原文:Ignas
編譯:Biteye 核心貢獻者 Crush
FTX 的崩潰證明了自我托管和風險管理的重要性。但是在 DeFi 中,仍有許多漏洞、Rug Pull 以及合約 BUG,一不小心就會虧錢。
今天這篇文章,我就來說一下如何去評估一個項目的安全性,以保護好自己的資產。
如果你自己本身就是一個經驗豐富的智能合約開發者,能夠親自去驗證項目代碼的安全性,這再好不過了,但是我相信大多數人都不是。
所以沒辦法,我們只能根據其他數據去評估一個項目,這涉及到一定程度的信任。
眾所周知,大多數人通過存入智能合約的資產價值來評估一個 DeFi 項目的好壞。因此,不少人認為 TVL 在一定程度上,是可以反映這個項目的安全性的。
如果鎖倉的資產越多,那么說明這個協議的安全性就越高。你可以這么想,能夠鎖倉這么多資金的協議,那這些存錢的人一定是進行了充分的調查,確認了協議的安全性才敢把錢放進去。
Terra研究員:Nomad攻擊事件是一場去中心化搶劫:8月2日消息,Terra研究員FatMan在推特上對Nomad遭遇攻擊事件發表評論稱:“在公共Discord服務器上彈出的一條消息稱,任意一個人都能從Nomad橋上搶了3千到2萬美元:所有人要做的就是復制第一個黑客的交易并更改地址,然后點擊通過Etherscan發送。這是在真正的加密時尚中首次發生的去中心化搶劫。”
金色財經此前消息,Nomad遭遇黑客攻擊,其代幣橋內的1.9億美元資金幾乎全部耗盡。[2022/8/2 2:53:27]
不幸的是,TVL 往往給人一種錯誤的安全感。一方面,你認為高 TVL 的協議更加安全,但同樣黑客也會盯著這些協議進行攻擊,因為攻擊這些協議能賺取更多的利潤。另一方面,低 TVL 也不一定就意味著協議就不安全。
因此,僅僅通過 TVL 去判斷一個協議的安全性,不免有些似是而非。
去中心化孵化器DuckDAO打新項目Shadows白名單注冊開放:據PolkaFund消息,去中心化孵化器DuckDAO打新項目Shadows白名單注冊開放,在DuckSTARTER 上參與。
Shadows Network (DOWS)是基于 Substrate 開發的跨鏈資產合成綜合網絡,專注于將現實世界金融資產通過協議映射上鏈,將使任何人在任何地方都能夠自由的交易鏈上資產,本輪IDO共1,000,000 DOWS,募集12.5萬美金,285個中簽名額。[2021/2/21 17:37:23]
我們根據TVL對現有的DeFi項目進行一個排名:
看完這張圖后
你還認為高 TVL 一定代表著安全嗎?
V神:如果推特是一個去中心化加密協議,就不會遇到昨天的問題:7月16日消息,V神在推特上表示,讓股價搖搖欲墜、操縱選舉、散播社會不和、發送病下載鏈接、為非加密金融騙局做廣告?具有諷刺意味的是,如果推特本身是一個去中心化的加密協議,我們就不會遇到昨天的問題。[2020/7/16]
圖中有哪些協議你覺得是不可信的?為什么?
「不信任,只驗證」是我們進行智能合約審計的原因。如果不是這樣,我們可能不需要審計。因為代碼是開源的,社區可以找到代碼中的所有問題。然而,社區可能沒有正確的動機、激勵或專業知識來驗證代碼。
因此審計人員必須要足夠專業,但更加重要的是,審計人員自己不能出問題。例如,著名審計公司 Certik 經手審核的不少項目仍然被黑了,可以說是防不勝防。
VanEck數字資產策略師:BTC能源消耗是使網絡安全和去中心化所必需的:金色財經報道,針對Ripple首席執行官Brad Garlinghouse所稱,比特幣(BTC)和以太坊(ETH)挖礦的能源消耗是巨大的浪費,這會讓氣候變化專業人士更加擔憂。VanEck數字資產策略師Gabor Gurbacs發推表示,比特幣的能源消耗是使網絡安全和去中心化所必需的必要特征。此外,銀行也消耗大量能源。[2020/3/5]
同時,審計公司也在建立自己的聲譽。如果他們審核(并評估為安全)的協議被黑,則給人一種不專業的印象。事實上,Certik 已經審核了超過 3422 個項目,所以其中一些項目遭到黑客攻擊或存在漏洞也是難以避免的。
所以僅僅進行是通過審計,并不意味著協議是安全的。我見過一些項目自豪地宣布「完成審計」,但當你閱讀審計報告時,卻發現他們的安全分數實際上很低。
這給我的教訓是,不要盲目相信項目方的審計公告,而是通過閱讀實際審計報告來驗證結果。
聲音 | 何治國:去中心化必須尊重現實 否則極易淪為烏托邦:據網易財經消息,清華經管數字金融資產研究中心學術顧問何治國稱,在中本聰提出比特幣這種點對點電子支付方式之前,在計算機領域已經有很多在這方面有意義以及突破性的嘗試。中本聰比特幣作為電子現金系統的一種實施方案只是把前人各種結果進行了另一個突破性的整合。去中心化必須尊重現實,否則極易淪為烏托邦。[2018/9/14]
事實上,大多數人都不會閱讀審計報告,不過Certik 有一個包含所有已審項目的數據看板,在這個看板里面,你可以檢查項目的「信任分數」,數字越高表示安全。
其它審計機構,例如 Hacken,也會有類似的數據看板。或者你可以簡單地閱讀一下審計摘要,例如下面這個 Trader Joe 的例子, 它是由 Paladin 審計完成的。
通過這里的數據我們不難看出,Trader Joe 修復了所有的中高風險問題,但是在低風險問題上,卻仍有部分未進行修復。
評估一個項目的安全性,還需要考慮更多:
充分的測試
賞金活動
文檔的公開透明
管理控制
Oracle 文檔
要考慮的方面那可太多了,要是全部都親自驗證,恐怕先得累死。說到這里,我們就不得不提到 DeFi Safety。它會對這些協議進行一個驗證,然后給出安全評分。
根據它們提供的結果,我們可以很清楚地看到,Liquity Protocol、Synthetix 以及 Angle Protocol 是所有經過驗證的 DeFi 協議中最安全的。
在 Defi Safety 上,你還可以查看更多細節部分的內容。例如,Liquidy protocol 仍然需要形式驗證。
此外,你還可以通過 Exponential DeFi,對錢包的投資組合進行一個安全性評估。
「評價錢包」功能會為你提供當前投資的風險分析。例如,在 Tetranode 的資產中,就有 450 萬美元的資產是被存入在風險較高(C 級)的協議中。
ExponentialDeFi 會根據項目評估給出評分,評估考慮了資產風險、代碼質量和資產存放的區塊鏈的安全性。這種簡單易懂的風險說明,讓我愛不釋手。
就拿 Abracadabra 的穩定幣 MIM 來舉例,它會直接給出警告:SPELL 被用作抵押品可能會導致壞賬。
最后一個要給大家介紹的方法就是,直接加入項目的社區,然后思考一下下面幾個問題:
他們有保險基金嗎?
他們會回避提問嗎?
他們正在做什么來提高安全性?
例如我之前就曾問過 Stargate 團隊,他們是否擁擁有保險基金,以防止項目被黑客入侵。但是有時想要得到一個準確的答案,卻并不是那么簡單,項目方往往會各種拐彎抹角地回避問題。這似乎是一種危險信號,讓人不得不提高警惕。
但是無論發生什么,DeFi 都還很年輕,還有很長的路要走,所以最好不要把所有的雞蛋都放在一個籃子里!
金色早8點
金色財經
去中心化金融社區
CertiK中文社區
虎嗅科技
區塊律動BlockBeats
念青
深潮TechFlow
Odaily星球日報
騰訊研究院
Tags:DEFIEFIDEFTVLDEFI100Farm TokenOrigen DEFIDeFi Warriortvl幣價格
華夏時報制圖 本報(chinatimes.net.cn)記者趙奕 胡金華 上海報道曾火爆一時的數字藏品在近期迎來了第一個“冬天”.
1900/1/1 0:00:00文:LUKE HOGG 美國國會應該避免陷入道德恐慌,而應制定立法,為加密貨幣行業提供監管透明度.
1900/1/1 0:00:002021年11月1日,隨著《個人信息保護法》正式實施,個人終于有了自己信息被保護的法律。如今,區塊鏈、元宇宙、Web3等新一代信息技術的快速發展,讓人們可以輕易在互聯網上重構虛擬自我,這時數字身.
1900/1/1 0:00:00在今年整個加密市場的大屠殺中,Michael Saylor和Microstrategy是少數幸免于難的“牛市英雄”之一.
1900/1/1 0:00:00James QU@PlatON,東京在全球監管風暴下,CEX卻逐漸喪失了用戶對它的信任,原因何在?也許FTX事件并非唯一的導火索。縱觀2022年,加密市場都在逆風而行.
1900/1/1 0:00:00Crypto 吸引著杰出的人才。然而,有些人利用他們的才能來玩零和游戲。然后是那些決定創造和玩正和游戲的人。這些正和游戲源于創新.
1900/1/1 0:00:00