如何评估DeFi协议安全性的简易指南_区块链:DAPP

文:Ignas|DeFiResearch

编译:Zion??????

责编:karen

来源:medium

FTX的崩溃证明了自我托管和风险管理的重要性。

但是,在DeFi中,有许多漏洞、rugpull、合约bug,如果你不小心,就很容易赔钱。

本文将分享如何评估DeFi协议的安全性,保护你的资产。

如果你是一个经验丰富的智能合约开发者,并且能够自己验证代码,那就太好了。但我们大多数人都不是。

这让我们别无选择,只能根据其他数据来评估项目,这涉及到一定程度的信任。

总锁定价值是安全的终极证明?

大多数人对DeFi项目的评估依据是存入智能合约的价值,这已经不是什么秘密了。因此,TVL是信任的终极证明。

中央财经大学郭田勇:应深入研究如何用数字人民币组建更多功能:中央财经大学中国银行业研究中心主任郭田勇表示,在数字化的浪潮下,货币作为一种支付媒介,其本身的数字化是必然趋势。考虑到传统货币印制发行成本高、不易携带等局限,数字货币以其独特的优势,极大降低了交易成本。郭田勇指出,数字货币如果由政府或者中央银行来主导,必须协同好同原有银行体系为主导的支付关系。目前,中国的数字货币属于M0范畴,从金融学角度看,M0并不具有货币创造的能力,在整个货币储存量中占比也很小,因此,数字人民币的范围还非常有限,未来如何用数字人民币组建更多的功能,将其推向更大的领域,值得深入研究。这是一个循序渐进的过程,要把握好节奏。郭田勇称,数字人民币前期推进比较成功,有利于提升人民币国际化程度。随着中国经济实力增强,人民币国际业务更为广泛。面对庞大的国际结算量,数字货币高支付效率的优点更易凸显。(中国新闻网)[2021/7/7 0:32:14]

总锁定价值越高,协议的隐含安全性就越高。如果有大量的钱被存入,这意味着“有人”做了尽职调查,该协议是安全的。

Curve社区讨论如何分配Synthetix跨资产交易费:根据YFI创始人Andre Cronje此前发布的链接,在Curve用900万USDT兑换895.3万枚sUSD,随后利用这些sUSD在Synthetix交易所完成交易,获得6689.94枚sETH。有社区成员指出,26859美元的费用收入将分配给Synthetix(SNX)质押者。

Curve团队成员向社区征求意见,Curve跨资产互换将Synthetix作为桥梁,Synthetix将小部分交易费返给Curve,如何分配这些费用?其中列出四个选项:veCRV持有者、LP、两者都分配、两者都不分配。[2021/1/21 16:41:10]

不幸的是,它给人一种虚假的安全感。高TVL协议容易遭黑客攻击。同时,低TVL并不意味着协议不安全。

看看按TVL排名的头部DeFi协议。

声音 | 迅雷链张慧勇:区块链技术如何在实体经济中应用是亟待解决的问题:5月15日,在世界智能大会2019全球区块链科技创新峰会上,迅雷链开放平台研发负责人张慧勇受邀出席了峰会并发表了“看迅雷链如何助力实体经济”的演讲。张慧勇表示,区块链3.0时代亟待解决的问题是让区块链技术在实体经济得以运用以发挥其价值。而只有符合实体企业应用需求的区块链,才能真正落地。这就要求区块链企业,从实体企业的现实需求出发,升级自己的技术架构,为实体经济赋能构建有力基础。迅雷链自2018年上线以来,始终在强化自身技术的同时踏实助力实体商业场景落地,已在版权、溯源、出行、营销等多个领域有了规模级行业应用。[2019/5/16]

你认为TVL代表安全/保障水平吗?

BM:对代理如何运作和“dApp开发者”如何计费的理解可能需要调整:北京时间今日凌晨,BM在开发者群发表对代理如何运作和“dApp开发者”如何计费的理解:

??1)所有CPU/带宽都是“执行操作的用户”;

??2)所有存储都按照dApp的选择向用户或dApp付费;

??3)dApp开发人员希望授权用户将带宽委托给用户;

??4)授权带宽理论上可以用于任何dApp。

现在想象一下,你是一个社交媒体公司,希望为用户提供免费账户。用户在您的网站上注册,您为他们创建一个区块链账户,然后将一些带宽委托给他们。您的应用可以选择为每个授权用户支付有限的存储空间,这使他们能够在他们需要携带自己的存储空间之前,拥有N份杰出的帖子和V张投票。如果您的应用不想为用户支付存储费用,则该应用可能完全是BYOS(注:Bring your own storage,使用你自己的存储)和BYOB(注:Bring your own Bandwith,使用你自己的带宽)应用。如果用户不继续他们的订阅或停止使用您的服务,那么您可以将带宽重新分配给其他用户。[2018/4/30]

是否有任何协议你不放心存入你的资金?为什么?

新华网分析:区块链如何带来个人数据保护“革命”:新华网今晚发表文章《区块链如何带来个人数据保护“革命”》,文章表示大数据时代,个人的数据被认为是黄金般珍贵。个人数据泄漏令人担忧,但绝大部分人不可能因为害怕数据被收集而切断与互联网的联系,而现阶段有责任保管个人信息的企业、学校、酒店、社交网站等往往担责不力。专家们认为,区块链技术作为一种带有加密、信任、点对点、难篡改等特征的“中间件”,有望解决这个难题。

区块链技术的出现令个人数据掌控权从互联网公司转移到用户自己手中,使人人掌控自己的个人数据成为可能。通过它,用户个人数据可以与个人数字身份证相关联,用户可以选择数字身份证是匿名、化名或公开,还可以随时随地从任何设备访问区块链应用平台,控制他们的互联网个人数据。[2018/4/18]

如果基于你在网上读到的内容做判断,你可能会产生偏见。

信任,但要验证?

“不信任,要验证”是我们进行智能合约审计的原因。

如果不是这样,我们可能不需要审计,因为代码是开源的,社区可以发现代码中的所有问题。然而,社区可能没有正确的动机、激励或专业知识来验证代码。

审计人员应该具备正确的技术专长,但最终,我们也必须相信他们会把工作做好。

还记得推特对Certik的抵制吗?因为经过他们审计的一些协议最终被黑客入侵了。

审计公司也在建立自己的声誉。如果他们审计并评估为安全的协议被攻击了,那就说明缺乏专业性。事实上,Certik已经审计了3422个项目,因此难怪其中一些项目遭黑客攻击或出现漏洞。

仅仅进行审计并不意味着协议是安全的。我见过一些项目自豪地宣布“已完成审计”,但当你阅读审计报告时,安全评分实际上很低。

经验教训是不要盲目相信公告,而是通过阅读实际的审计报告来验证结果。

如果不看审计报告呢?

大多数人都不看审计报告。

Certik有一个包含所有审计项目的仪表板。你可以查看“信任得分”,数字越高意味着越安全。

https://www.certik.com/

Hacken等其他审计机构也有类似的仪表板,或者你可以简单地阅读审计摘要。看看这个示例,由Paladin完成的TraderJoe的审计。

你可以在这里看到,TraderJoe修复了高、中等严重性问题,但并非所有低严重性问题都已解决。

https://paladinsec.co/projects/trader-joe-launchpeg/

审计只是一个开始

评估安全性还需要更多:

?充分测试

?赏金活动

?文档透明

?管理员控制

?Oracle文档

还有更多……亲自验证这一切简直是噩梦。

我真的很喜欢DefiSafety正在做的事情。其ProcessQualityReview对协议进行验证,并对其进行安全评分。

https://www.defisafety.com/app?orderBy=finalScore

根据PQR的结果,LiquityProtocol、Synthetix和AngleProtocol是所有经过验证的DeFi协议中最安全的。

在DefiSafety上,您可以检查每个元素,并查看协议得分最高/最差的地方。

例如,Liquidy仍需要形式化验证(FormalVerification)。

此外,你可以从在ExponentialDeFi上对你的投资组合安全进行评级开始。

它的“评估我的钱包”功能为你提供当前投资的自定义风险分析。例如,Tetranode的450万美元资产存入在风险较高的协议。

ElementalDeFi根据项目评估打分。评估考虑了资产风险、代码质量和资产存放的区块链的安全。

我喜欢他们简单易懂的风险解释。

例如,看看Abracadabra的MIM。它警告说,SPELL被用作抵押品,可能导致坏账。

如果有疑问,就问吧!

最后,我建议加入项目社区群组,并询问以下问题:

他们有保险基金吗?

他们会回避问题吗?

他们在做什么来提高安全性?

我问过Stargate团队是否有保险基金,以防他们被黑客攻击,但有时比我想象的更难得到答案,这是危险信号。

但无论发生什么,DeFi还很年轻,所以最好不要将所有资产都放在一个协议中。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:15ms0-6:129ms