DeFi มีศักยภาพที่จะเป็น สถานที่ป่าในบางครั้ง ดูเหมือนโปรโตคอลกันกระสุนสามารถ พรมในทันที หรือประสบกับการแสวงประโยชน์ที่ ราคาโทเค็นจะไม่ฟื้นตัวจาก.
สอดคล้องกับความปลอดภัยของ The Defiant ภารกิจการรับรู้ฉันจะร่างคำแนะนำสองสามข้อเกี่ยวกับวิธีระบุหายนะที่อาจเกิดขึ้นก่อนที่มันจะเกิดขึ้น ฉันใช้จ่ายของฉัน วัน ระบุวิธีที่โครงการดำเนินการพัฒนาและวัดผลว่าพวกเขาลงเอยด้วยการปรับใช้โค้ดอย่างไร หลังจากประเมินโปรโตคอลมากกว่า 200 รายการ เราได้รวบรวมข้อมูลเชิงลึกบางส่วนเพื่อระบุแนวทางการพัฒนาที่ไม่ดีใน DeFi
การเงินผกผัน และ แอ็กซี่อินฟินิตี้ เมื่อเร็ว ๆ นี้ประสบกับการหาประโยชน์ทำให้สูญเสียเงินทุนจำนวนมาก Katana การแลกเปลี่ยนแบบกระจายอำนาจเดียวในห่วงโซ่ Ronin ของ Axie ที่พัฒนาโดยทีมเดียวกัน (ด้วยแนวทางการพัฒนาที่เหมือนกัน) ได้คะแนน 5% ในการประเมินของเรา คะแนนผกผัน ดีมาก แต่ยังล้าหลังในบางพื้นที่ที่สำคัญ ทั้งสองไม่ได้รับการตรวจสอบ ไม่มีข้อผิดพลาด และให้หลักฐานการทดสอบที่จำกัด หรือไม่มีเลย Katana มีความทึบเป็นพิเศษเมื่ออธิบายว่ามันทำงานอย่างไร แม้จะระบุปัญหาเหล่านี้แล้ว การหาประโยชน์เหล่านี้ยังคงเกิดขึ้นและผู้ใช้ยังคงสูญเสียเงินออมชีวิตไป
ด้วยรายการตรวจสอบนี้ ฉันต้องการติดอาวุธให้คุณ – ลิง/ชาวนา/เดเกนผู้อ่อนน้อมถ่อมตน – ด้วยเคล็ดลับและกลเม็ดเล็กๆ น้อยๆ ที่ปรับให้เข้ากับโปรไฟล์ความเสี่ยงของคุณโดยเฉพาะเมื่อคุณสำรวจเขตที่วางทุ่นระเบิด DeFi
โปรดทราบว่าไม่มีการตรวจสอบใดที่จะเป็นโซลูชั่นที่สมบูรณ์แบบที่สามารถรับประกันประสบการณ์ DeFi ที่ปลอดภัยอย่างสมบูรณ์ DeFi ยังคงเป็นสถานที่ที่มีความเสี่ยงอย่างไม่น่าเชื่อและโปรโตคอลสามารถปฏิบัติตามการตรวจสอบทั้งหมดเหล่านี้ได้อย่างง่ายดายแต่ยังคงถูกเอารัดเอาเปรียบ โปรดใช้รายการตรวจสอบนี้เป็นรายการที่ไม่มีการกำหนด และตรวจสอบให้แน่ใจว่าคุณได้ดำเนินการตรวจสอบวิเคราะห์สถานะของตนเองก่อนที่จะทำการแอบดู
ฉันสามารถค้นหาที่เก็บ GitHub ได้หรือไม่ เนื้อออกมาดีหรือไม่?
เริ่มจากคำถามพื้นฐานที่สุดที่คุณควรถามตัวเองก่อนโต้ตอบกับ ใด สัญญา. ฉันสามารถค้นหาที่เก็บ GitHub ที่โปรโตคอลใช้ได้หรือไม่
สำหรับผู้ที่ไม่ได้ฝึกหัด GitHub เป็นเว็บไซต์ที่ทีมใช้เพื่อประสานงานการพัฒนาซอฟต์แวร์ คุณควรจะสามารถค้นหา GitHub ของทีมได้อย่างง่ายดายด้วยการค้นหาชื่อโปรโตคอล ตามด้วย GitHub
คำถามหลักที่คุณควรถามในที่นี้คือถ้าเป็นสาธารณะหรือไม่ มาเปรียบเทียบตัวอย่างของ ที่เก็บ GitHub ของ Bancor และของ การเงินที่น่ากลัวซึ่งถูกใช้ไปในราคา 30 ล้านเหรียญสหรัฐในเดือนธันวาคม พ.ศ. 2021 ดูว่าที่เก็บของ Bancor มีประสิทธิภาพเพียงใด: หลายโฟลเดอร์, ภาพรวม README.md ของโปรโตคอล, ผู้ทำงานร่วมกันในที่สาธารณะ, การส่งมากกว่า 4000 รายการ เปรียบเทียบกับ Grim Finance's - เป็นส่วนตัว คุณไม่รู้ว่าสัญญาอะไรที่คุณโต้ตอบด้วย
สิ่งสำคัญโดยเฉพาะอย่างยิ่งที่ควรทราบคือที่เก็บส่วนตัวทำให้การตรวจสอบไร้ประโยชน์ เพราะคุณไม่สามารถแน่ใจได้เลยว่าสัญญาที่นักพัฒนานำไปใช้นั้นเป็นสัญญาเดียวกันกับที่ผู้ตรวจสอบตรวจสอบหากคุณไม่สามารถตรวจสอบได้ด้วยตนเอง ความโปร่งใสเป็นส่วนสำคัญของการพัฒนา DeFi: มันนำไปสู่โค้ดที่แข็งแกร่งขึ้นโดยให้ทุกคนตรวจสอบอย่างละเอียด ที่เก็บส่วนตัวป้องกันความโปร่งใสและบ่อนทำลายจิตวิญญาณโอเพนซอร์สของ web3
โปรโตคอลได้รับการจัดทำเป็นเอกสารอย่างดีหรือไม่? มีการระบุความเป็นเจ้าของสัญญาหรือไม่?
ขั้นตอนที่สองคือการเรียกดูเอกสารของโปรโตคอล นี้มักจะเชื่อมโยงจากหน้าหลักของเว็บไซต์ของตนและสามารถเขียนใน GitBook หรือสื่อที่คล้ายกัน ควรให้ภาพรวมระดับสูงเกี่ยวกับวิธีการทำงานของโปรโตคอลและข้อมูลที่เกี่ยวข้องอื่น ๆ ที่เขียนด้วยภาษาง่ายๆ เพื่อให้คุณหรือฉันสามารถเข้าใจว่าเรากำลังจะใช้อะไร
ตัวอย่างที่ดีของสิ่งนี้คือ PancakeSwap: ดูสิ น่ารักขนาดไหน และ wabbits ตัวเล็ก ๆ เข้าใจได้!
เอกสารที่ดีหมายความว่าโปรโตคอลรู้รหัสจากข้างใน โปรโตคอลสามารถแยกโปรโตคอลอื่น ๆ ได้อย่างง่ายดายโดยแทบไม่มีแนวคิดว่าสิ่งต่าง ๆ ทำงานอย่างไร ซึ่งสามารถเพิ่มโอกาสของเหตุการณ์ได้ เอกสารที่เกี่ยวข้องมักจะหมายความว่าพวกเขาเข้าใจ เนื่องจากพวกเขาสามารถสังเคราะห์ข้อมูลเป็นสิ่งที่ย่อยง่ายกว่า
ประเด็นสำคัญที่ต้องระมัดระวังเป็นพิเศษคือต้องระบุเจ้าของและการอนุญาตของสัญญาที่คุณโต้ตอบด้วยหรือไม่ สัญญาบางฉบับสามารถเปลี่ยนแปลงได้ตามต้องการ ซึ่งจะทำให้เงินของคุณมีความเสี่ยงใหม่ๆ ให้แน่ใจว่าคุณรู้สึกสบายใจกับผู้ที่อยู่ในการควบคุม: เพียงเพราะคุณเห็นคนอื่นไว้วางใจโปรโตคอลไม่ได้หมายความว่าจะปลอดภัย ดูวิธีที่ Tracer ระบุอย่างชัดเจนว่า DAO เป็นเจ้าของสัญญาของพวกเขา
คุณควรระมัดระวังเรื่องที่อยู่ในสัญญาด้วย ตรวจสอบอีกครั้งว่าเหมือนกับที่คุณโต้ตอบด้วยบนเว็บไซต์ของโปรโตคอล Gearbox ระบุอย่างชัดเจนและเชื่อมโยงไปยัง etherscan เพื่อให้คุณสามารถตรวจสอบได้ด้วยตนเอง การกระทำง่ายๆ นี้สามารถช่วยให้ผู้ใช้หลีกเลี่ยงการโจมตีส่วนหน้าของ BadgerDAO ซึ่ง ถูกยึดไป 120 ล้านเหรียญ
รหัสได้รับการตรวจสอบหรือไม่?
การตรวจสอบครั้งที่สามที่คุณควรทำคือดูว่ารหัสได้รับการตรวจสอบแล้วหรือไม่ บริษัทตรวจสอบบัญชีจะคอยจับตาดูรหัสที่คุณต้องการใช้อยู่เสมอ การตรวจสอบควรเปิดเผยต่อสาธารณะและควรมีการระบุสัญญาที่ตรวจสอบโดยผู้ตรวจสอบบัญชี ดูว่าการตรวจสอบเน้นปัญหาใด ๆ หรือไม่และได้รับการแก้ไขเช่น การตรวจสอบโปรโตคอล 0x ที่ซึ่งปัญหาได้รับการระบุแล้วแก้ไข ไฮไลต์ด้วยสีแดงคือปัญหาหลักที่ได้รับการระบุ และเป็นสีเขียวซึ่งได้รับการแก้ไขแล้ว ปัญหาสำคัญอาจส่งผลให้สูญเสียเงินทุนของผู้ใช้ ดังนั้นจึงเป็นเรื่องสำคัญที่โปรโตคอล 0x มีตาคู่ที่สองเพื่อตรวจสอบรหัสของพวกเขาอีกครั้ง
คำถามอื่น ๆ ที่คุณอาจพิจารณาถามคือ:
- การตรวจสอบมีรายละเอียดหรือการตรวจสอบคร่าวๆ?
- มีกี่คนที่ทำงานในการตรวจสอบ?
- การตรวจสอบใช้เวลาในการดำเนินการนานเท่าใด?
- มีการตรวจสอบก่อนที่จะปรับใช้โค้ดหรือไม่
- มีรายละเอียดทางเทคนิคของปัญหาที่พบหรือไม่?
แม้ว่าการตรวจสอบจะไม่ผิดพลาด แต่ก็เพิ่มความปลอดภัยอีกชั้นหนึ่ง
มี Bug Bounty หรือไม่?
การตรวจสอบขั้นสุดท้ายที่คุณควรเรียกใช้คือถ้ามีค่าหัวบั๊กหรือไม่ โปรโตคอลมักกันเงินไว้เพื่อให้แฮ็กเกอร์มีวิธีการระบุการหาประโยชน์จากนักพัฒนาโดยไม่ได้ใช้งานจริง ในการรันโปรแกรมเหล่านี้ กองทัพของแฮ็กเกอร์หมวกขาวจะถูกนำไปทดสอบความเครียดของโปรโตคอล เงินรางวัลที่มากขึ้นจะดึงดูดความสนใจมากขึ้นซึ่งนำไปสู่การทดสอบที่มากขึ้นและโค้ดที่ดีขึ้นในที่สุด จำนวนเหล่านี้มักจะน่าดึงดูดใจเพื่อให้แน่ใจว่าแฮกเกอร์ใช้โปรแกรมเหล่านี้
เพื่อเป็นการพิสูจน์ประสิทธิภาพของโปรแกรมเหล่านี้ ให้ดูที่ armor.fi . ได้อย่างไร เพิ่มเงินรางวัลจาก $27 เป็น $700K. หนึ่งวันต่อมา มีการระบุและแก้ไขจุดบกพร่องที่อาจทำให้โปรโตคอลขัดข้อง โปรแกรมเหล่านี้ช่วยให้แน่ใจว่ารหัสจะปลอดภัยยิ่งขึ้น ซึ่งหมายความว่าเงินของคุณจะปลอดภัยยิ่งขึ้นด้วย
ทีมพัฒนาเปิดเผยต่อสาธารณะและพวกเขามีส่วนร่วมกับชุมชนในเชิงรุกหรือไม่?
การตรวจสอบขั้นสุดท้ายที่คุณควรทำคือทีมพัฒนาเอง นักพัฒนาบางคนยังคงไม่เปิดเผยตัวตน ในขณะที่คนอื่นๆ เปิดเผยตัวตนของพวกเขา ทีมพัฒนาสาธารณะจะลังเลใจก่อนที่จะขโมยเงินของคุณเนื่องจากชื่อของพวกเขาจะเสียไปตลอดกาล ทีมที่ไม่ระบุชื่อไม่มีแรงจูงใจเหมือนกัน ถึงแม้ว่าสิ่งสำคัญที่ต้องจำไว้คือนักพัฒนาที่ไม่เปิดเผยตัวตนบางคนเป็นผู้สนับสนุนที่มีค่าที่สุดของ DeFi แต่คุณต้องสร้างสมดุลระหว่างสิ่งนี้กับความสามารถในการหายไปของพวกเขา กล่าวโดยย่อ ผู้พัฒนาสาธารณะต้องรับผิดชอบผ่านข้อมูลประจำตัวสาธารณะของพวกเขา
ทีมที่ดีควรให้ความสำคัญกับการสื่อสารและทำให้ง่ายต่อการติดต่อกับพวกเขา เป็นวาล์วปล่อยที่สำคัญสำหรับการร้องทุกข์และข้อเสนอแนะ ทั้งหมดนี้ทำให้โปรโตคอลแข็งแกร่งขึ้น ความขัดแย้งของชุมชนหรือช่องโทรเลขควรลิงก์บนเว็บไซต์ของพวกเขาเพื่อให้คุณสามารถถามคำถามได้ คุณเห็นใครบางคนพยายามติดต่อกับผู้จัดการชุมชนหรือแม้แต่นักพัฒนาซอฟต์แวร์หรือไม่? พวกเขาช่วยเหลือดี/เป็นมิตรหรือไม่? พวกเขาละทิ้งข้อกังวลของพวกเขาหรือไม่? สิ่งเหล่านี้ล้วนเป็นข้อพิจารณาที่สำคัญ
การใช้คู่มือนี้ คุณจะสามารถดำเนินการตรวจสอบในนาทีสุดท้ายอย่างรวดเร็วก่อนที่จะอนุมัติธุรกรรมของคุณ และหวังว่าผลลัพธ์ที่ได้จะปลอดภัยขึ้นเล็กน้อย
ขอบคุณสำหรับการอ่านและลิงที่มีความสุข
แม่น้ำ0x ใช้งานได้สำหรับ defisafety.comซึ่งทบทวนโปรโตคอล DeFi และวัดผลแนวทางปฏิบัติในการพัฒนา ซึ่งทำได้โดยการให้คะแนนทั้งหมดบนจุดข้อมูลเชิงปริมาณที่หลากหลาย ติดต่อทีมพัฒนาเพื่อขอคำชี้แจงแล้วเผยแพร่รายงานฟรี โดยทั่วไป ยิ่งคะแนนสูงเท่าใด โปรโตคอลก็ยิ่งมีโอกาสน้อยลงเท่านั้น ประสบกับรูปแบบการเอารัดเอาเปรียบบางอย่าง.
อ่านโพสต์ต้นฉบับบน การท้าทาย
- "
- 0x
- 2021
- 67
- เกี่ยวกับเรา
- การกระทำ
- ที่อยู่
- ทั้งหมด
- การอนุญาต
- จำนวน
- AREA
- ARM
- การตรวจสอบบัญชี
- Bug
- โซ่
- การตรวจสอบ
- รหัส
- Coindesk
- คอยน์เก็คโค
- การสื่อสาร
- ชุมชน
- อย่างสมบูรณ์
- สัญญา
- สัญญา
- ควบคุม
- ประสานงาน
- ได้
- วิกฤติ
- DAO
- ข้อมูล
- วัน
- Defi
- นำไปใช้
- ปรับใช้
- แม้จะมี
- พัฒนา
- ผู้พัฒนา
- นักพัฒนา
- พัฒนาการ
- devs
- DID
- ความขยัน
- หายไป
- ภัยพิบัติ
- บาดหมางกัน
- อย่างง่ายดาย
- ประสิทธิผล
- ยกระดับ
- โดยเฉพาะอย่างยิ่ง
- ทุกคน
- ตัวอย่าง
- ตลาดแลกเปลี่ยน
- ประสบการณ์
- ตลอดไป
- ส้อม
- ฟอร์ม
- พบ
- ฟรี
- สด
- เงิน
- โดยทั่วไป
- GitHub
- ดี
- สีเขียว
- ให้คำแนะนำ
- แฮกเกอร์
- มีความสุข
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- สูงกว่า
- ไฮไลต์
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- ความคิด
- แยกแยะ
- ระบุ
- สำคัญ
- เพิ่ม
- ข้อมูล
- ข้อมูลเชิงลึก
- ปัญหา
- ปัญหา
- IT
- ตัวเอง
- คีย์
- ภาษา
- ที่มีขนาดใหญ่
- ชั้นนำ
- นำไปสู่
- น่าจะ
- ถูก จำกัด
- Line
- การเชื่อมโยง
- รายการ
- จดทะเบียน
- น้อย
- นาน
- มอง
- สำคัญ
- การทำ
- ผู้จัดการ
- ความหมาย
- กลาง
- ข้อมูลเพิ่มเติม
- มากที่สุด
- หลาย
- ชื่อ
- อื่นๆ
- ของตนเอง
- เจ้าของ
- การเป็นเจ้าของ
- คน
- เป็นจุดสำคัญ
- น่าสงสาร
- ที่มีศักยภาพ
- ส่วนตัว
- ปัญหา
- ปัญหาที่เกิดขึ้น
- โปรไฟล์
- โปรแกรม
- โครงการ
- พิสูจน์
- โปรโตคอล
- โปรโตคอล
- ให้
- สาธารณะ
- เชิงปริมาณ
- คำถาม
- การอ่าน
- กู้
- ปล่อย
- ตรงประเด็น
- รายงาน
- กรุ
- การวิจัย
- รีวิว
- ความเสี่ยง
- ความเสี่ยง
- เสี่ยง
- วิ่ง
- วิ่ง
- ปลอดภัย
- ความปลอดภัย
- ชุด
- สั้น
- สำคัญ
- คล้ายคลึงกัน
- ง่าย
- So
- ซอฟต์แวร์
- การพัฒนาซอฟต์แวร์
- ทางออก
- บาง
- บางคน
- บางสิ่งบางอย่าง
- ใช้จ่าย
- เริ่มต้น
- สหรัฐอเมริกา
- ความเครียด
- ทีม
- วิชาการ
- Telegram
- ทดสอบ
- การทดสอบ
- ตลอด
- เคล็ดลับ
- เคล็ดลับและเทคนิค
- แตะ
- ผู้ตามรอย
- การทำธุรกรรม
- ความโปร่งใส
- เข้าใจ
- ใช้
- ผู้ใช้
- มักจะ
- ความคุ้มค่า
- วาล์ว
- ความหลากหลาย
- Web3
- Website
- อะไร
- ว่า
- ในขณะที่
- ไม่มี
- ทำงาน
- โรงงาน
- YouTube