П'ять порад, щоб підвищити рівень ваших досліджень DeFi

DeFi має потенціал бути a часом дике місце. Здавалося б, куленепробивні протоколи можуть килимок в одну мить або страждати від подвигів, що ціни на токени ніколи не відновляться.

Відповідно до безпеки The Defiant місія обізнаності, я наведу кілька вказівок щодо того, як визначити потенційну катастрофу до того, як вона розгорнеться. Я витрачаю своє днів визначення того, як проекти ведуть розробку, і вимірювання того, як вони завершують розгортання свого коду. Оцінивши понад 200 протоколів, ми зібрали кілька ідей, щоб визначити погані методи розробки в DeFi.

Зворотні фінанси та вісь нескінченність нещодавно зазнав експлойтів, що призвело до значних втрат коштів. Katana, єдина децентралізована біржа в мережі Axie Ronin, розроблена тією ж командою (з тією самою практикою розробки), отримала бали 5% в нашій оцінці. Інверс забив Значно краще але все ще відстає в деяких критичних областях. Обидва вони не проходили перевірку, не мали винагород за помилки та надавали вкрай обмежені докази тестування або їх взагалі не було. Катана була особливо непрозорою, коли потрібно було пояснити, як вона працює. Незважаючи на виявлення цих проблем, ці експлойти все одно траплялися, і користувачі все одно втрачали свої заощадження. 

За допомогою цього контрольного списку я хочу озброїти вас – скромну мавпу/фермера/дегена – кількома порадами та хитрощами, персоналізованими для вашого профілю ризику під час навігації мінним полем DeFi. 

Зауважте, що жодна з цих перевірок не є ідеальним рішенням, яке може забезпечити повністю безпечний досвід DeFi. DeFi залишається неймовірно ризикованим місцем, і протокол може легко витримати всі ці перевірки, але все ще бути використаним. Будь ласка, використовуйте цей контрольний список як нерекомендуючий список і переконайтеся, що ви завжди проводите власну належну обачність перед тим, як мавпувати. 

Чи можу я знайти репозиторій GitHub? Це добре конкретизовано?

Давайте почнемо з найбільш фундаментального питання, яке ви повинні поставити собі перед взаємодією будь-який договір. Чи можу я знайти репозиторій GitHub, який використовує протокол? 

Для непосвячених GitHub — це веб-сайт, який команди використовують для координації розробки програмного забезпечення. Ви повинні легко знайти GitHub команди, ввівши назву протоколу, а потім GitHub. 

Головне питання, яке ви повинні поставити тут, це чи є це публічним. Порівняємо приклади Репозиторій Bancor на GitHub і що Похмурі фінанси, який було використано на 30 мільйонів доларів у грудні 2021 року. Подивіться, наскільки добре розроблено сховище Bancor: кілька папок, огляд протоколу README.md, публічні співавтори,  4000+ подань. Порівняйте це з Grim Finance – це приватне. Ви не уявляєте, з якими контрактами ви взаємодієте. 

Особливо важливо відзначити, що приватні репозиторії роблять аудит марним, оскільки ви ніколи не можете бути впевнені, що контракти, які розгорнули розробники, є тими самими, які перевіряли аудитори, якщо ви не можете перевірити їх самостійно. Прозорість є важливою частиною розробки DeFi: вона веде до створення надійнішого коду, дозволяючи кожному ретельно його вивчати. Приватні репозиторії перешкоджають прозорості та підривають дух відкритого коду web3. 

Чи протокол добре задокументований? Чи визначено право власності за договором? 

Другим кроком є ​​перегляд документації протоколу. Зазвичай це посилання з головної сторінки їх веб-сайту та може бути написано в GitBook або подібному носії. Він має надати загальний огляд того, як працює протокол, та іншу відповідну інформацію, написану простою мовою, щоб ви або я могли зрозуміти, що саме ми збираємося використовувати. 

Хорошим прикладом цього є PancakeSwap: подивіться, як мило та зрозумілі маленькі вабіти! 

Хороша документація означає, що протокол знає свій код навиворіт. Протоколи можуть легко розгалужувати інші протоколи, не знаючи, як все працює, що може збільшити ймовірність інциденту. Відповідна документація зазвичай означає, що вони її розуміють, оскільки вони можуть синтезувати інформацію у щось більш сприйнятливе. 

Ключовою сферою, на яку слід бути особливо пильним, є те, чи є в списку власники та дозволи контрактів, з якими ви взаємодієте. Деякі контракти можна змінити за бажанням, що може піддати ваші кошти новим ризикам. Переконайтеся, що ви відчуваєте себе комфортно з тим, хто контролює: те, що ви бачите, що інші довіряють протоколу, не означає, що він безпечний. Подивіться, як Tracer прямо заявляє, що його DAO володіє їхніми контрактами. 

Ви також повинні залишатися пильними щодо адрес контрактів. Ще раз переконайтеся, що вони збігаються з тими, з якими ви взаємодієте на веб-сайті протоколу. Gearbox чітко вказує та пов’язує їх з etherscan, щоб ви могли перевірити їх самостійно. Ця проста дія могла допомогти користувачам уникнути фронтенд-атаки BadgerDAO, у якій Забрали 120 мільйонів доларів. 

Чи перевірено код?

Третя перевірка, яку ви повинні виконати, це перевірка коду. Аудиторські фірми надають цінну свіжу пару очей щодо коду, який ви хочете використовувати. Аудит має бути відкритим, а перевірені аудиторами контракти мають бути перелічені. Подивіться, чи аудит виявив якісь проблеми та чи було їх вирішено, наприклад Аудит протоколу 0x де було виявлено та усунено проблему. Червоним виділено основну проблему, яку було виявлено, а зеленим — її усунення. Серйозні проблеми можуть призвести до втрати коштів користувача, тому надзвичайно важливо, щоб 0x Protocol отримав другу пару очей для повторної перевірки свого коду. 

Інші запитання, які ви можете задати: 

• Аудит детальний чи поверхневий?
• Скільки людей працювало над аудитом?
• Скільки часу тривав аудит?
• Чи проводився аудит перед розгортанням коду?
• Чи є технічний розподіл знайдених проблем?

Хоча перевірки не є надійними, вони забезпечують додатковий рівень безпеки.

Чи є Bug Bounty? 

Передостанньою перевіркою, яку ви повинні виконати, є винагорода за помилку. Протоколи часто відкладають кошти, щоб хакери мали можливість ідентифікувати розробникам експлойти, фактично не використовуючи їх. Під час запуску цих програм армії білих хакерів спрямовані на стрес-тестування протоколів. Більші винагороди привертають більше уваги, що призводить до більшої кількості тестувань і, зрештою, покращення коду. Ці суми часто сльозяться, щоб переконатися, що хакери використовують ці програми. 

Як доказ ефективності цих програм подивіться на роботу armor.fi збільшили винагороду з $27K до $700K. Через день було виявлено та виправлено помилку, яка потенційно могла привести до збою протоколу. Ці програми значною мірою гарантують, що код стає безпечнішим, тобто ваші кошти також будуть безпечнішими. 

Чи є команда розробників публічною та чи активно вони взаємодіють зі своєю спільнотою?

Остаточну перевірку, яку ви повинні зробити, виконує сама команда розробників. Деякі розробники залишаються анонімними, тоді як інші розкривають свою особу. Команди громадського розвитку вагатимуться, перш ніж вкрасти ваші кошти, оскільки їхні імена будуть заплямовані цим назавжди. Анонімні команди не мають таких стримуючих факторів. Хоча важливо пам’ятати, що деякі анонімні розробники є найціннішими учасниками DeFi, ви повинні збалансувати це з їх здатністю зникати. Коротше кажучи, публічні розробники несуть відповідальність через свої публічні особи.

Хороші команди також повинні цінувати спілкування та полегшувати вам зв’язок із ними. Це важливий пусковий клапан для скарг і пропозицій – усе це робить протокол сильнішим. На їхньому веб-сайті має бути посилання на канал спільноти Discord або Telegram, щоб ви могли ставити запитання. Ви бачите, як хтось намагається зв’язатися з менеджером спільноти чи навіть розробником? Чи корисні вони? Чи вони відкидають свої занепокоєння? Це все важливі міркування. 

Використовуючи цей посібник, ви зможете виконати деякі швидкі перевірки в останню хвилину перед схваленням своїх транзакцій, і, сподіваюся, в результаті цього станете трохи безпечнішими. 

Дякую, що прочитали, щасливого мавпування. 

river0x працює для defisafety.com, який переглядає протоколи DeFi та вимірює практики розробки. Це робиться шляхом їх повної оцінки за різними кількісними даними, зв’язку з командою розробників для отримання роз’яснень, а потім безкоштовного випуску звіту. Взагалі кажучи, що вищий бал, то менша ймовірність, що протокол зазнати певної форми експлуатації.

Прочитайте оригінальний пост на Захисник

• Coinsmart. Найкраща в Європі біржа біткойн та криптовалют.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. БЕЗКОШТОВНИЙ ДОСТУП.
• CryptoHawk. Альткойн Радар. Безкоштовне випробування.
• Джерело: https://thedefiant.io/defi-safety-tips/