DeFi 有潜力成为 有时是野生的地方。 看似防弹的协议可以 地毯瞬间 或遭受剥削 代币价格永远不会从.
符合 The Defiant 的安全要求 意识使命,我将概述一些关于如何在潜在灾难发生之前识别它的提示。 我花我的 天 确定项目如何进行开发并衡量它们最终如何部署代码。 在评估了 200 多个协议后,我们收集了一些见解来识别 DeFi 中的不良开发实践。
逆向金融 和 Axie Infinity 最近遭受攻击,导致重大资金损失。 Katana 是 Axie 的 Ronin 链上唯一由同一团队(具有相同的开发实践)开发的去中心化交易所,得分 5% 在我们的评价中。 逆得分 好多了 但在一些关键领域仍然落后。 两者都未经审计,没有漏洞赏金,提供极其有限的测试证明或根本没有。 Katana 在解释其工作原理时尤其不透明。 尽管发现了这些问题,但这些漏洞仍然发生,用户仍然失去了毕生的积蓄。
有了这份清单,我想用一些提示和技巧来武装你——谦逊的猿/农民/退化者——在你浏览 DeFi 雷区时根据你的风险状况进行个性化设置。
请注意,这些检查都不是可以确保完全安全的 DeFi 体验的完美解决方案。 DeFi 仍然是一个非常危险的地方,一个协议可以很容易地满足所有这些检查,但仍然被利用。 请将此清单用作非规定性清单,并确保在模仿之前始终进行自己的尽职调查。
我可以找到 GitHub 存储库吗? 是不是很充实?
让我们从与您互动之前应该问自己的最基本问题开始 任何 合同。 我可以找到协议使用的 GitHub 存储库吗?
对于外行来说,GitHub 是一个团队用来协调软件开发的网站。 通过搜索协议名称,然后搜索 GitHub,您应该可以轻松找到团队的 GitHub。
您应该在这里问的主要问题是它是否是公开的。 让我们比较一下例子 Bancor 的 GitHub 存储库 和那个 严峻的金融,在 30 年 2021 月以 4000 万美元的价格被利用。看看 Bancor 的存储库的充实程度:多个文件夹、协议的 README.md 概述、公共合作者、XNUMX 多个提交。 与 Grim Finance 相比,它是私有的。 您不知道您正在与哪些合约进行交互。
特别需要注意的是,私有存储库使审计毫无用处,因为如果您无法自己验证,您永远无法确定开发人员部署的合同与审计员查看的合同相同。 透明度是 DeFi 开发的重要组成部分:它通过让每个人都仔细检查来产生更强大的代码。 私有存储库阻碍了透明度并破坏了 web3 的开源精神。
协议是否有据可查? 合同所有权是否已确定?
第二步是浏览协议的文档。 这通常是从他们网站的主页链接的,可以用 GitBook 或类似的媒体编写。 它应该提供协议如何工作的高级概述以及以简单语言编写的其他相关信息,以便您或我能够理解我们将要使用的内容。
PancakeSwap 就是一个很好的例子:看看多可爱 和 小兔崽子们都懂!
好的文档意味着协议对代码了如指掌。 协议可以很容易地分叉其他协议,而对事物的运作方式知之甚少,这会增加发生事件的可能性。 相关文档通常意味着他们确实理解它,因为他们可以将信息综合成更易于消化的东西。
需要特别警惕的一个关键领域是是否列出了您与之交互的合同的所有者和权限。 有些合约可以随意更改,这可能会使您的资金面临新的风险。 确保您对谁在控制中感到自在:仅仅因为您看到其他人信任协议并不意味着它是安全的。 了解 Tracer 如何明确声明其 DAO 拥有他们的合约。
您还应该对合约地址保持警惕。 仔细检查它们是否与您在协议网站上与之交互的那些相同。 Gearbox 明确声明并将它们链接到 etherscan,以便您自己验证它们。 这个简单的操作可以帮助用户避免 BadgerDAO 的前端攻击,其中 120亿美元被拿走了。
代码是否经过审核?
您应该执行的第三项检查是查看代码是否已经过审核。 审计公司为您想要使用的代码提供了宝贵的新视角。 审计应公开,审计员审查的合同应列出。 查看审核是否突出了任何问题以及是否已解决,例如 0x 协议的审计 发现问题然后修复的地方。 以红色突出显示的是已确定的主要问题,以绿色突出显示已修复。 重大问题可能导致用户资金损失,因此 0x 协议有第二双眼睛仔细检查他们的代码至关重要。
您可能会考虑提出的其他问题是:
- 审计是详细的还是粗略的检查?
- 有多少人参与了审计?
- 审核执行需要多长时间?
- 是否在部署代码之前进行了审计?
- 是否对发现的问题进行了技术细分?
虽然审计并非万无一失,但它们提供了额外的安全层。
有漏洞赏金吗?
您应该运行的倒数第二项检查是是否有错误赏金。 协议通常会预留资金,以便黑客能够在不实际使用的情况下向开发人员识别漏洞。 在运行这些程序时,白帽黑客大军被指示对协议进行压力测试。 更大的赏金会吸引更多的注意力,从而导致更多的测试和最终更好的代码。 这些数量常常令人瞠目结舌,以确保黑客使用这些程序。
作为这些程序有效性的证明,请查看 armour.fi 将他们的赏金从 $27K 提高到 $700K. 一天后,发现并修复了一个可能导致协议崩溃的错误。 这些程序在确保代码变得更安全方面大有帮助,这意味着您的资金也会更安全。
开发团队是否公开,他们是否主动与社区互动?
您应该对开发团队本身进行最后检查。 一些开发者保持匿名,而另一些则透露他们的身份。 公共开发团队在窃取您的资金之前会犹豫不决,因为他们的名字将永远被它玷污。 匿名团队没有相同的抑制因素。 虽然重要的是要记住,一些匿名开发者是 DeFi 最有价值的贡献者,但你必须在这与他们消失的能力之间取得平衡。 简而言之,公共开发人员通过他们的公共身份承担责任。
好的团队还应该重视沟通,让您轻松与他们取得联系。 它是表达不满和建议的重要释放阀——所有这些都使协议更强大。 应在他们的网站上链接社区不和谐或电报频道,以便您提问。 你能看到有人试图与社区经理甚至开发人员取得联系吗? 他们有帮助/友好吗? 他们是否消除了他们的担忧? 这些都是重要的考虑因素。
使用本指南,您应该能够在批准交易之前完成一些快速的最后检查,并希望因此更安全一些。
感谢阅读,快乐猿。
河0x 效劳于 defisafety.com,它审查 DeFi 协议并衡量开发实践。 这是通过完全根据各种定量数据点对它们进行评分,联系开发团队进行澄清,然后免费发布报告来完成的。 一般来说,分数越高,协议越不可能 遭受某种形式的剥削.
阅读原文 反抗
- "
- 0x
- 2021
- 67
- 关于
- 操作
- 地址
- 所有类型
- 允许
- 量
- 国家 / 地区
- ARM
- 审计
- 问题
- 链
- 支票
- 码
- Coindesk
- CoinGecko
- 沟通
- 社体的一部分
- 完全
- 合同
- 合同的
- 控制
- 协调
- 可以
- 危急
- DAO
- data
- 天
- DEFI
- 部署
- 部署
- 尽管
- 发达
- 开发商
- 开发
- 研发支持
- 开发者
- DID
- 勤勉
- 消失
- 灾害
- 不和
- 容易
- 效用
- ELEVATE
- 特别
- 每个人
- 例子
- 交换
- 体验
- 永远
- 叉
- 申请
- 发现
- Free
- 新鲜
- 资金
- 通常
- GitHub上
- 非常好
- 绿色
- 指南
- 黑客
- 快乐
- 相关信息
- 更高
- 突出
- 创新中心
- How To
- HTTPS
- 主意
- 鉴定
- 确定
- 重要
- 增加
- 信息
- 可行的洞见
- 问题
- 问题
- IT
- 本身
- 键
- 语言
- 大
- 领导
- 信息
- 容易
- 有限
- Line
- 链接
- 清单
- 已发布
- 小
- 长
- 看着
- 主要
- 制作
- 经理
- 意
- 中等
- 更多
- 最先进的
- 多
- 名称
- 其他名称
- 己
- 业主
- 所有权
- 员工
- 关键的
- 贫困
- 潜力
- 私立
- 市场问题
- 问题
- 本人简介
- 训练课程
- 项目
- 证明
- 协议
- 协议
- 提供
- 国家
- 量
- 题
- 阅读
- 恢复
- 释放
- 相应
- 报告
- 知识库
- 研究
- 评论
- 风险
- 风险
- 冒险的
- 运行
- 运行
- 安全
- 保安
- 集
- 短
- 显著
- 类似
- 简易
- So
- 软件
- 软件开发
- 方案,
- 一些
- 有人
- 东西
- 花
- 开始
- 州
- 应力
- 团队
- 文案
- Telegram
- test
- 测试
- 通过
- 秘诀
- 技巧和窍门
- 触摸
- 画
- 交易
- 用户评论透明
- 理解
- 使用
- 用户
- 平时
- 折扣值
- 阀
- 各种
- Web3
- 您的网站
- 什么是
- 是否
- 而
- 也完全不需要
- 工作
- 合作
- YouTube的