Năm mẹo để nâng cao nghiên cứu DeFi của bạn

DeFi có tiềm năng trở thành một nơi hoang dã có lúc. Có vẻ như các giao thức chống đạn có thể tấm thảm ngay lập tức hoặc bị khai thác mà giá mã thông báo sẽ không bao giờ phục hồi từ.

Phù hợp với bảo mật của The Defiant sứ mệnh nhận thức, Tôi sẽ phác thảo một vài gợi ý về cách xác định một thảm họa tiềm ẩn trước khi nó bùng phát. Tôi tiêu của tôi ngày xác định cách các dự án tiến hành phát triển và đo lường cách họ kết thúc việc triển khai mã của mình. Sau khi đánh giá hơn 200 giao thức, chúng tôi đã thu thập được một số thông tin chi tiết để xác định các phương pháp phát triển kém trong DeFi.

Tài chính nghịch đảo và Vô cực Axie gần đây đã bị khai thác dẫn đến thiệt hại đáng kể về quỹ. Katana, sàn giao dịch phi tập trung duy nhất trên chuỗi Ronin của Axie được phát triển bởi cùng một nhóm (với các phương pháp phát triển giống nhau), đã ghi điểm 5% trong thẩm định của chúng tôi. Ghi bàn nghịch đảo tốt hơn nhiều nhưng vẫn bị tụt hậu ở một số lĩnh vực xung yếu. Cả hai đều không được kiểm toán, không có tiền thưởng lỗi và cung cấp bằng chứng thử nghiệm cực kỳ hạn chế hoặc không có gì cả. Katana đặc biệt không rõ ràng khi giải thích cách hoạt động của nó. Mặc dù đã xác định được những vấn đề này, nhưng những vụ khai thác này vẫn xảy ra và người dùng vẫn mất tiền tiết kiệm. 

Với danh sách kiểm tra này, tôi muốn cung cấp cho bạn - chú vượn khiêm tốn / nông dân / degen - một số mẹo và thủ thuật được cá nhân hóa cho hồ sơ rủi ro của bạn khi bạn điều hướng bãi mìn DeFi. 

Lưu ý rằng không có cách kiểm tra nào trong số này là giải pháp hoàn hảo có thể đảm bảo trải nghiệm DeFi hoàn toàn an toàn. DeFi vẫn là một nơi cực kỳ rủi ro và một giao thức có thể dễ dàng đáp ứng tất cả các kiểm tra này nhưng vẫn bị khai thác. Vui lòng sử dụng danh sách kiểm tra này như một danh sách không theo quy định và đảm bảo rằng bạn luôn tiến hành thẩm định của riêng mình trước khi đạt yêu cầu. 

Tôi có thể tìm thấy kho lưu trữ GitHub không? Nó có tốt không?

Hãy bắt đầu với câu hỏi cơ bản nhất mà bạn nên tự hỏi trước khi tương tác với bất kì hợp đồng. Tôi có thể tìm thấy kho lưu trữ GitHub mà giao thức sử dụng không? 

Đối với những người chưa quen, GitHub là một trang web mà các nhóm sử dụng để phối hợp phát triển phần mềm. Bạn sẽ có thể dễ dàng tìm thấy GitHub của nhóm bằng cách tìm kiếm tên giao thức, tiếp theo là GitHub. 

Câu hỏi chính bạn nên hỏi ở đây là nếu nó được công khai. Hãy so sánh các ví dụ về Kho lưu trữ GitHub của Bancor và của tài chính nghiệt ngã, được khai thác với giá 30 triệu đô la vào tháng 2021 năm 4000. Hãy xem kho lưu trữ của Bancor hoạt động tốt như thế nào: nhiều thư mục, tổng quan về giao thức README.md, cộng tác viên công khai, hơn XNUMX lần gửi. So sánh nó với Grim Finance's - nó là riêng tư. Bạn không biết mình đang tương tác với những hợp đồng nào. 

Điều đặc biệt quan trọng cần lưu ý là các kho lưu trữ riêng làm cho việc kiểm tra trở nên vô ích, bởi vì bạn không bao giờ có thể chắc chắn rằng các hợp đồng mà các nhà phát triển đã triển khai có giống với các hợp đồng mà kiểm toán viên đã xem xét nếu bạn không thể tự mình xác minh chúng hay không. Tính minh bạch là một phần quan trọng của sự phát triển DeFi: nó dẫn đến mã mạnh hơn bằng cách cho phép mọi người xem xét kỹ lưỡng nó. Kho lưu trữ riêng ngăn cản sự minh bạch và làm suy yếu tinh thần mã nguồn mở của web3. 

Giao thức có được ghi chép đầy đủ không? Quyền sở hữu hợp đồng có được xác định không? 

Bước thứ hai là duyệt qua tài liệu của giao thức. Điều này thường được liên kết từ trang chính của trang web của họ và có thể được viết bằng GitBook hoặc một phương tiện tương tự. Nó phải cung cấp tổng quan cấp cao về cách thức hoạt động của giao thức và thông tin liên quan khác được viết bằng ngôn ngữ đơn giản để bạn hoặc tôi có thể hiểu những gì chúng ta sắp sử dụng. 

Một ví dụ điển hình về điều này là PancakeSwap: trông thật dễ thương và có thể hiểu được các wabbit nhỏ là! 

Tài liệu tốt có nghĩa là giao thức biết mã của nó từ trong ra ngoài. Các giao thức có thể dễ dàng phân nhánh các giao thức khác với rất ít ý tưởng về cách mọi thứ hoạt động, điều này có thể làm tăng khả năng xảy ra sự cố. Tài liệu liên quan thường có nghĩa là họ hiểu nó, vì họ có thể tổng hợp thông tin thành một thứ gì đó dễ tiêu hóa hơn. 

Một lĩnh vực quan trọng cần đặc biệt cảnh giác là liệu chủ sở hữu và quyền của các hợp đồng bạn đang tương tác có được liệt kê hay không. Một số hợp đồng có thể được thay đổi theo ý muốn, điều này có thể khiến tiền của bạn gặp rủi ro mới. Đảm bảo rằng bạn cảm thấy thoải mái với người nắm quyền kiểm soát: chỉ vì bạn thấy những người khác tin tưởng một giao thức không có nghĩa là giao thức đó an toàn. Xem cách Tracer tuyên bố rõ ràng rằng DAO của họ sở hữu các hợp đồng của họ. 

Bạn cũng nên cảnh giác với các địa chỉ hợp đồng. Kiểm tra kỹ xem chúng có giống với những thứ bạn đang tương tác trên trang web của giao thức không. Hộp số tuyên bố rõ ràng và liên kết chúng với etherscan để bạn có thể tự xác minh. Hành động đơn giản này có thể giúp người dùng tránh được cuộc tấn công frontend của BadgerDAO, trong đó 120 triệu đô la đã được thực hiện. 

Mã có được kiểm toán không?

Kiểm tra thứ ba bạn nên thực hiện là xem mã đã được kiểm toán hay chưa. Các công ty kiểm toán cung cấp một đôi mắt mới mẻ có giá trị về mã mà bạn muốn sử dụng. Việc đánh giá phải được công khai và các hợp đồng đã được kiểm toán viên soát xét phải được liệt kê. Xem liệu cuộc đánh giá có nêu bật bất kỳ vấn đề nào không và liệu chúng đã được giải quyết hay chưa, chẳng hạn như Kiểm tra giao thức 0x nơi một vấn đề đã được xác định và sau đó được khắc phục. Được đánh dấu bằng màu đỏ là sự cố chính đã được xác định và màu xanh lá cây là sự cố đã được khắc phục. Các vấn đề lớn có thể dẫn đến việc mất tiền của người dùng, vì vậy điều quan trọng là Giao thức 0x có một cặp mắt thứ hai để kiểm tra lại mã của họ. 

Các câu hỏi khác mà bạn có thể cân nhắc hỏi là: 

• Kiểm toán là chi tiết hay kiểm tra sơ bộ?
• Có bao nhiêu người đã làm việc trong cuộc kiểm toán?
• Việc kiểm toán mất bao lâu để thực hiện?
• Việc đánh giá có được tiến hành trước khi mã được triển khai không?
• Có sự cố kỹ thuật nào được tìm thấy không?

Mặc dù các cuộc kiểm tra không phải là dễ dàng, nhưng chúng cung cấp một lớp bảo mật bổ sung.

Có một Bug Bounty? 

Lần kiểm tra áp chót bạn nên chạy là nếu có một khoản tiền thưởng lỗi. Các giao thức thường dành quỹ để tin tặc có cách xác định các hành vi khai thác đối với các nhà phát triển mà không thực sự sử dụng chúng. Khi chạy các chương trình này, đội quân tin tặc mũ trắng được hướng tới để kiểm tra căng thẳng các giao thức. Tiền thưởng lớn hơn thu hút nhiều sự chú ý hơn dẫn đến nhiều thử nghiệm hơn và cuối cùng là mã tốt hơn. Những số tiền này thường rất tốn kém để đảm bảo rằng tin tặc sử dụng các chương trình này. 

Để chứng minh tính hiệu quả của các chương trình này, hãy xem cách Armor.fi đã tăng tiền thưởng của họ từ $ 27K lên $ 700K. Một ngày sau, một lỗi có thể có khả năng làm hỏng giao thức đã được xác định và sửa. Các chương trình này đi một chặng đường dài trong việc đảm bảo rằng mã trở nên an toàn hơn, nghĩa là tiền của bạn cũng sẽ an toàn hơn. 

Nhóm phát triển có công khai không và họ có chủ động tham gia với cộng đồng của mình không?

Kiểm tra cuối cùng mà bạn nên thực hiện là đối với chính nhóm phát triển. Một số nhà phát triển vẫn ẩn danh, trong khi những người khác tiết lộ danh tính của họ. Các nhóm phát triển công khai sẽ do dự trước khi ăn cắp tiền của bạn vì tên của họ sẽ bị vấy bẩn mãi mãi. Các đội ẩn danh không có sự khuyến khích giống nhau. Mặc dù điều quan trọng cần nhớ là một số nhà phát triển ẩn danh là những người đóng góp có giá trị nhất cho DeFi, nhưng bạn phải cân bằng điều này với khả năng biến mất của họ. Nói tóm lại, các nhà phát triển công khai phải chịu trách nhiệm thông qua danh tính công khai của họ.

Các nhóm tốt cũng nên coi trọng giao tiếp và giúp bạn dễ dàng liên lạc với họ. Đó là một van giải phóng quan trọng cho những lời phàn nàn và đề xuất - tất cả đều làm cho một giao thức trở nên mạnh mẽ hơn. Một cộng đồng bất hòa hoặc kênh điện tín nên được liên kết trên trang web của họ để bạn có thể đặt câu hỏi. Bạn có thể thấy ai đó đang cố gắng liên lạc với người quản lý cộng đồng hoặc thậm chí là nhà phát triển không? Họ có hữu ích / thân thiện không? Họ có gạt bỏ những lo lắng của họ không? Đây là tất cả những cân nhắc quan trọng. 

Sử dụng hướng dẫn này, bạn sẽ có thể hoàn thành một số kiểm tra nhanh chóng vào phút cuối trước khi chấp thuận các giao dịch của mình và hy vọng rằng sẽ an toàn hơn một chút. 

Cảm ơn vì đã đọc và chúc bạn vui vẻ. 

sông0x làm việc cho defisafety.com, đánh giá các giao thức DeFi và đo lường thực tiễn phát triển. Điều này được thực hiện bằng cách cho điểm chúng hoàn toàn dựa trên nhiều điểm dữ liệu định lượng khác nhau, liên hệ với nhóm phát triển để làm rõ và sau đó phát hành báo cáo miễn phí. Nói chung, điểm càng cao, giao thức càng ít có khả năng bị một số hình thức bóc lột.

Đọc bài gốc trên Kẻ thách thức

• Coinsmart. Sàn giao dịch Bitcoin và tiền điện tử tốt nhất Châu Âu.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. TRUY CẬP MIỄN PHÍ.
• CryptoHawk. Radar Altcoin. Dùng thử miễn phí.
• Nguồn: https://thedefiant.io/defi-safety-tips/