文:Ignas|DeFiResearch
编译:Zion??????
责编:karen
来源:medium
FTX的崩溃证明了自我托管和风险管理的重要性。
但是,在DeFi中,有许多漏洞、rugpull、合约bug,如果你不小心,就很容易赔钱。
本文将分享如何评估DeFi协议的安全性,保护你的资产。
如果你是一个经验丰富的智能合约开发者,并且能够自己验证代码,那就太好了。但我们大多数人都不是。
这让我们别无选择,只能根据其他数据来评估项目,这涉及到一定程度的信任。
总锁定价值是安全的终极证明?
大多数人对DeFi项目的评估依据是存入智能合约的价值,这已经不是什么秘密了。因此,TVL是信任的终极证明。
总锁定价值越高,协议的隐含安全性就越高。如果有大量的钱被存入,这意味着“有人”做了尽职调查,该协议是安全的。
美国国会法案呼吁联邦政府研究加密货币用于非法活动的案例,并就如何减少这些用途提出建议:4月27日消息,周四向美国参议院和众议院提交的一项两党法案将呼吁联邦政府研究加密货币用于非法活动的案例,并就如何减少这些用途提出建议。《金融技术保护法案》建议成立一个工作组,负责研究恐怖分子或其他犯罪分子如何使用加密货币和其他新的金融技术,并为国会和监管机构提出旨在打击这些用途的建议。[2023/4/27 14:31:26]
不幸的是,它给人一种虚假的安全感。高TVL协议容易遭黑客攻击。同时,低TVL并不意味着协议不安全。
看看按TVL排名的头部DeFi协议。
你认为TVL代表安全/保障水平吗?
美众议院金融服务委员会:正深入研究如何更好地监管加密行业:金色财经报道,据官方推特消息,美国众议院金融服务委员会正在关注加密货币作为长期投资的影响,并正在深入研究如何更好地监管这个快速增长的行业。[2021/7/1 0:18:18]
是否有任何协议你不放心存入你的资金?为什么?
如果基于你在网上读到的内容做判断,你可能会产生偏见。
信任,但要验证?
“不信任,要验证”是我们进行智能合约审计的原因。
如果不是这样,我们可能不需要审计,因为代码是开源的,社区可以发现代码中的所有问题。然而,社区可能没有正确的动机、激励或专业知识来验证代码。
审计人员应该具备正确的技术专长,但最终,我们也必须相信他们会把工作做好。
还记得推特对Certik的抵制吗?因为经过他们审计的一些协议最终被黑客入侵了。
海德薇格:我很期待看到 数字货币将如何改变人民币支付市场:第十七届中国国际金融论坛于2020年12月17日-18日在上海举行。主题为“数字经济时代的金融服务”。国际银行业联合会(IBFed)总裁海德薇格?挪伦斯视频参会并致辞时指出:金融稳定委员会正在监测大科技公司的创新和金融稳定风险,并且已经发表了很多关于该主旨的文章,例如在2020年10月13日发表的一篇文章中,就提出了关于全球稳定币的10个高层建议。考虑到创新的规模之大,监管机构和监督机构都需要拓宽自己的视野,并且彼此之间开展更多合作。
中国监管机构一直在积极加强监管,以便随时应对大科技公司所引起的市场变化。例如,去年,中国人民银行就起草了相关规则,要求将银行和金融服务与金融控股公司旗下的科技公司分离,并对这些科技公司进行监管。 现在,要求支付公司必须有100%的存款准备金。
中国还率先推出了由国家信用支持的数字货币。我很期待看到这些数字货币将如何改变中国国内和境外的人民币支付市场。(新浪财经)[2020/12/17 15:29:42]
审计公司也在建立自己的声誉。如果他们审计并评估为安全的协议被攻击了,那就说明缺乏专业性。事实上,Certik已经审计了3422个项目,因此难怪其中一些项目遭黑客攻击或出现漏洞。
声音 | 微软李国平:应用区块链技术应多思考如何赋能、少谈颠覆:据经济观察网12月6日消息,微软中国金融行业总监李国平表示,第一,今天应用区块链技术,应该多思考如何赋能,少谈颠覆。他认为其实在从传统业态向数字生活,数字经济迈进的过程中,有很多行业场景存在痛点和短板,在整个信息化进程中如何补足现有实体经济中的这些问题,赋能现有业务,提高效率,降低成本,是区块链应用最应该思考的问题;第二,科技向善。今天的区块链技术、人工智能技术等,公众是存在认知差的。出现了认知差,就存在炒作的空间,就可能有泡沫,还包括新技术滥用数据等问题。因此在应用新的技术时,要在态度上端正,敬畏监管,敬畏客户,敬畏可持续发展,这样才能走的更远,更稳;第三,从网络效应原理来看,网络是越大价值越大。从最早的局域网到以太网到现在整个互联的世界,网络的效应是需要扩大的。因此今天谈公有链,链与链之间有没有标准?全球有没有标准?中国有没有标准?很多企业资产能不能链互链?思考和解决这些问题,有助于区块链的应用范围和价值的扩大。[2019/12/7]
仅仅进行审计并不意味着协议是安全的。我见过一些项目自豪地宣布“已完成审计”,但当你阅读审计报告时,安全评分实际上很低。
现场 | 降维安全CTO:交易所应该如何保护数字资产:12月16日,由ChainUP主办,节点资本等联合主办的“Future BlockChain”全球行活动在韩国举办。降维安全CTO在会议中表示,交易所主要面临Hacker、恶意量化团队、恶意用户、恶意项目方这些外部攻击。具体到黑客攻击有以下四点:DoS勒索、Web渗透/APT社会工程学攻击以及利用区块链项目自身的漏洞进行攻击。据降维安全统计,交易所应用(不涉及期货合约)风险,共有5大类,14个子类,68个风险点。他表示:专业的事情应该交给专业的人做,选择专业的交易所系统和专业的安全服务商,非常重要。[2018/12/16]
经验教训是不要盲目相信公告,而是通过阅读实际的审计报告来验证结果。
如果不看审计报告呢?
大多数人都不看审计报告。
Certik有一个包含所有审计项目的仪表板。你可以查看“信任得分”,数字越高意味着越安全。
https://www.certik.com/
Hacken等其他审计机构也有类似的仪表板,或者你可以简单地阅读审计摘要。看看这个示例,由Paladin完成的TraderJoe的审计。
你可以在这里看到,TraderJoe修复了高、中等严重性问题,但并非所有低严重性问题都已解决。
https://paladinsec.co/projects/trader-joe-launchpeg/
审计只是一个开始
评估安全性还需要更多:
?充分测试
?赏金活动
?文档透明
?管理员控制
?Oracle文档
还有更多……亲自验证这一切简直是噩梦。
我真的很喜欢DefiSafety正在做的事情。其ProcessQualityReview对协议进行验证,并对其进行安全评分。
https://www.defisafety.com/app?orderBy=finalScore
根据PQR的结果,LiquityProtocol、Synthetix和AngleProtocol是所有经过验证的DeFi协议中最安全的。
在DefiSafety上,您可以检查每个元素,并查看协议得分最高/最差的地方。
例如,Liquidy仍需要形式化验证(FormalVerification)。
此外,你可以从在ExponentialDeFi上对你的投资组合安全进行评级开始。
它的“评估我的钱包”功能为你提供当前投资的自定义风险分析。例如,Tetranode的450万美元资产存入在风险较高的协议。
ElementalDeFi根据项目评估打分。评估考虑了资产风险、代码质量和资产存放的区块链的安全。
我喜欢他们简单易懂的风险解释。
例如,看看Abracadabra的MIM。它警告说,SPELL被用作抵押品,可能导致坏账。
如果有疑问,就问吧!
最后,我建议加入项目社区群组,并询问以下问题:
他们有保险基金吗?
他们会回避问题吗?
他们在做什么来提高安全性?
我问过Stargate团队是否有保险基金,以防他们被黑客攻击,但有时比我想象的更难得到答案,这是危险信号。
但无论发生什么,DeFi还很年轻,所以最好不要将所有资产都放在一个协议中。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。