文:Ignas | DeFi Research
编译:Zion
责编:karen
来源:medium
FTX的崩溃证明了自我托管和风险管理的重要性。
但是,在DeFi中,有许多漏洞、rug pull、合约bug,如果你不小心,就很容易赔钱。
本文将分享如何评估DeFi协议的安全性,保护你的资产。
如果你是一个经验丰富的智能合约开发者,并且能够自己验证代码,那就太好了。但我们大多数人都不是。
这让我们别无选择,只能根据其他数据来评估项目,这涉及到一定程度的信任。
大多数人对DeFi项目的评估依据是存入智能合约的价值,这已经不是什么秘密了。因此,TVL是信任的终极证明。
直播|“后浪”仙女58Coin-小贝如何乘风破浪:金色财经 · 直播主办的《 币圈 “后浪” 仙女直播周》第7期20:00 58COIN|市场总监小贝将在直播间聊聊“币圈‘后浪’仙女如何乘风破浪”,感兴趣的朋友扫码移步收听![2020/7/1]
总锁定价值越高,协议的隐含安全性就越高。如果有大量的钱被存入,这意味着“有人”做了尽职调查,该协议是安全的。
不幸的是,它给人一种虚假的安全感。高TVL协议容易遭黑客攻击。同时,低TVL并不意味着协议不安全。
看看按TVL排名的头部DeFi协议。
你认为TVL代表安全/保障水平吗?
是否有任何协议你不放心存入你的资金?为什么?
Roger Ver将与国家元首探讨如何使比特币现金成为主权国家的官方货币:5月31日消息,Roger Ver声称,将与国家元首见面讨论如何使比特币现金成为主权国家的官方货币。 有分析师发布了来自Discord频道的帖子屏幕截图,该帖子的用户名作者为“ rogerver”。随后比特币现金联盟的subreddit / r / BTC的成员声称已确认该作者即是Roger Ver,即“比特币耶稣”(Beincrypto)[2020/5/31]
如果基于你在网上读到的内容做判断,你可能会产生偏见。
“不信任,要验证”是我们进行智能合约审计的原因。
如果不是这样,我们可能不需要审计,因为代码是开源的,社区可以发现代码中的所有问题。然而,社区可能没有正确的动机、激励或专业知识来验证代码。
审计人员应该具备正确的技术专长,但最终,我们也必须相信他们会把工作做好。
联想回应新品手机如何应用区块链技术:目前没有更多可披露的:20日下午,联想发布新品手机Lenovo S5,并将其定义为“区块链手机”。那么Lenovo S5是如何应用区块链技术的?全天候科技就此向联想方面求证,对方表示,“联想S5首创双域隔离、全域加密的安全空间——Z空间,创新性解决支付安全的行业难题,能全面保障用户的账号、密码以及网络购物的安全,并从底层支持最新的区块链技术。关于区块链其它的内容,目前还没有更多可以披露的。”[2018/3/21]
还记得推特对Certik的抵制吗?因为经过他们审计的一些协议最终被黑客入侵了。
审计公司也在建立自己的声誉。如果他们审计并评估为安全的协议被攻击了,那就说明缺乏专业性。事实上,Certik已经审计了3422个项目,因此难怪其中一些项目遭黑客攻击或出现漏洞。
美国商品期货交易委员会公布关于如何定义加密货币已经交易完成的解释: 美国商品期货交易委员会(CFTC)已经公布了解释说明,关于如何定义加密货币已经从买方“交付”给了卖方。确认交付已经完成的的两个因素是:1. 客户有能力 (i)拥有和控制全部数量的商品,无论是以保证金,还是使用杠杆或其他融资购买,以及(ii)在交易之日起28内,自由地商业使用商品(在任何特定平台内外);以及2. 报价人及卖方(包括各自的关联方或与报价人或卖家合作的其他人士)不保留任何利益或控制任何以保证金,杠杆或其他融资方式购买的商品,在超过自交易日期起计28日后。据CFTC称,提议的解释不是最终的,需要经过90天的公众评议期。[2017/12/16]
仅仅进行审计并不意味着协议是安全的。我见过一些项目自豪地宣布“已完成审计”,但当你阅读审计报告时,安全评分实际上很低。
经验教训是不要盲目相信公告,而是通过阅读实际的审计报告来验证结果。
区块链试验引发暴风股价暴涨后 暴风首次回应如何避免炒币风险:据了解,播酷云负责人,暴风新影CEO崔天龙针对投机客可能存在的BFC炒作现象做出解释。崔天龙说道,“这种炒作我们肯定是很不愿意见到的。但是万一一旦发生了,我们还是有很多的手段来控制它。”他例举称,“比如说很简单的做法,我只需要在我的官网上,把BFC积分和我的产品的兑换进行价格绑定,基本上就对它的价值进行了锚定,会很大程度上限制BFC的炒作。”[2017/12/13]
大多数人都不看审计报告。
Certik有一个包含所有审计项目的仪表板。你可以查看“信任得分”,数字越高意味着越安全。
https://www.certik.com/
Hacken等其他审计机构也有类似的仪表板,或者你可以简单地阅读审计摘要。看看这个示例,由Paladin完成的Trader Joe的审计。
你可以在这里看到,Trader Joe修复了高、中等严重性问题,但并非所有低严重性问题都已解决。
https://paladinsec.co/projects/trader-joe-launchpeg/
评估安全性还需要更多:
?充分测试
?赏金活动
?文档透明
?管理员控制
?Oracle文档
还有更多……亲自验证这一切简直是噩梦。
我真的很喜欢DefiSafety正在做的事情。其Process Quality Review对协议进行验证,并对其进行安全评分。
https://www.defisafety.com/app?orderBy=finalScore
根据PQR的结果,Liquity Protocol、Synthetix和Angle Protocol是所有经过验证的DeFi协议中最安全的。
在DefiSafety上,您可以检查每个元素,并查看协议得分最高/最差的地方。
例如,Liquidy仍需要形式化验证(Formal Verification)。
此外,你可以从在Exponential DeFi上对你的投资组合安全进行评级开始。
它的“评估我的钱包”功能为你提供当前投资的自定义风险分析。例如,Tetranode的450万美元资产存入在风险较高的(C级)协议。
Elemental DeFi根据项目评估打分。评估考虑了资产风险、代码质量和资产存放的区块链的安全。
我喜欢他们简单易懂的风险解释。
例如,看看Abracadabra的MIM。它警告说,SPELL被用作抵押品,可能导致坏账。
最后,我建议加入项目社区群组,并询问以下问题:
他们有保险基金吗?
他们会回避问题吗?
他们在做什么来提高安全性?
我问过Stargate团队是否有保险基金,以防他们被黑客攻击,但有时比我想象的更难得到答案,这是危险信号。
但无论发生什么,DeFi还很年轻,所以最好不要将所有资产都放在一个协议中。
CT中文
个人专栏
阅读更多
金色早8点
金色财经
去中心化金融社区
CertiK中文社区
虎嗅科技
区块律动BlockBeats
念青
深潮TechFlow
Odaily星球日报
腾讯研究院
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。