文:Ignas|DeFiResearch
编译:Zion??????
责编:karen
来源:medium
FTX的崩溃证明了自我托管和风险管理的重要性。
但是,在DeFi中,有许多漏洞、rugpull、合约bug,如果你不小心,就很容易赔钱。
本文将分享如何评估DeFi协议的安全性,保护你的资产。
如果你是一个经验丰富的智能合约开发者,并且能够自己验证代码,那就太好了。但我们大多数人都不是。
这让我们别无选择,只能根据其他数据来评估项目,这涉及到一定程度的信任。
总锁定价值是安全的终极证明?
大多数人对DeFi项目的评估依据是存入智能合约的价值,这已经不是什么秘密了。因此,TVL是信任的终极证明。
路透社:数据显示币安已为Bitzlato转移近3.46亿美元的比特币:金色财经报道,据路透社报道,区块链数据显示币安为加密交易所Bitzlato转移了近3.46亿美元的比特币。
此前1月19日消息,美国司法部将对俄罗斯交易平台Bitzlato采取执法行动,创始人已被捕。彭博社报道称,币安被美国FinCEN列为Bitzlato的主要资金接收交易对手方之一,对此,币安发言人在一份声明中写道,币安“为支持这项调查的国际执法合作伙伴提供了大量协助,这体现了币安致力于与全球执法伙伴合作的承诺。”[2023/1/24 11:28:45]
总锁定价值越高,协议的隐含安全性就越高。如果有大量的钱被存入,这意味着“有人”做了尽职调查,该协议是安全的。
不幸的是,它给人一种虚假的安全感。高TVL协议容易遭黑客攻击。同时,低TVL并不意味着协议不安全。
比特币矿工将路透社头条“BTC创历史新高”永久上链:12月3日,加密货币公共矿池Slush Pool官方发推称,应矿工的要求,在12月2日晚23:51挖出的高度为659678的区块中,已将“路透社2020年12月1日报道,美元因美国经济刺激计划而暴跌,比特币创历史新高”永久上链。[2020/12/3 22:59:49]
看看按TVL排名的头部DeFi协议。
你认为TVL代表安全/保障水平吗?
是否有任何协议你不放心存入你的资金?为什么?
如果基于你在网上读到的内容做判断,你可能会产生偏见。
信任,但要验证?
“不信任,要验证”是我们进行智能合约审计的原因。
动态 | 路透社:矿工正寻求通过金融衍生品对冲电力需求的急剧波动:路透社发文称,哈希率的激增意味着需要更多的电力,从而增加了生产成本,并侵蚀了所售加密货币的利润。这一未知情况可能会成为创业公司急需从机构和市场吸引投资时面临的主要障碍。七位加密货币矿工和业内人士表示,允许矿工对冲算力的衍生品可以帮助解决这一问题,他们正在更加密切地关注通过金融工具控制哈希率和价格风险。来自美国、加拿大、英国和中国香港的矿工和加密货币交易商表示,此类产品的市场虽然处于非常早期的形式,但已经逐渐兴起,并将变得越来越重要。目前很难获得确切的数字,但一些加密领域的人士预计,该市场每年的价值可能总计约5000万到1亿美元。嘉楠耘智区块链部门的经理Kevin Shao表示,近几个月来,矿业对衍生品的采用肯定是有所增加。[2019/12/11]
如果不是这样,我们可能不需要审计,因为代码是开源的,社区可以发现代码中的所有问题。然而,社区可能没有正确的动机、激励或专业知识来验证代码。
声音 | 路透社:山寨币崛起给比特币带来新挑战:据路透社报道,比特币在加密货币新兴市场中正面临着2000余种山寨币带来的挑战。目前比特币约占2400亿美元加密市场的60%,低于两年前的近90%。虽然比特币今年价格几乎翻一番,上涨近30%。但去年,比特币价值缩水四分之三。这种波动性让从养老基金到资产管理公司等主流投资者望而却步,这些投资者被视为比特币从投机性代币成长为成熟资产的关键因素。 相较于比特币,分析师和学者将山寨币描述为一场寻找比特币缺陷答案的竞赛,甚至可能会影响加密货币和相关技术(如区块链)的发展。芝加哥加密货币交易商Cumberland称,今年第一季度,山寨币表现优于比特币4%。Cumberland首席运营官Bobby Cho表示,“山寨币市场已成熟,投资者和交易商更容易理解他们所购买商品的基本面。”此外,文章还表示如果山寨币数量的迅速增长是对比特币弱点的技术探索的产物,那么投资者的兴趣可以被看作是押注山寨币会在支付或转账方面取得进展,或者是作为一种价值储存手段。[2019/5/15]
审计人员应该具备正确的技术专长,但最终,我们也必须相信他们会把工作做好。
日本加密货币交易所bitFlyer向路透社提供加密货币价格信息:据日本加密货币交易所bitFlyer官网,该交易所已开始向路汤森透社(日本)提供BTC/JPY、BTC/USD、BTC/EUR等加密货币交易对价格信息。汤森透社提供的加密货币实时汇率通过Elektron数据平台和自定义API的图标和数据输入进行使用。[2018/5/17]
还记得推特对Certik的抵制吗?因为经过他们审计的一些协议最终被黑客入侵了。
审计公司也在建立自己的声誉。如果他们审计并评估为安全的协议被攻击了,那就说明缺乏专业性。事实上,Certik已经审计了3422个项目,因此难怪其中一些项目遭黑客攻击或出现漏洞。
仅仅进行审计并不意味着协议是安全的。我见过一些项目自豪地宣布“已完成审计”,但当你阅读审计报告时,安全评分实际上很低。
经验教训是不要盲目相信公告,而是通过阅读实际的审计报告来验证结果。
如果不看审计报告呢?
大多数人都不看审计报告。
Certik有一个包含所有审计项目的仪表板。你可以查看“信任得分”,数字越高意味着越安全。
https://www.certik.com/
Hacken等其他审计机构也有类似的仪表板,或者你可以简单地阅读审计摘要。看看这个示例,由Paladin完成的TraderJoe的审计。
你可以在这里看到,TraderJoe修复了高、中等严重性问题,但并非所有低严重性问题都已解决。
https://paladinsec.co/projects/trader-joe-launchpeg/
审计只是一个开始
评估安全性还需要更多:
?充分测试
?赏金活动
?文档透明
?管理员控制
?Oracle文档
还有更多……亲自验证这一切简直是噩梦。
我真的很喜欢DefiSafety正在做的事情。其ProcessQualityReview对协议进行验证,并对其进行安全评分。
https://www.defisafety.com/app?orderBy=finalScore
根据PQR的结果,LiquityProtocol、Synthetix和AngleProtocol是所有经过验证的DeFi协议中最安全的。
在DefiSafety上,您可以检查每个元素,并查看协议得分最高/最差的地方。
例如,Liquidy仍需要形式化验证(FormalVerification)。
此外,你可以从在ExponentialDeFi上对你的投资组合安全进行评级开始。
它的“评估我的钱包”功能为你提供当前投资的自定义风险分析。例如,Tetranode的450万美元资产存入在风险较高的协议。
ElementalDeFi根据项目评估打分。评估考虑了资产风险、代码质量和资产存放的区块链的安全。
我喜欢他们简单易懂的风险解释。
例如,看看Abracadabra的MIM。它警告说,SPELL被用作抵押品,可能导致坏账。
如果有疑问,就问吧!
最后,我建议加入项目社区群组,并询问以下问题:
他们有保险基金吗?
他们会回避问题吗?
他们在做什么来提高安全性?
我问过Stargate团队是否有保险基金,以防他们被黑客攻击,但有时比我想象的更难得到答案,这是危险信号。
但无论发生什么,DeFi还很年轻,所以最好不要将所有资产都放在一个协议中。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。