去中心化金融一定安全嗎？這份DeFi安全指南奉上_EFI:Efinity

原文：Ignas

編譯：Biteye 核心貢獻者 Crush

FTX 的崩潰證明了自我托管和風險管理的重要性。但是在 DeFi 中，仍有許多漏洞、Rug Pull 以及合約 BUG，一不小心就會虧錢。

今天這篇文章，我就來說一下如何去評估一個項目的安全性，以保護好自己的資產。

如果你自己本身就是一個經驗豐富的智能合約開發者，能夠親自去驗證項目代碼的安全性，這再好不過了，但是我相信大多數人都不是。

所以沒辦法，我們只能根據其他數據去評估一個項目，這涉及到一定程度的信任。

眾所周知，大多數人通過存入智能合約的資產價值來評估一個 DeFi 項目的好壞。因此，不少人認為 TVL 在一定程度上，是可以反映這個項目的安全性的。

如果鎖倉的資產越多，那么說明這個協議的安全性就越高。你可以這么想，能夠鎖倉這么多資金的協議，那這些存錢的人一定是進行了充分的調查，確認了協議的安全性才敢把錢放進去。

Meta正探索去中心化社交網絡應用程序:金色財經報道，Meta Platforms Inc發言人周五表示，公司正在探索一個獨立的去中心化社交網絡，用于共享文本更新，這可能是馬斯克的Twitter的直接競爭對手。Meta發言人表示，“我們正在探索一個獨立的去中心化社交網絡來分享文本更新。我們相信有機會創造一個獨立的空間，讓創作者和公眾人物可以及時分享他們的興趣。”

當天早些時候，印度商業新聞網站Moneycontrol.com首先援引消息人士的話報道了這一消息。該報道稱，Meta的新內容應用程序將支持ActivityPub，這是一種去中心化的社交網絡協議，為Twitter的競爭對手Mastodon和其他聯合應用程序提供支持。Meta的新應用程序將采用Instagram品牌，并允許用戶通過Instagram賬號注冊或登錄。（路透社）[2023/3/10 12:53:57]

不幸的是，TVL 往往給人一種錯誤的安全感。一方面，你認為高 TVL 的協議更加安全，但同樣黑客也會盯著這些協議進行攻擊，因為攻擊這些協議能賺取更多的利潤。另一方面，低 TVL 也不一定就意味著協議就不安全。

去中心化訂單流市場DFlow完成200萬美元種子輪融資:3月31日消息，去中心化訂單流市場 DFlow 完成 200 萬美元種子輪融資，Multicoin Capital 和 Framework Ventures 領投，參投方包括 Cumberland（DRW）、Parataxis Capital 和 PetRock Capital。本輪融資將用于招募機構做市商、建立合作伙伴關系以引入散戶交易者并準備啟動主網。[2022/3/31 14:28:41]

因此，僅僅通過 TVL 去判斷一個協議的安全性，不免有些似是而非。

我們根據TVL對現有的DeFi項目進行一個排名：

看完這張圖后

你還認為高 TVL 一定代表著安全嗎？

Aleph.im宣布將為育碧Quartz提供去中心化存儲解決方案:12月22日消息，Aleph.im宣布將為育碧Quartz提供去中心化存儲解決方案，以進一步將NFT納入育碧的3A游戲。玩家將能夠在Quartz上獲得稱為Digits的動態NFT，這些NFT將用于育碧（Ubisoft）的Tom Clancy Ghost Recon Breakpoint游戲。（Cointelegraph）[2021/12/22 7:55:19]

圖中有哪些協議你覺得是不可信的？為什么？

「不信任，只驗證」是我們進行智能合約審計的原因。如果不是這樣，我們可能不需要審計。因為代碼是開源的，社區可以找到代碼中的所有問題。然而，社區可能沒有正確的動機、激勵或專業知識來驗證代碼。

因此審計人員必須要足夠專業，但更加重要的是，審計人員自己不能出問題。例如，著名審計公司 Certik 經手審核的不少項目仍然被黑了，可以說是防不勝防。

去中心化永續合約交易平臺Polysynth完成150萬美元種子輪融資:11月18日消息，去中心化永續合約交易平臺Polysynth完成150萬美元種子輪融資，Jump Capital、DeFi聯盟、Hashed、Smape、Brevan Howard 的聯合 Alan Howard、Polygon 的聯合組織 Sandeep Nailwal 和Jaynti Kanani、Sanket Shah、Rahul DalmiaJoel John 等參投，所投資金將建立團隊以及進行安全審計。 VMM（虛擬做市商）進行，目前已經上線測試版。[2021/11/18 22:00:22]

同時，審計公司也在建立自己的聲譽。如果他們審核（并評估為安全）的協議被黑，則給人一種不專業的印象。事實上，Certik 已經審核了超過 3422 個項目，所以其中一些項目遭到黑客攻擊或存在漏洞也是難以避免的。

Torus錢包現已集成至去中心化借貸協議Aave:Web3.0登錄服務提供商Torus宣布Torus錢包現已集成至去中心化借貸協議Aave。目前，Torus用戶可無縫登錄Aave進行借貸。[2020/9/2]

所以僅僅進行是通過審計，并不意味著協議是安全的。我見過一些項目自豪地宣布「完成審計」，但當你閱讀審計報告時，卻發現他們的安全分數實際上很低。

這給我的教訓是，不要盲目相信項目方的審計公告，而是通過閱讀實際審計報告來驗證結果。

事實上，大多數人都不會閱讀審計報告，不過Certik 有一個包含所有已審項目的數據看板，在這個看板里面，你可以檢查項目的「信任分數」，數字越高表示安全。

其它審計機構，例如 Hacken，也會有類似的數據看板。或者你可以簡單地閱讀一下審計摘要，例如下面這個 Trader Joe 的例子, 它是由 Paladin 審計完成的。

通過這里的數據我們不難看出，Trader Joe 修復了所有的中高風險問題，但是在低風險問題上，卻仍有部分未進行修復。

評估一個項目的安全性，還需要考慮更多：

充分的測試

賞金活動

文檔的公開透明

管理控制

Oracle 文檔

要考慮的方面那可太多了，要是全部都親自驗證，恐怕先得累死。說到這里，我們就不得不提到 DeFi Safety。它會對這些協議進行一個驗證，然后給出安全評分。

根據它們提供的結果，我們可以很清楚地看到，Liquity Protocol、Synthetix 以及 Angle Protocol 是所有經過驗證的 DeFi 協議中最安全的。

在 Defi Safety 上，你還可以查看更多細節部分的內容。例如，Liquidy protocol 仍然需要形式驗證。

此外，你還可以通過 Exponential DeFi，對錢包的投資組合進行一個安全性評估。

「評價錢包」功能會為你提供當前投資的風險分析。例如，在 Tetranode 的資產中，就有 450 萬美元的資產是被存入在風險較高（C 級）的協議中。

ExponentialDeFi 會根據項目評估給出評分，評估考慮了資產風險、代碼質量和資產存放的區塊鏈的安全性。這種簡單易懂的風險說明，讓我愛不釋手。

就拿 Abracadabra 的穩定幣 MIM 來舉例，它會直接給出警告：SPELL 被用作抵押品可能會導致壞賬。

最后一個要給大家介紹的方法就是，直接加入項目的社區，然后思考一下下面幾個問題：

他們有保險基金嗎？

他們會回避提問嗎？

他們正在做什么來提高安全性？

例如我之前就曾問過 Stargate 團隊，他們是否擁擁有保險基金，以防止項目被黑客入侵。但是有時想要得到一個準確的答案，卻并不是那么簡單，項目方往往會各種拐彎抹角地回避問題。這似乎是一種危險信號，讓人不得不提高警惕。

但是無論發生什么，DeFi 都還很年輕，還有很長的路要走，所以最好不要把所有的雞蛋都放在一個籃子里！

金色早8點

金色財經

去中心化金融社區

CertiK中文社區

虎嗅科技

區塊律動BlockBeats

念青

深潮TechFlow

Odaily星球日報

騰訊研究院

Tags：EFIDEFIDEFTVLEfinityPhoenix Defi Financedefi幣種tvl幣圈

酷幣交易所