翡翠项目方在巨大的利益面前最终还是选择了跑路,无论是对于EOSDeFi,还是整个公链生态来说,都造成了极坏的影响,尤其是对于EOS生态的伤害比较大,EOSDeFi刚有点成绩,项目本来就比较少,10个手指头都可以数得过来,从概率来看,这出事的概率有些大。虽然ETH、TRON生态中也经常出现跑路,但从市场反应来说,貌似大家都盯住了EOS,EOS公链一有问题,就会被市场无限放大做文章,弄得好像只有EOSDeFi有问题一样,可能是许多人都曾被EOS伤过的原故吧。不过这也怪不得别人,拉盘即正义,谁让EOS的价格表现这么差呢,谁让EOS是个没爹的孩子呢,项目官方B1不硬气,EOS也只有任人欺负的份了,EOS真是个可怜的孩子。翡翠事件已经发生了,对我们投资者再次敲响了警钟,过去的事件我们改变不了什么,但其实有很多损失是可以提前防范的,只要我们用心甄别并控制自己的贪欲,许多损失便不会发生。下面我从项目方甄别以及投资策略两方面来分享一下如何提前防范这些不必要的损失。一、项目方层面
1、合约代码审计我们参与的DeFi项目,合约代码至少是需要经过安全机构的审计,常见的比较靠谱的安全审计机构有慢雾和派盾等,一般项目都需要经过两个或更多安全机构的交叉审计,越多安全机构参与交叉审计,合约出现漏洞的机率当然就越小。智能合约本质是一段运行在区块链网络中的代码,它完成用户所提交的功能需求。合约代码毕竟是由人所编写的,由人编写的程序难免是会出现一些错误和缺陷的,所以合约经过第三方安全机构的审计是很有必要的。项目方合约代码写好后,通过安全审计公司对智能合约的全面检查,并针对合约的潜在安全风险进行审核并提供改进方案,以确保上线项目的智能合约代码安全,这应该是所有项目方都应该做的,也是最基本的安全要求了。如果合约没有经过安全机构审计,一旦合约代码出现漏洞并被黑客发现,合约账户里边的资金很容易被黑客一窝端。经过安全机构审计过的代码,虽然也不能保证代码100%是没有漏洞的,但对于用户来说还是要放心许多,经过审计的总是比没有经过审计的要靠谱多了,项目方合约代码参与审计至少可以让我们看到项目方的态度。所以,对于一个项目来说,合约要经过安全机构审计,这是最起码的要求,用户相应来说还是比较相信安全审计公司的。合约经过安全机构审计是必要的,但对于资产安全来说却并不充分,即合约要经过审计这是最低的要求,但仅仅经过安全机构的审计肯定是不够的,如果没有其他安全措施的配合,我们在参与时也是要非常谨慎的。正如王首富所说的那位,我们也不要盲目相信审计。
如果审计后合约代码再开源,那当然是更好的。2、合约账户多签无论是合约代码经安全机构审计,还是审计后的代码开源,这些都是在合约代码层面所做的。合约经过审计后,某种程度上阻止了黑客,但并不能阻止项目方跑路,因为合约账号的私钥是在项目方的手里的,如果没有设置多签,项目方单方面就可以转走合约账号里边的资产。如果合约经过审计后,再加上设置多签,那当然就安全多了。如果说合约审计主要是为了防黑客,那么多签主要就是为了防止项目方跑路的。对于EOSDeFi项目来说,"合约审计+多签"应该是标配,虽然这并不能保证100%不会出事,但至少可以在很大程度上降低出事的概率了。合约账户设置了多签功能,就一定安全吗?即使合约账号开启了多签功能,也未必一定能达到我们想要的多签功能,关键要看多签具体是怎么设置的,正如鲸交所俊总所提醒的那样:多签要注意门限规则,如果项目方可以直接或者间接控制多方签名达到门限要求,就可以任意控制帐户,与其他多签方无关。所以,即便是多签功能,也是要注意避坑的。1)打开账户权限看看多签设置是否合理对于合约账户的多签设置,我们还是要打开看看是否设置合理,看看是否存在控制或串通的迹象。如果项目方可以控制其他签名方,那多签形同虚设,本质上就是个取韭菜的幌子,千万不要被障眼法给迷惑了。例如一个多签账号参与签名的节点有10个,而且采用的是"1+3"的多签模式,即项目方和其他任意3方都签名同意即可。但是在这10个节点中,其中有3个节点账号实质上是受项目方控制的,或者和项目方能够串通,那这样的多签就是没有意义的,参与签名的节点数量再多也没用,因为无论参与签名的节点数有多少个,只要能够和其中3个达成共谋就可以了,其他节点也都是摆设。因此,对于多签账户,我们要看每一个参与签名的节点,看看是不是相互独立的,是不是能够受到项目方的控制。当然了这很难判断,但是,如果参与签名的节点都是EOS社区中比较出名的超级节点,相对来说风险就会大大下降,毕竟EOS超级节点相对来说还是靠谱的,哪个超级节点是谁做的,基本上都是公开的,都是能找到人的。目前来看,大宝和大丰收的多签设置还算是比较合理的。
大丰收的多签采用的是"1+3"的模式,即如果大丰收要改合约或转账,除了大丰收签名名,还需要3个其他的参与方一同签名才可以执行相关的操作。根据大丰收的多签设置,假如出现了一种极端的情况,即大丰收自己的私钥丢失了,那么其它的5个参与方可以一起签名从而执行某些操作,比较巧妙的是这里边还包括了Blockone的b1,也就是当大丰收的私钥丢失时,必须得有b1参与签名才能执行相关的操作,没有b1的参与,其他节点联合起来因达不到阈值而不能执行相关的操作。参与大丰收多签的账户中,除了b1之外,还有鲸交所、EOS佳能和TP钱包,它们都是EOS生态中可信的、有名的节点,而且都是彼此独立的,相互之间串通的可能性基本上没有。所以大丰收的多签还是比较合理的,我个人觉得参与签名的节点有些少了,可以适当再增加一些可信节点。如果出现一种极端情况例如有两个节点都不能签名,那合约也是执行不了的。我们再看下Defibox的多签设置。
同样的,Defibox也是采用了"3+1"的多签模式,如果要修改合约或者发起转账操作,除了Defibox之外,还需要另外3个节点都参与签名才可以执行相关的操作。Defibox的多签设置也比较合理,有权参与签名的节点比较多,多达11个,远多于大丰收的5个,参与签名的节点多则会比较灵活一些,如果一些节点出现问题不能签名,那么可以找其他节点,总之只要凑齐11个节点中的3个签名就可以了。在Defibox的多签账户中,虽然有权参与签名的节点比较多,但并不是仅仅追求参与签名的节点数量的,这11个节点其实是比较具有代表性的,例如可以参与签名的节点有安全公司、知名钱包、知名交易所以及超级节点等,节点的地理位置分散也比较广,有国内的节点,也有国外的节点,而且节点间串通的可能性也几乎是没有的。和大宝的多签设置相比,大丰收考虑到了如果自己的私钥丢失,那么其他节点联合B1是可以发起请求的,但在defibox的多签设置中,并没有考虑到这种极端的情况,如果defibox自己的私钥丢失,那么其他节点即使全部都联合起来,也不能进行相关的操作。因为达不到阈值,关于defibox的这种多签设置,我也请教了下大宝的工作人员。
大宝工作人员回复说defibox不但有备份机制,以保证私钥不会丢失,而且即使是大宝的私钥丢失了,但这并不影响用户资产,用户资产是可以自行取走的。大宝和大丰收的的账户多签设置各有特色,如果能够把二者的设置结合起来就更好了。2)每个资金池的合约账户是否都设置了多签对于DeFi项目方来说,往往是具有多个合约账户的,例如拿Defibox来说,流动资金池和USN稳定币抵押的合约账户是不同的,所以,要尽量去检查涉及资产的所有合约账户,看看是否都有设置多签功能。除了多签和合约审计外,项目方是否有推出漏洞赏金计划,也可以当然一个参考指标,有推出漏洞赏金计划的项目方当然更有诚意了。二、资金和投资策略层面
我们在投资DeFi项目的时候,无论是什么项目,都不要allin自己的资金,DeFi币种大跌90%以上的项目很多,千万不要一激动就全梭哈了,如果运气不好一下子锁到了价格高点站岗,那可就麻烦了。经过SUSHI创始人的大量抛售以及翡翠项目方的跑路等事件,市场变得越来越理性了,大家都知道泡沫的成分很大,吹大的泡沫早晚是会破裂的,只是自己不要当最后接力的那个就好。当一个项目出来时,不要急着买,可以先让zidan飞一会,先让跌一跌,多观察、多思考。除了在资金层面不要allin之外,在选择项目的时候,也要尽量分散自己的投资,不要把资金全部都押注在一个项目上,在当下的市场中,投资赛道可能更加合适一些,例如在EOSDeFi中,许多朋友都同时投资了DFS、BOX和OGX,比押注在一个项目上,分散投资可能是更好的投资策略。不要把全部希望都寄托在一个项目上,而是把资金分散投资于多个优质项目上,可能更加适合我们,这样做风险也得到了分散。因为在投资前,我们也很难看清楚到底哪个项目最终会做起来,大家都是摸着石头过河,毕竟都是有的成分在里面。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。