原文:Ignas
編譯:Biteye核心貢獻者Crush
FTX的崩潰證明了自我托管和風險管理的重要性。但是在DeFi中,仍有許多漏洞、RugPull以及合約BUG,一不小心就會虧錢。
今天這篇文章,我就來說一下如何去評估一個項目的安全性,以保護好自己的資產。
如果你自己本身就是一個經驗豐富的智能合約開發者,能夠親自去驗證項目代碼的安全性,這再好不過了,但是我相信大多數人都不是。
所以沒辦法,我們只能根據其他數據去評估一個項目,這涉及到一定程度的信任。
TVL高就一定安全?
眾所周知,大多數人通過存入智能合約的資產價值來評估一個DeFi項目的好壞。因此,不少人認為TVL在一定程度上,是可以反映這個項目的安全性的。
如果鎖倉的資產越多,那么說明這個協議的安全性就越高。你可以這么想,能夠鎖倉這么多資金的協議,那這些存錢的人一定是進行了充分的調查,確認了協議的安全性才敢把錢放進去。
去中心化訂單流市場DFlow完成200萬美元種子輪融資:3月31日消息,去中心化訂單流市場 DFlow 完成 200 萬美元種子輪融資,Multicoin Capital 和 Framework Ventures 領投,參投方包括 Cumberland(DRW)、Parataxis Capital 和 PetRock Capital。本輪融資將用于招募機構做市商、建立合作伙伴關系以引入散戶交易者并準備啟動主網。[2022/3/31 14:28:41]
不幸的是,TVL往往給人一種錯誤的安全感。一方面,你認為高TVL的協議更加安全,但同樣黑客也會盯著這些協議進行攻擊,因為攻擊這些協議能賺取更多的利潤。另一方面,低TVL也不一定就意味著協議就不安全。
因此,僅僅通過TVL去判斷一個協議的安全性,不免有些似是而非。
我們根據TVL對現有的DeFi項目進行一個排名:
AlphaWallet Victor:H系列資產是中心化信任錨點的方便高效的去中心化資產:9月29日,在以“DeFi再去中心化新基建”為主題的直播活動中,AlphaWallet CEO Victor Zhang 表示CoFiX協議本身是去中心化的,無需可的。各種優秀的H系列資產都可以通過NEST預言機在鏈上生成無套利機會的價格,然后用戶就可以基于CoFiX協議進行做市和資產交易。
Victor Zhang認為,DeFi不會是對CeFi的替代,會是各自做自己擅長的部分,雙方將完整覆蓋不同用戶的不同需求,比如價格發現需要計算系統對于市場信息作出無限高的快速反應,這個是CeFi最擅長的;去中心化資產,需要中心化信任錨點(方便高效如H系列資產)或者去中心化跨鏈技術。[2020/9/29]
數據:去中心化交易所過去一周交易量超過去年全年總交易量:去中心化交易所(DEX)在過去一周的交易量超過了去年全年總交易量。由于去中心化金融的蓬勃發展,創紀錄的DEX交易量每天都在發生。數據顯示,一周內DEX交易量就達到了25億美元。而2019年全年的DEX總交易量為24億美元。Uniswap占據DEX平臺一半的交易量,僅7月份的交易量就超過17億美元,8月份前兩周的交易量超過20億美元。(Dune Analytics)[2020/8/14]
看完這張圖后
你還認為高TVL一定代表著安全嗎?
圖中有哪些協議你覺得是不可信的?為什么?
親自驗證
「不信任,只驗證」是我們進行智能合約審計的原因。如果不是這樣,我們可能不需要審計。因為代碼是開源的,社區可以找到代碼中的所有問題。然而,社區可能沒有正確的動機、激勵或專業知識來驗證代碼。
動態 | 去中心化交易協議 0x 出現漏洞,暫無資金損失但合約已被停用:去中心化交易協議 0x 的創始人 Will Warren 今日發布博客稱 0x v2.0 Exchange 合約中出現漏洞,目前團隊已經暫停該合約使用,尚未發現造成財產損失。不過這也意味著當前部署的 0x 合約目前不能處理交易,也不能使用。目前團隊正在檢查其他已經發布的智能合約,確保其他合約并沒有出現同類型漏洞。Will Warren指出,這一漏洞并不會影響ZRX代幣,因此用戶不必擔心出現資產損失。據悉:0X 是一種基于以太坊的開源協議,用于去中心化的交易。 該交易由以太坊智能合約系統執行,允許公開訪問,目前是免費使用,任何DApp都可以連接該合約。[2019/7/13]
因此審計人員必須要足夠專業,但更加重要的是,審計人員自己不能出問題。例如,著名審計公司Certik經手審核的不少項目仍然被黑了,可以說是防不勝防。
動態 | Ethfinex與Kleros合作將上幣流程去中心化:據cryptobriefing報道,Ethfinex正在與仲裁平臺Kleros(PNK)合作,以去中心化其上幣流程,將有效地將上幣流程置于“社區手中”。[2019/3/9]
同時,審計公司也在建立自己的聲譽。如果他們審核的協議被黑,則給人一種不專業的印象。事實上,Certik已經審核了超過3422個項目,所以其中一些項目遭到黑客攻擊或存在漏洞也是難以避免的。
所以僅僅進行是通過審計,并不意味著協議是安全的。我見過一些項目自豪地宣布「完成審計」,但當你閱讀審計報告時,卻發現他們的安全分數實際上很低。
這給我的教訓是,不要盲目相信項目方的審計公告,而是通過閱讀實際審計報告來驗證結果。
我不愛讀審計報告怎么辦?
事實上,大多數人都不會閱讀審計報告,不過Certik有一個包含所有已審項目的數據看板,在這個看板里面,你可以檢查項目的「信任分數」,數字越高表示安全。
其它審計機構,例如Hacken,也會有類似的數據看板。或者你可以簡單地閱讀一下審計摘要,例如下面這個TraderJoe的例子,它是由Paladin審計完成的。
通過這里的數據我們不難看出,TraderJoe修復了所有的中高風險問題,但是在低風險問題上,卻仍有部分未進行修復。
審計只是開始
評估一個項目的安全性,還需要考慮更多:
充分的測試
賞金活動
文檔的公開透明
管理控制
Oracle文檔
要考慮的方面那可太多了,要是全部都親自驗證,恐怕先得累死。說到這里,我們就不得不提到DeFiSafety。它會對這些協議進行一個驗證,然后給出安全評分。
根據它們提供的結果,我們可以很清楚地看到,LiquityProtocol、Synthetix以及AngleProtocol是所有經過驗證的DeFi協議中最安全的。
在DefiSafety上,你還可以查看更多細節部分的內容。例如,Liquidyprotocol仍然需要形式驗證。
此外,你還可以通過ExponentialDeFi,對錢包的投資組合進行一個安全性評估。
「評價錢包」功能會為你提供當前投資的風險分析。例如,在Tetranode的資產中,就有450萬美元的資產是被存入在風險較高的協議中。
ExponentialDeFi會根據項目評估給出評分,評估考慮了資產風險、代碼質量和資產存放的區塊鏈的安全性。這種簡單易懂的風險說明,讓我愛不釋手。
就拿Abracadabra的穩定幣MIM來舉例,它會直接給出警告:SPELL被用作抵押品可能會導致壞賬。
不懂就問
最后一個要給大家介紹的方法就是,直接加入項目的社區,然后思考一下下面幾個問題:
他們有保險基金嗎?
他們會回避提問嗎?
他們正在做什么來提高安全性?
例如我之前就曾問過Stargate團隊,他們是否擁擁有保險基金,以防止項目被黑客入侵。但是有時想要得到一個準確的答案,卻并不是那么簡單,項目方往往會各種拐彎抹角地回避問題。這似乎是一種危險信號,讓人不得不提高警惕。
但是無論發生什么,DeFi都還很年輕,還有很長的路要走,所以最好不要把所有的雞蛋都放在一個籃子里!
?文/WilliamM.Peaster,Bankless;譯/金色財經xiaozouRollup代表了以太坊未來擴展計劃的基礎.
1900/1/1 0:00:00新火科技控股有限公司今日宣布,因吳樹鵬先生有意尋求其他業務發展,決定辭任執行董事及首席執行官。與此同時,杜均先生獲委任為公司執行董事及首席執行官,未來將帶領新火科技進一步推動數字資產業務的多元化.
1900/1/1 0:00:00作者:DavidSBennahum2022年,加密行業充滿動蕩,繼Terra、三箭資本崩盤后,FTX暴雷及其次生危機使得加密寒冬愈發嚴酷,低迷的市場、腰斬的幣價與強硬的監管態勢并行.
1900/1/1 0:00:00原文作者:RamAhluwalia,LumidaWealthManagementCEO原文編譯:Leo,BlockBeats11月16日,Genesis宣布其貸款部門暫停取款和發放貸款.
1900/1/1 0:00:00頭條 ▌國際貨幣基金組織呼吁加強對非洲加密市場監管11月28日消息,國際貨幣基金組織呼吁加強對非洲加密貨幣市場的監管,據悉,非洲加密貨幣市場目前是世界上增長最快的市場之一.
1900/1/1 0:00:0021:00-7:00關鍵詞:Nexo、Relm、馬耳他、Crypto.com1.SilvergateBankCEO:持有超過數字資產相關的現金和證券;2.
1900/1/1 0:00:00