最近幾個月,DeFi 行業經歷了一些動蕩,不少攻擊和未披露漏洞被曝光。
雖說 Bug 不可避免,但如果采取一些有效措施仍可減少問題發生的頻率、并降低由此帶來的負面影響。
作為審核員,我們希望在這方面提供一些幫助。為了讓開發人員可以優先考慮安全性問題,用戶做好能早點提出一些棘手問題,只有當這些問題得到滿意答復之后,才能放心把錢投入到相應的協議項目里。
要想搞清楚 DeFi 項目開發團隊的安全立場,本文會列出的一些有用的問題,這些問題的答案并不能簡單地用「對 / 錯」來衡量,因為某些團隊(或獨立開發人員)可能并沒有足夠資源來解決所有問題。事實上,用戶只能根據自己所能獲得到的信息來判斷是否愿意承受相應的風險級別。
當然,我們希望下面這些問題能夠推動 DeFi 項目朝正確的方向發展。
報告:第二季度大型機構交易占DeFi交易的60%以上:9月8日消息,Chainalysis的一份最新報告顯示,大型機構投資者在2021年第二季度DeFi交易中發揮了重要作用。報告指出,該季度大型機構交易(即1000萬美元以上的交易)占DeFi交易的60%以上,而在所有加密貨幣交易的比例不到50%。事實上,隨著銀行和金融機構開始將資金投入加密貨幣市場,DeFi最近已經成為吸引大筆資金的主要因素。這一趨勢可能表明,投資者對比特幣相關投資產品的興趣有所分散,大型股投資者希望利用不斷擴大的DeFi領域。(Cointelegraph)[2021/9/8 23:10:16]
大多數知名 DeFi 協議都是以某種形式被中心化控制的,支持特定「管理員」以強有力的方式進行干預。
DeFi協議Value DeFi遭受黑客攻擊:5 月 5 日消息,DeFi 協議 Value DeFi 遭受黑客攻擊,PeckShield 「派盾」定位并追蹤發現,該攻擊源于Value DeFi 的 ProfitSharingRewardPool 合約出現代碼漏洞,其vStake 池子受影響。 PeckShield 「派盾」提示投資者謹慎投資。[2021/5/5 21:25:56]
雖然這種方式在安全性上有些好處,但也意味著你必須信任管理員不會濫用自己的特權。另一方面,如果攻擊者竊取了管理員私鑰及其附帶的所有特權,那么也會增加項目風險。
管理員賬戶通常會采用幾種可能的形式,包括:對單個地址、多重簽名錢包、以及由投票流程控制的去中心化自治組織(DAO)。這里要詢問的安全性問題包括:
管理員可以采取哪些特殊措施?
DeFi基準利率持續下跌至7.93%:金色財經報道,據同伴客數據顯示,04月22日DeFi去中心化金融基準利率為7.93%,較前一日下跌0.4%。同期美國國債抵押回購率(Repo Rate)為0.02%,二者利率差為7.91%。
注:DeFi基準利率代表了DeFi融資難易程度,利率越高說明融資成本越高,利率越低說明融資成本越低。其與Repo Rate的利率差則便于DeFi與傳統市場作進行同類比較。[2021/4/22 20:47:58]
能否暫停系統?
能否修改余額?
能否將代幣 / 用戶列入白名單 / 黑名單?
能否升級系統子集?
能否升級所有系統(等同于無所不能)?
是否具有實施其他特殊措施的能力?
上述行為中,哪些會有時延、哪些沒有?
AOFEX抵押平臺幣OT參與DeFi流動性挖礦已啟動三期:據官方消息,AOFEX自啟動抵押平臺幣OT參與DeFi流動性挖礦活動以來,已成功啟動三期并穩定運行。第一期為CRV流動性挖礦,今日年化收益率為95.3%,。第二期為UNI流動性挖礦,今日年化收益率為91.9%,第三期今日為SUSHII流動性挖礦,今日年化收益率為265.1%。OT現報價15.45AQ。
AOFEX將持續為用戶篩選優質流動性挖礦項目并實時監控,用戶抵押OT即可參與。
AOFEX數字貨幣金融衍生品交易所,旨在為用戶提供優質服務和資產安全保障。[2020/9/21]
如果有時延,具體會延長多久時間?
有多少人具有管理員權限?
在執行某些操作之前,必須獲得多少個管理員批準?
是否有任何行政行為被鏈上治理控制,比如 DAO?
DeFi 明星項目NEST 24小時漲幅超40%:6月29日,據Bibox官網數據顯示,NEST/USDT的24小時漲幅超40%,最高漲至0.026美元。據悉,Bibox聯合NEST線上AMA將于今晚19:00于社群內進行。[2020/6/29]
對于擬議的協議更改,可以在哪里查詢到最新狀態?
上述某些信息已能在 DefiWatch 中進行跟蹤。
以太坊區塊鏈中充滿對抗性參與者,一般而言,開發人員應該盡量避免對其他系統的合約行為作出任何假設。然而在許多 DeFi 應用中,這幾乎是不可能的,因為服務本身就是建立在現有合約之上。
因此在涉及有關外部依賴關系風險時,下面這些問題可能會有一定幫助:
你的系統依賴哪些預言機?
你的系統依賴哪些交易所?
你的系統使用了哪些第三方智能合約來構建(比如 OpenZeppelin)?
你的系統支持哪些代幣?你對這些代幣的功能做了哪些假設?
對于那些高智商黑客而言,攻擊 DeFi 協議能讓他們獲得巨大的經濟收益。因此你其實可以嘗試制定一個賞金計劃,為提供系統漏洞的人提供一些資金獎勵,這樣就能減少漏洞被黑客利用。實際上,通過賞金計劃舉報漏洞對黑客聲譽也有好處,因為這樣他們就不必通過非法手段來獲利了。
出于對客戶資金保護的目的,任何一家運行 DeFi 協議的公司都應該考慮黑客賞金計劃,對此我們可以針對相關計劃和披露流程提出以下一些問題:
你的合約源代碼是否能公開獲得?
能否在你的網站和 GitHub 代碼庫上快速找到安全聯系信息?
你的合約上有賞金計劃嗎?
賞金計劃包含了哪些合約?
賞金額度范圍有多少?
你此前是否支付過賞金?
你此前是否拒絕為報告 Bug 的人支付賞金?
能否在你的網站和 GitHub 代碼庫上快速找到賞金計劃的細節內容?
理想情況下,這些信息都可以在項目官方網站的安全網頁 / 欄目中找到,或是利用 GitHub 的 SECURITY.md 功能也能找到相關信息。
在遭遇安全事件時,隨著各種新信息不斷涌入,開發人員通常很難理清思路,因為會有大量用戶在 Twitter、Telegram、Discard 上提出各種各樣的棘手問題……
所以,你需要制定計劃來確保安全事件朝著健康的方向發展。雖然對于 DeFi 項目團隊而言公開完整計劃可能沒有太大意義,但他們最好能夠回答以下幾個問題:
你是否有書面計劃概述如何處理安全事件?
你的計劃考慮了哪些方案?
如果你的系統是可升級的,那么所有執行操作步驟是否被記錄在案?
如果發現了導致資金面臨風險的漏洞,你是否會先發制人處理問題以保護資金安全?
審計不是萬靈藥,也不是所有審計都能做到公平對待。但是對于 DeFi 合約而言,正式部署之前進行安全審計仍是至關重要的一步。
雖然不是每個問題都能有「正確答案」,但項目開發團隊給予的反饋和回復至少能讓社區成員可以了解他們的安全立場,下面這幾個問題值得關注:
你的項目上一次審計是在什么時候?
審計工作需要多少工作量(以人 / 小時為單位)?
哪家公司對你進行的審計?
審計報告是公開的嗎?
你的系統有哪些部分被排除在審計之外了?
自從上次審計以來,你的合約是否升級?如果升級了,發生了哪些變化?
你是否與安全公司保持長期關系?
在代碼合并之前,開發人員是否會在 GitHub 里檢查彼此的 Pull Request (至少在 Solidity 文件里)?
單元測試會涵蓋合約代碼的哪些部分?
流程中是否使用過任何其他安全分析工具?
對于有興趣跟進這些問題的 DeFi 用戶,另一個值得關注的項目是 ConsenSys 的 DeFi Score,該項目正在執行一項艱巨的任務,即評估各個主要 DeFi 項目上的審計質量和其他安全流程質量。
最后,謝謝 Emilio 和 Ernesto (Telegram 上的 @eboado),他們都是 Aave 開發人員,以及 DeFi Score 的 Jack 為本文早期草稿提供的反饋。
來源鏈接:diligence.consensys.net
撰文:John Mardlin,ConsenSys Diligence 安全工程師翻譯:盧江飛
匯總最新區塊鏈政策,了解國內區塊鏈發展方向。【國家外匯管理局青海省分局:穩步推進“跨境金融區塊鏈服務平臺”試點】據中國新聞網消息,國家外匯管理局青海省分局制定印發《國家外匯管理局青海省分局關于一.
1900/1/1 0:00:002019年區塊鏈行業發展可謂是峰回路轉。經歷了很長一段時間的摸索之后,區塊鏈市場在2019年底迎來了重大政策利好.
1900/1/1 0:00:00雖然過去24小時內市場波動性并未明顯減弱,但是在行情的急漲急跌并未取得比較明顯的“成效”,BTC昨日早盤至今僅出現了0.05%的微弱波動成為了短線市場的一大縮影.
1900/1/1 0:00:003月17日,中裝建設對外發布新聞稱,旗下區塊鏈技術服務平臺首次嘗試應用并場景落地,通過平臺上線并發放第一筆貸款.
1900/1/1 0:00:00據U.Today報道,風險投資家Tim Draper于美國時間3月1日發文描述了如果他當一天總統,美國會是什么樣子.
1900/1/1 0:00:003月3日,一篇名為《黑公關,對不起!你黑的幣核科技不懼勒索》的聲明文章在區塊鏈領域從業者的朋友圈傳遍.
1900/1/1 0:00:00