Gearbox anger och länkar dem uttryckligen till etherscan så att du kan verifiera dem själv. Denna enkla åtgärd kunde ha hjälpt användare att undvika BadgerDAO:s frontend-attack där 120 miljoner dollar togs.
Är koden granskad?
En tredje kontroll du bör utföra är att se om koden har granskats. Revisionsbyråer ger ett värdefullt nytt par ögon på koden som du vill använda. Revisionen bör vara offentlig och de kontrakt som granskats av revisorerna bör listas. Se om revisionen lyfte fram några problem och om de löstes, som t.ex 0x Protokollets granskning där ett problem identifierades och sedan åtgärdades. Markerat i rött är ett stort problem som identifierades, och i grönt att det åtgärdats. Stora problem kan resultera i förlust av användarmedel, så det är avgörande att 0x Protocol fick ett andra par ögon för att dubbelkolla sin kod.
Andra frågor du kan tänka dig att ställa är:
- Är revisionen detaljerad eller en översiktlig inspektion?
- Hur många personer arbetade med revisionen?
- Hur lång tid tog revisionen att utföra?
- Gjordes revisionen innan koden implementerades?
- Finns det en teknisk uppdelning av problemen som hittats?
Även om revisioner inte är idiotsäkra, ger de ett extra lager av säkerhet.
Finns det en Bug Bounty?
Den näst sista kontrollen du bör köra är om det finns en bug-bounty. Protokoll avsätter ofta medel så att hackare har ett sätt att identifiera exploateringar för utvecklare utan att faktiskt använda dem. När dessa program körs uppmanas arméer av hackare med vita hattar att stresstesta protokollen. Större belöningar drar till sig mer uppmärksamhet vilket leder till fler tester och så småningom bättre kod. Dessa belopp är ofta iögonfallande för att säkerställa att hackare använder dessa program.
Som bevis på effektiviteten av dessa program, titta på hur armor.fi höjde sin belöning från $27K till $700K. En dag senare identifierades och fixades en bugg som potentiellt kunde ha kraschat protokollet. Dessa program går långt för att se till att koden blir säkrare, vilket innebär att dina pengar också blir säkrare.
Är utvecklingsteamet offentligt och engagerar de sig proaktivt i samhället?
Den sista kontrollen du bör göra är på själva utvecklingsteamet. Vissa utvecklare förblir anonyma, medan andra avslöjar sin identitet. Offentliga utvecklingsteam kommer att tveka innan de stjäl dina pengar eftersom deras namn kommer att vara befläckade av det för alltid. Anonyma team har inte samma incitament. Även om det är viktigt att komma ihåg att vissa anonyma utvecklare är de mest värdefulla bidragsgivarna till DeFi, måste du balansera detta med deras förmåga att försvinna. Kort sagt, offentliga utvecklare hålls ansvariga genom sina offentliga identiteter.
Bra team ska också värdesätta kommunikation och göra det enkelt för dig att komma i kontakt med dem. Det är en viktig utlösningsventil för klagomål och förslag – som alla gör ett protokoll starkare. En community discord eller telegramkanal bör länkas på deras webbplats så att du kan ställa frågor. Kan du se någon försöka komma i kontakt med en community manager eller till och med en utvecklare? Är de hjälpsamma/vänliga? Avfärdar de sina bekymmer? Dessa är alla viktiga överväganden.
Med hjälp av den här guiden bör du kunna genomföra några snabba kontroller i sista minuten innan du godkänner dina transaktioner, och förhoppningsvis vara lite säkrare som ett resultat.
Tack för att du läser, och lycklig aapning.
river0x fungerar för defisafety.com, som granskar DeFi-protokoll och mäter utvecklingsmetoder. Detta görs genom att poängsätta dem helt på en mängd olika kvantitativa datapunkter, kontakta utvecklingsteamet för förtydliganden och sedan släppa rapporten gratis. Generellt sett gäller att ju högre poäng desto mindre sannolikt är ett protokoll drabbas av någon form av utnyttjande.
Läs originalinlägget på Trassande
- "
- 0x
- 2021
- 67
- Om oss
- Handling
- adresser
- Alla
- tillåta
- mängder
- OMRÅDE
- ARM
- revision
- Bug
- kedja
- Kontroller
- koda
- Coindesk
- CoinGecko
- Kommunikation
- samfundet
- fullständigt
- kontrakt
- kontrakt
- kontroll
- samordna
- kunde
- kritisk
- <b>PostNord</b>
- datum
- dag
- Defi
- utplacerade
- utplacera
- Trots
- utvecklade
- Utvecklare
- utvecklare
- Utveckling
- devs
- DID
- flit
- försvinna
- katastrof
- oenighet
- lätt
- effektivitet
- UPPHÖJA
- speciellt
- alla
- exempel
- utbyta
- erfarenhet
- alltid
- gaffel
- formen
- hittade
- Fri
- färsk
- fonder
- allmänhet
- GitHub
- god
- Grön
- styra
- hackare
- lyckligt
- här.
- högre
- Markerad
- Hur ser din drömresa ut
- How To
- HTTPS
- Tanken
- identifiera
- identifiera
- med Esport
- Öka
- informationen
- insikter
- fråga
- problem
- IT
- sig
- Nyckel
- språk
- större
- ledande
- Leads
- sannolikt
- Begränsad
- linje
- länkar
- Lista
- Noterade
- liten
- Lång
- såg
- större
- Framställning
- chef
- betyder
- Medium
- mer
- mest
- multipel
- namn
- Övriga
- egen
- ägare
- ägande
- Personer
- svängbara
- dålig
- potentiell
- privat
- Problem
- problem
- Profil
- Program
- projekt
- bevis
- protokoll
- protokoll
- ge
- allmän
- kvantitativ
- fråga
- Läsning
- Recover
- frigöra
- relevanta
- rapport
- Repository
- forskning
- Omdömen
- Risk
- risker
- Riskabel
- Körning
- rinnande
- säker
- säkerhet
- in
- Kort
- signifikant
- liknande
- Enkelt
- So
- Mjukvara
- mjukvaruutveckling
- lösning
- några
- någon
- något
- spendera
- starta
- Stater
- påkänning
- grupp
- Teknisk
- Telegram
- testa
- Testning
- Genom
- Tips
- tips och tricks
- Rör
- rita
- Transaktioner
- Öppenhet
- förstå
- användning
- användare
- vanligen
- värde
- ventil
- mängd
- Web3
- Webbplats
- Vad
- om
- medan
- utan
- arbetade
- fungerar
- Youtube
