過去幾個月來,DeFi生態經歷了巨大的動蕩,數次攻擊之下,許多未被利用過的缺陷也被報道出來。
雖然代碼中無可避免會有bug,但還是有很多方法能降低缺陷發生的頻率,以及降低缺陷帶來的負面影響。
作為一個審計員,我們想要幫助DeFi用戶問一些比較尖銳的問題;問這些問題的目的,一方面是讓開發人員認真去考慮系統安全性的優先級,另一方面,讓用戶能分辨出回答得好的協議,然后把錢投入這些協議。
以下問題能幫助用戶了解DeFi開發團隊對于安全性的立場,答案不一定有對錯之分,而且也不是每個團隊都有資源全盤顧及所有方面。但不論如何,用戶有權利知道這些信息,來決定自己愿意承受的風險。
我們希望通過以下提問,促使后續開展更多正面的討論。
1.管理員權限
大部分的主流DeFi協議都存在一些中心化的機制——允許特定的“管理員”地址以強硬的手段干預協議的運行。
觀點:在歐洲發行穩定幣很可能最終需要銀行執照:經濟學家Philipp Sandner等的觀點,在穩定幣方面,歐盟的加密資產市場監管(MiCA)旨在為加密資產(包括穩定幣)建立一個全面的監管框架。隨著歐洲議會和各成員國政府努力處理帶來一些法律確定性的草案,它目前的范圍正在不斷變化。在歐洲發行穩定幣很可能最終需要銀行執照,這有利于成熟的(不一定具有巨大創新能力的)金融參與者。實際上,MiCA帶來的總體監管負擔可能非常昂貴,而那些擁有大量行政資源的公司最有能力遵守,即大銀行和大型科技公司。
目前主要的穩定幣都與美元掛鉤,從本質上講,今天的穩定幣項目通過無縫和無摩擦地在世界各地分發美國貨幣,促進了區塊鏈生態系統的全球美元化,普及數字歐元也可以實現同樣的目標。 歐洲不僅必須認識到數字歐元對歐洲經濟未來的重要性,還必須認識到需要不同類型的數字歐元。理想情況下,這不僅應該包括歐元央行數字貨幣(CBDC),還應該包括獨立的歐元參考穩定幣和其他模式。(Cointelegraph)[2021/7/4 0:26:35]
這樣做雖然在安全上有好處,但這意味著你必須相信這些“管理員”不會濫用他們的特權;而且但凡這些管理員遭到黑客攻擊,他們的私鑰泄露所帶來的后果會更加嚴重。
觀點:強化信息技術支撐 讓區塊鏈更好賦能數字社會建設:《科技日報》今天發表評論文章表示,區塊鏈是構建數字社會的基礎設施之一,也被視為新型基礎設施,可以通過構建新的信任機制,大幅拓展信息技術的基礎功能以及應用的深度和廣度。進入區塊鏈3.0時代,其去中心化和數據防偽功能開始在醫療、司法、物流、電子政務等眾多領域受到重視。文章進一步指出,區塊鏈加速與5G、云計算等前沿技術融合,必將進一步拓展其賦能領域,提升其賦能水平。除了拓展區塊鏈的賦能領域,新基建還將進一步提升區塊鏈的賦能水平。文章還指出,區塊鏈技術要突破瓶頸,首先,要重視技術協同、生態融合,推動技術群構建;其次,要破除數據壁壘,推動數據確權和流通;最后,要進一步強化安全保護,重視技術防護和立法規范。[2020/8/7]
管理員賬戶可以是以下幾種形式:單一地址、多重簽名錢包,或是由DAO管理的投票過程。那么,
觀點:美國在數字美元方面進度落后于其他國家 中央銀行貨幣壟斷權遇挑戰:CFTC前委員、現任紐約證券交易所所有者洲際交易所(Intercontinental Exchange)董事會成員的沙龍·鮑恩(Sharon Bowen)周三說:“當看看其他國家的情況時,美國在數字美元方面落后了。”在咨詢公司埃森哲組織的網絡研討會上。世界經濟論壇區塊鏈負責人希拉·沃倫(Sheila Warren)說:“美國來數字美元方面晚了,但還能夠追趕。”數字資產投資公司CoinShares的首席戰略官梅爾特姆·德米洛爾斯(Meltem Demirors)通過電子郵件說:“中央銀行面臨著一個挑戰性的新范式,即不再擁有對貨幣的壟斷權。”他補充說,“政府正在努力尋找一個中間點。通過這些新的數字方式實現創新,同時最大程度地減少洗錢和金融犯罪。”(福布斯)[2020/7/22]
管理員能采取哪些措施?
觀點:葡萄牙創建技術自由區等舉措將有助于加密行業發展:此前消息,葡萄牙政府發布了監管沙箱框架,將測試包括人工智能、區塊鏈、大數據和5G在內的新興技術。盡管該計劃涵蓋了廣泛的數字化戰略,但隨著葡萄牙繼續制定激勵該國加密貨幣行業活動的規定,創建技術自由區(ZLT)已經在加密領域引起了關注。
Tozex首席執行官Remy Andre Ozcan表示,這些舉措使葡萄牙走上了正軌,成為世界上最具吸引力的加密首都之一:“這一舉措非常棒,再加上幾年前出臺的稅收減免政策,這使葡萄牙成為一個非常有吸引力的地方,可以開展和管理與加密貨幣相關的業務。在這方面,法國等其他國家可以向葡萄牙學習。創建經濟區以鼓勵區塊鏈業務是葡萄牙的一個重要里程碑。”(Cointelegraph)[2020/4/30]
暫停整個系統?
修改賬戶余額?
設置代幣/用戶的白名單/黑名單?
升級某個子系統?
升級整個系統?
其他權限?
如果采取上述行為,是否有延遲執行機制?
如果有延遲時間,那是多長?
多少人有管理員權限?
采取上述行為前,需要經過多少管理員同意?
有哪些權限是由鏈上治理程序來掌控的嗎?
我該去哪里了解提議更新協議的提案?
以上某些問題的回答已經可以通過?
DefiWatch?跟蹤了解。
2.外部依賴
因為是公開的網絡,以太坊上充斥著不懷好意的攻擊者,因此開發者不能假設本系統外的合約一定會采取什么樣的行為。但在許多DeFi應用中又不得不作出這樣的假設,因為服務本身就是在已有的一些合約上建構出來的。
這些問題能幫助用戶了解該項目在外部依賴上存在的風險。
你的系統依賴什么預言機?
你的系統依賴什么交易所?
你用什么第三方智能合約來建立系統?
你的系統支持哪些代幣,你對這些代幣的行為模式有怎樣的預期?
3.可靠的的披露系統和獎勵計劃
對于才華橫溢的黑客來說,攻擊DeFi協議對他們有著強大的金錢誘惑。制定獎勵計劃能激勵大家發現并揭露漏洞,而非鉆漏洞。對于白帽黑客來說,通過激勵系統揭露代碼漏洞也是提高自身聲譽的好方法——既有好處又不違法。
任何公司要運行DeFi協議,或是涉及在線托管金錢的業務,都應該設有獎勵系統。你可以就他們的獎勵計劃及披露流程提出以下問題:
你們的合約代碼能夠被所有人看到嗎?
從你們的網站和git代碼庫,能夠很容易找到安全的聯系方式嗎?
你們的合約有沒有設置獎勵計劃?
哪些合約在獎勵計劃內?
獎勵計劃具體金額是?
你們是否支付過獎勵計劃的獎金?
對于bug報告,你們是否曾拒絕支付過?
從你們的網站和git代碼庫,能夠很容易地找到獎勵計劃的詳細信息嗎?
理想情況下,這些信息應該放在“website.com/security”頁面下,而且能搭配Github的SECURITY.md功能使用。
4.應急預案
當面對某些安全突發狀況的時候,新消息如潮水般涌來,用戶持續在Twitter、Telegram、Discord上提出棘手的問題......,這時候開發者很難頭腦清楚地應對突發狀況。
所以如果有應急預案的話,就能證明項目正朝著安全方向發展。要求項目公開他們完整的計劃可能不太現實,但我們還是能提出以下基礎的問題去側面了解:
你們是否有處理突發安全事件的計劃提綱?
你們的應急預案適用于哪些緊急情況?
如果你們的系統是可升級的,這些升級步驟是否記錄在案?
如果你們發現某個系統漏洞可能讓資金面臨風險,你們是否能通過應急預案先發制人,保護資金安全?
5.審計與安全發展
審計并非萬靈丹,而且審計的內容總多多少少有點區別,但對于部署任何的DeFi合約之前,進行審計是至關重要的一步。
下面的問題不一定有“正確答案”,但學識淵博的社區群眾們,應該能從項目的回答中看出開發團隊對于安全性的立場。
你們最近一次審計是什么時候?
這次審計投入了多少精力?
哪個機構做的審計?
審計報告公開嗎?
你們系統中有任何部分是沒有被涵蓋在審計的范圍內嗎?
最近一次審計之后,你們有對合約進行更新嗎?如果有,更新了什么?
你們有和哪個安全團隊進行長期合作嗎?
在合并代碼之前,開發者會彼此做codereview嗎?
你們的合約代碼中,做過單元測試的比重是多少?
審計過程中,你們用過其他的安全分析工具嗎?
原文鏈接:?https://diligence.consensys.net/blog/2020/03/questions-defi-users-should-be-asking-defi-developers/作者:?JohnMardlin翻譯&校對:?IANLIU&阿劍
作者:黃凌波,分布式資本合伙人眾所周知,區塊鏈經過了幾年的發展,其應用的落地性依然乏善可陳,其中的原因可以歸納為兩點:技術和數據.
1900/1/1 0:00:00前言:截止發稿時,比特幣突破6600美元,24小時漲幅超20%。市值排名前十的幣種集體上漲,漲幅均在10%以上.
1900/1/1 0:00:00來源:哈希派 作者:LucyChengMt.Gox,意旨Magic:TheGatheringOnlineeXchange,神奇的在線交易平臺.
1900/1/1 0:00:002019年10月24日,為推動訴源治理,從源頭化解糾紛和實現網絡空間信用再造,杭州互聯網法院上線區塊鏈智能合約司法應用系統,開啟信用生態系統級訴源治理新模式,并將其率先應用到電商領域.
1900/1/1 0:00:00從19年開始,關于“減半行情”的討論不絕于耳,人們都希望牛市在期待已久的2020年開啟。然而,受疫情影響,全球經濟受挫,“減產年”的開端并不樂觀.
1900/1/1 0:00:00文丨互鏈脈搏 疫情正在全球蔓延,但在輿論場,相互指責的多,相互協作的少。尤其是以國為界,國籍歧視、種族歧視事件數量快速增加。這次疫情,也讓全球化受阻,產業協作從全球長鏈,走向區域短鏈.
1900/1/1 0:00:00