文:Ignas|DeFiResearch
编译:Zion??????
责编:karen
来源:medium
FTX的崩溃证明了自我托管和风险管理的重要性。
但是,在DeFi中,有许多漏洞、rugpull、合约bug,如果你不小心,就很容易赔钱。
本文将分享如何评估DeFi协议的安全性,保护你的资产。
如果你是一个经验丰富的智能合约开发者,并且能够自己验证代码,那就太好了。但我们大多数人都不是。
这让我们别无选择,只能根据其他数据来评估项目,这涉及到一定程度的信任。
总锁定价值是安全的终极证明?
大多数人对DeFi项目的评估依据是存入智能合约的价值,这已经不是什么秘密了。因此,TVL是信任的终极证明。
CFTC技术团队正尝试了解应如何处理DeFi:美国商品期货交易委员会(CFTC)的技术咨询委员会正在尝试了解应如何处理DeFi。该委员会周一主持了一场演讲,题为”DeFi的增长和监管挑战”,演讲者是法学教授Aaron Wright和律师Gary DeWaal。Wright总结了DeFi的优势,即通过自动化多个相关流程,可以为更多的人提供成本更低的服务。此外,演讲者提及DeFi具有潜在风险,如高技术准入壁垒等。对于“如果DeFi平台非法运作,当局应该追究谁的责任”,DeWaal表示,这是一个难以逾越的法律障碍。次要责任可能会威胁到使用或参与DeFi协议的广泛人群。(cointelegraph)[2020/12/15 15:12:05]
总锁定价值越高,协议的隐含安全性就越高。如果有大量的钱被存入,这意味着“有人”做了尽职调查,该协议是安全的。
不幸的是,它给人一种虚假的安全感。高TVL协议容易遭黑客攻击。同时,低TVL并不意味着协议不安全。
Compound CEO :创建治理代币,是为让最聪明用户决定协议如何升级:Compound创始人兼CEO Robert Leshner在媒体直播间表示,流动性挖矿是作为一种分发代币的方式,Compound总体上是一种自治的系统,这需要相信那些最有能力的人来决定协议的参数是什么,所以我们创建了一个治理代币来升级协议,向协议主题添加新资产,所以我们创造这个代币以便把它交到最聪明的用户手中。(深链财经)[2020/6/24]
看看按TVL排名的头部DeFi协议。
你认为TVL代表安全/保障水平吗?
是否有任何协议你不放心存入你的资金?为什么?
如果基于你在网上读到的内容做判断,你可能会产生偏见。
大咖零距离 | 半年收益38倍教你如何成就自己的交易系统:3月10日18:00,金色盘面邀请实盘大V以太坊大手子做客金色财经《大咖零距离》直播间,将分享《半年收益38倍教你如何成就自己的交易系统》,敬请关注,欲进群观看直播扫描下图二维码报名即可![2020/3/10]
信任,但要验证?
“不信任,要验证”是我们进行智能合约审计的原因。
如果不是这样,我们可能不需要审计,因为代码是开源的,社区可以发现代码中的所有问题。然而,社区可能没有正确的动机、激励或专业知识来验证代码。
审计人员应该具备正确的技术专长,但最终,我们也必须相信他们会把工作做好。
还记得推特对Certik的抵制吗?因为经过他们审计的一些协议最终被黑客入侵了。
分析 | BTC暴跌该如何操作?合约关注8300压力位:据Huobi数据显示,BTC现报8078美元,日内涨幅1.87%。针对当前走势,金色盘面特邀分析师保罗大帝表示:昨晚大饼再次下探了7700支撑,受到支撑反弹8000上方,白天基本维持了震荡局面。日线布林线呈开口向下扩散,各指标也是空头排列。
?技术上看,1小时看,比特币RSI运行在50附近,KDJ经过刚才的反弹后,底部有金叉趋势。但是可以看到,反弹的上方受到了MA30的压制,MA30成反弹的阻力位。合约15分钟看,这个位置与前高8300位置大约重合,BTC要想走稳向上这个点位要突破,是最基本的要求。
今日操作:上方压力位8200,上方强压力位9300美元,下方支撑位7700美元。合约方面,空单关注8300能否突破,不能突破站稳、空单可跟进。(若趋势反转向上,回踩平仓。)严格带好止盈止损。现货方面,关注下方7700支撑,跌破减仓。?注1:以上合约操作价格为火币季度合约价格,现货为火币现货价格。[2019/9/27]
审计公司也在建立自己的声誉。如果他们审计并评估为安全的协议被攻击了,那就说明缺乏专业性。事实上,Certik已经审计了3422个项目,因此难怪其中一些项目遭黑客攻击或出现漏洞。
声音 | Brendan 发推特表达如何实现成功:据 IMEOS 报道,Block.one CEO Brendan Blumer 发推特表示,成功通常是有具备充分理由让社区听从你,并实际提供他们(社区)想要的东西来实现。[2018/10/1]
仅仅进行审计并不意味着协议是安全的。我见过一些项目自豪地宣布“已完成审计”,但当你阅读审计报告时,安全评分实际上很低。
经验教训是不要盲目相信公告,而是通过阅读实际的审计报告来验证结果。
如果不看审计报告呢?
大多数人都不看审计报告。
Certik有一个包含所有审计项目的仪表板。你可以查看“信任得分”,数字越高意味着越安全。
https://www.certik.com/
Hacken等其他审计机构也有类似的仪表板,或者你可以简单地阅读审计摘要。看看这个示例,由Paladin完成的TraderJoe的审计。
你可以在这里看到,TraderJoe修复了高、中等严重性问题,但并非所有低严重性问题都已解决。
https://paladinsec.co/projects/trader-joe-launchpeg/
审计只是一个开始
评估安全性还需要更多:
?充分测试
?赏金活动
?文档透明
?管理员控制
?Oracle文档
还有更多……亲自验证这一切简直是噩梦。
我真的很喜欢DefiSafety正在做的事情。其ProcessQualityReview对协议进行验证,并对其进行安全评分。
https://www.defisafety.com/app?orderBy=finalScore
根据PQR的结果,LiquityProtocol、Synthetix和AngleProtocol是所有经过验证的DeFi协议中最安全的。
在DefiSafety上,您可以检查每个元素,并查看协议得分最高/最差的地方。
例如,Liquidy仍需要形式化验证(FormalVerification)。
此外,你可以从在ExponentialDeFi上对你的投资组合安全进行评级开始。
它的“评估我的钱包”功能为你提供当前投资的自定义风险分析。例如,Tetranode的450万美元资产存入在风险较高的协议。
ElementalDeFi根据项目评估打分。评估考虑了资产风险、代码质量和资产存放的区块链的安全。
我喜欢他们简单易懂的风险解释。
例如,看看Abracadabra的MIM。它警告说,SPELL被用作抵押品,可能导致坏账。
如果有疑问,就问吧!
最后,我建议加入项目社区群组,并询问以下问题:
他们有保险基金吗?
他们会回避问题吗?
他们在做什么来提高安全性?
我问过Stargate团队是否有保险基金,以防他们被黑客攻击,但有时比我想象的更难得到答案,这是危险信号。
但无论发生什么,DeFi还很年轻,所以最好不要将所有资产都放在一个协议中。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。