ห้าเคล็ดลับในการยกระดับการวิจัย DeFi ของคุณ

DeFi มีศักยภาพที่จะเป็น สถานที่ป่าในบางครั้ง ดูเหมือนโปรโตคอลกันกระสุนสามารถ พรมในทันที หรือประสบกับการแสวงประโยชน์ที่ ราคาโทเค็นจะไม่ฟื้นตัวจาก.

สอดคล้องกับความปลอดภัยของ The Defiant ภารกิจการรับรู้ฉันจะร่างคำแนะนำสองสามข้อเกี่ยวกับวิธีระบุหายนะที่อาจเกิดขึ้นก่อนที่มันจะเกิดขึ้น ฉันใช้จ่ายของฉัน วัน ระบุวิธีที่โครงการดำเนินการพัฒนาและวัดผลว่าพวกเขาลงเอยด้วยการปรับใช้โค้ดอย่างไร หลังจากประเมินโปรโตคอลมากกว่า 200 รายการ เราได้รวบรวมข้อมูลเชิงลึกบางส่วนเพื่อระบุแนวทางการพัฒนาที่ไม่ดีใน DeFi

การเงินผกผัน และ แอ็กซี่อินฟินิตี้ เมื่อเร็ว ๆ นี้ประสบกับการหาประโยชน์ทำให้สูญเสียเงินทุนจำนวนมาก Katana การแลกเปลี่ยนแบบกระจายอำนาจเดียวในห่วงโซ่ Ronin ของ Axie ที่พัฒนาโดยทีมเดียวกัน (ด้วยแนวทางการพัฒนาที่เหมือนกัน) ได้คะแนน 5% ในการประเมินของเรา คะแนนผกผัน ดีมาก แต่ยังล้าหลังในบางพื้นที่ที่สำคัญ ทั้งสองไม่ได้รับการตรวจสอบ ไม่มีข้อผิดพลาด และให้หลักฐานการทดสอบที่จำกัด หรือไม่มีเลย Katana มีความทึบเป็นพิเศษเมื่ออธิบายว่ามันทำงานอย่างไร แม้จะระบุปัญหาเหล่านี้แล้ว การหาประโยชน์เหล่านี้ยังคงเกิดขึ้นและผู้ใช้ยังคงสูญเสียเงินออมชีวิตไป 

ด้วยรายการตรวจสอบนี้ ฉันต้องการติดอาวุธให้คุณ – ลิง/ชาวนา/เดเกนผู้อ่อนน้อมถ่อมตน – ด้วยเคล็ดลับและกลเม็ดเล็กๆ น้อยๆ ที่ปรับให้เข้ากับโปรไฟล์ความเสี่ยงของคุณโดยเฉพาะเมื่อคุณสำรวจเขตที่วางทุ่นระเบิด DeFi 

โปรดทราบว่าไม่มีการตรวจสอบใดที่จะเป็นโซลูชั่นที่สมบูรณ์แบบที่สามารถรับประกันประสบการณ์ DeFi ที่ปลอดภัยอย่างสมบูรณ์ DeFi ยังคงเป็นสถานที่ที่มีความเสี่ยงอย่างไม่น่าเชื่อและโปรโตคอลสามารถปฏิบัติตามการตรวจสอบทั้งหมดเหล่านี้ได้อย่างง่ายดายแต่ยังคงถูกเอารัดเอาเปรียบ โปรดใช้รายการตรวจสอบนี้เป็นรายการที่ไม่มีการกำหนด และตรวจสอบให้แน่ใจว่าคุณได้ดำเนินการตรวจสอบวิเคราะห์สถานะของตนเองก่อนที่จะทำการแอบดู 

ฉันสามารถค้นหาที่เก็บ GitHub ได้หรือไม่ เนื้อออกมาดีหรือไม่?

เริ่มจากคำถามพื้นฐานที่สุดที่คุณควรถามตัวเองก่อนโต้ตอบกับ ใด สัญญา. ฉันสามารถค้นหาที่เก็บ GitHub ที่โปรโตคอลใช้ได้หรือไม่ 

สำหรับผู้ที่ไม่ได้ฝึกหัด GitHub เป็นเว็บไซต์ที่ทีมใช้เพื่อประสานงานการพัฒนาซอฟต์แวร์ คุณควรจะสามารถค้นหา GitHub ของทีมได้อย่างง่ายดายด้วยการค้นหาชื่อโปรโตคอล ตามด้วย GitHub 

คำถามหลักที่คุณควรถามในที่นี้คือถ้าเป็นสาธารณะหรือไม่ มาเปรียบเทียบตัวอย่างของ ที่เก็บ GitHub ของ Bancor และของ การเงินที่น่ากลัวซึ่งถูกใช้ไปในราคา 30 ล้านเหรียญสหรัฐในเดือนธันวาคม พ.ศ. 2021 ดูว่าที่เก็บของ Bancor มีประสิทธิภาพเพียงใด: หลายโฟลเดอร์, ภาพรวม README.md ของโปรโตคอล, ผู้ทำงานร่วมกันในที่สาธารณะ, การส่งมากกว่า 4000 รายการ เปรียบเทียบกับ Grim Finance's - เป็นส่วนตัว คุณไม่รู้ว่าสัญญาอะไรที่คุณโต้ตอบด้วย 

สิ่งสำคัญโดยเฉพาะอย่างยิ่งที่ควรทราบคือที่เก็บส่วนตัวทำให้การตรวจสอบไร้ประโยชน์ เพราะคุณไม่สามารถแน่ใจได้เลยว่าสัญญาที่นักพัฒนานำไปใช้นั้นเป็นสัญญาเดียวกันกับที่ผู้ตรวจสอบตรวจสอบหากคุณไม่สามารถตรวจสอบได้ด้วยตนเอง ความโปร่งใสเป็นส่วนสำคัญของการพัฒนา DeFi: มันนำไปสู่โค้ดที่แข็งแกร่งขึ้นโดยให้ทุกคนตรวจสอบอย่างละเอียด ที่เก็บส่วนตัวป้องกันความโปร่งใสและบ่อนทำลายจิตวิญญาณโอเพนซอร์สของ web3 

โปรโตคอลได้รับการจัดทำเป็นเอกสารอย่างดีหรือไม่? มีการระบุความเป็นเจ้าของสัญญาหรือไม่? 

ขั้นตอนที่สองคือการเรียกดูเอกสารของโปรโตคอล นี้มักจะเชื่อมโยงจากหน้าหลักของเว็บไซต์ของตนและสามารถเขียนใน GitBook หรือสื่อที่คล้ายกัน ควรให้ภาพรวมระดับสูงเกี่ยวกับวิธีการทำงานของโปรโตคอลและข้อมูลที่เกี่ยวข้องอื่น ๆ ที่เขียนด้วยภาษาง่ายๆ เพื่อให้คุณหรือฉันสามารถเข้าใจว่าเรากำลังจะใช้อะไร 

ตัวอย่างที่ดีของสิ่งนี้คือ PancakeSwap: ดูสิ น่ารักขนาดไหน และ wabbits ตัวเล็ก ๆ เข้าใจได้! 

เอกสารที่ดีหมายความว่าโปรโตคอลรู้รหัสจากข้างใน โปรโตคอลสามารถแยกโปรโตคอลอื่น ๆ ได้อย่างง่ายดายโดยแทบไม่มีแนวคิดว่าสิ่งต่าง ๆ ทำงานอย่างไร ซึ่งสามารถเพิ่มโอกาสของเหตุการณ์ได้ เอกสารที่เกี่ยวข้องมักจะหมายความว่าพวกเขาเข้าใจ เนื่องจากพวกเขาสามารถสังเคราะห์ข้อมูลเป็นสิ่งที่ย่อยง่ายกว่า 

ประเด็นสำคัญที่ต้องระมัดระวังเป็นพิเศษคือต้องระบุเจ้าของและการอนุญาตของสัญญาที่คุณโต้ตอบด้วยหรือไม่ สัญญาบางฉบับสามารถเปลี่ยนแปลงได้ตามต้องการ ซึ่งจะทำให้เงินของคุณมีความเสี่ยงใหม่ๆ ให้แน่ใจว่าคุณรู้สึกสบายใจกับผู้ที่อยู่ในการควบคุม: เพียงเพราะคุณเห็นคนอื่นไว้วางใจโปรโตคอลไม่ได้หมายความว่าจะปลอดภัย ดูวิธีที่ Tracer ระบุอย่างชัดเจนว่า DAO เป็นเจ้าของสัญญาของพวกเขา 

คุณควรระมัดระวังเรื่องที่อยู่ในสัญญาด้วย ตรวจสอบอีกครั้งว่าเหมือนกับที่คุณโต้ตอบด้วยบนเว็บไซต์ของโปรโตคอล Gearbox ระบุอย่างชัดเจนและเชื่อมโยงไปยัง etherscan เพื่อให้คุณสามารถตรวจสอบได้ด้วยตนเอง การกระทำง่ายๆ นี้สามารถช่วยให้ผู้ใช้หลีกเลี่ยงการโจมตีส่วนหน้าของ BadgerDAO ซึ่ง ถูกยึดไป 120 ล้านเหรียญ 

รหัสได้รับการตรวจสอบหรือไม่?

การตรวจสอบครั้งที่สามที่คุณควรทำคือดูว่ารหัสได้รับการตรวจสอบแล้วหรือไม่ บริษัทตรวจสอบบัญชีจะคอยจับตาดูรหัสที่คุณต้องการใช้อยู่เสมอ การตรวจสอบควรเปิดเผยต่อสาธารณะและควรมีการระบุสัญญาที่ตรวจสอบโดยผู้ตรวจสอบบัญชี ดูว่าการตรวจสอบเน้นปัญหาใด ๆ หรือไม่และได้รับการแก้ไขเช่น การตรวจสอบโปรโตคอล 0x ที่ซึ่งปัญหาได้รับการระบุแล้วแก้ไข ไฮไลต์ด้วยสีแดงคือปัญหาหลักที่ได้รับการระบุ และเป็นสีเขียวซึ่งได้รับการแก้ไขแล้ว ปัญหาสำคัญอาจส่งผลให้สูญเสียเงินทุนของผู้ใช้ ดังนั้นจึงเป็นเรื่องสำคัญที่โปรโตคอล 0x มีตาคู่ที่สองเพื่อตรวจสอบรหัสของพวกเขาอีกครั้ง 

คำถามอื่น ๆ ที่คุณอาจพิจารณาถามคือ: 

• การตรวจสอบมีรายละเอียดหรือการตรวจสอบคร่าวๆ?
• มีกี่คนที่ทำงานในการตรวจสอบ?
• การตรวจสอบใช้เวลาในการดำเนินการนานเท่าใด?
• มีการตรวจสอบก่อนที่จะปรับใช้โค้ดหรือไม่
• มีรายละเอียดทางเทคนิคของปัญหาที่พบหรือไม่?

แม้ว่าการตรวจสอบจะไม่ผิดพลาด แต่ก็เพิ่มความปลอดภัยอีกชั้นหนึ่ง

มี Bug Bounty หรือไม่? 

การตรวจสอบขั้นสุดท้ายที่คุณควรเรียกใช้คือถ้ามีค่าหัวบั๊กหรือไม่ โปรโตคอลมักกันเงินไว้เพื่อให้แฮ็กเกอร์มีวิธีการระบุการหาประโยชน์จากนักพัฒนาโดยไม่ได้ใช้งานจริง ในการรันโปรแกรมเหล่านี้ กองทัพของแฮ็กเกอร์หมวกขาวจะถูกนำไปทดสอบความเครียดของโปรโตคอล เงินรางวัลที่มากขึ้นจะดึงดูดความสนใจมากขึ้นซึ่งนำไปสู่การทดสอบที่มากขึ้นและโค้ดที่ดีขึ้นในที่สุด จำนวนเหล่านี้มักจะน่าดึงดูดใจเพื่อให้แน่ใจว่าแฮกเกอร์ใช้โปรแกรมเหล่านี้ 

เพื่อเป็นการพิสูจน์ประสิทธิภาพของโปรแกรมเหล่านี้ ให้ดูที่ armor.fi . ได้อย่างไร เพิ่มเงินรางวัลจาก $27 เป็น $700K. หนึ่งวันต่อมา มีการระบุและแก้ไขจุดบกพร่องที่อาจทำให้โปรโตคอลขัดข้อง โปรแกรมเหล่านี้ช่วยให้แน่ใจว่ารหัสจะปลอดภัยยิ่งขึ้น ซึ่งหมายความว่าเงินของคุณจะปลอดภัยยิ่งขึ้นด้วย 

ทีมพัฒนาเปิดเผยต่อสาธารณะและพวกเขามีส่วนร่วมกับชุมชนในเชิงรุกหรือไม่?

การตรวจสอบขั้นสุดท้ายที่คุณควรทำคือทีมพัฒนาเอง นักพัฒนาบางคนยังคงไม่เปิดเผยตัวตน ในขณะที่คนอื่นๆ เปิดเผยตัวตนของพวกเขา ทีมพัฒนาสาธารณะจะลังเลใจก่อนที่จะขโมยเงินของคุณเนื่องจากชื่อของพวกเขาจะเสียไปตลอดกาล ทีมที่ไม่ระบุชื่อไม่มีแรงจูงใจเหมือนกัน ถึงแม้ว่าสิ่งสำคัญที่ต้องจำไว้คือนักพัฒนาที่ไม่เปิดเผยตัวตนบางคนเป็นผู้สนับสนุนที่มีค่าที่สุดของ DeFi แต่คุณต้องสร้างสมดุลระหว่างสิ่งนี้กับความสามารถในการหายไปของพวกเขา กล่าวโดยย่อ ผู้พัฒนาสาธารณะต้องรับผิดชอบผ่านข้อมูลประจำตัวสาธารณะของพวกเขา

ทีมที่ดีควรให้ความสำคัญกับการสื่อสารและทำให้ง่ายต่อการติดต่อกับพวกเขา เป็นวาล์วปล่อยที่สำคัญสำหรับการร้องทุกข์และข้อเสนอแนะ ทั้งหมดนี้ทำให้โปรโตคอลแข็งแกร่งขึ้น ความขัดแย้งของชุมชนหรือช่องโทรเลขควรลิงก์บนเว็บไซต์ของพวกเขาเพื่อให้คุณสามารถถามคำถามได้ คุณเห็นใครบางคนพยายามติดต่อกับผู้จัดการชุมชนหรือแม้แต่นักพัฒนาซอฟต์แวร์หรือไม่? พวกเขาช่วยเหลือดี/เป็นมิตรหรือไม่? พวกเขาละทิ้งข้อกังวลของพวกเขาหรือไม่? สิ่งเหล่านี้ล้วนเป็นข้อพิจารณาที่สำคัญ 

การใช้คู่มือนี้ คุณจะสามารถดำเนินการตรวจสอบในนาทีสุดท้ายอย่างรวดเร็วก่อนที่จะอนุมัติธุรกรรมของคุณ และหวังว่าผลลัพธ์ที่ได้จะปลอดภัยขึ้นเล็กน้อย 

ขอบคุณสำหรับการอ่านและลิงที่มีความสุข 

แม่น้ำ0x ใช้งานได้สำหรับ defisafety.comซึ่งทบทวนโปรโตคอล DeFi และวัดผลแนวทางปฏิบัติในการพัฒนา ซึ่งทำได้โดยการให้คะแนนทั้งหมดบนจุดข้อมูลเชิงปริมาณที่หลากหลาย ติดต่อทีมพัฒนาเพื่อขอคำชี้แจงแล้วเผยแพร่รายงานฟรี โดยทั่วไป ยิ่งคะแนนสูงเท่าใด โปรโตคอลก็ยิ่งมีโอกาสน้อยลงเท่านั้น ประสบกับรูปแบบการเอารัดเอาเปรียบบางอย่าง.

อ่านโพสต์ต้นฉบับบน การท้าทาย

• คอยน์สมาร์ท การแลกเปลี่ยน Bitcoin และ Crypto ที่ดีที่สุดในยุโรป
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าฟรี
• คริปโตฮอว์ก เรดาร์ Altcoin ทดลองฟรี.
• ที่มา: https://thedefiant.io/defi-safety-tips/