如何評估DeFi協議安全性的簡易指南_EFI:DEF

文：Ignas|DeFiResearch

編譯：Zion??????

責編：karen

來源：medium

FTX的崩潰證明了自我托管和風險管理的重要性。

但是，在DeFi中，有許多漏洞、rugpull、合約bug，如果你不小心，就很容易賠錢。

本文將分享如何評估DeFi協議的安全性，保護你的資產。

如果你是一個經驗豐富的智能合約開發者，并且能夠自己驗證代碼，那就太好了。但我們大多數人都不是。

這讓我們別無選擇，只能根據其他數據來評估項目，這涉及到一定程度的信任。

總鎖定價值是安全的終極證明？

大多數人對DeFi項目的評估依據是存入智能合約的價值，這已經不是什么秘密了。因此，TVL是信任的終極證明。

SBF：人們知道如何計算年收益，只是有時不理會:FTX首席執行官SBF今日發推稱：“嘿兄弟，我認為每個人都忘記如何計算年收益。對此，他在最新的推特中補充說明：可以明確地說，人們知道如何計算年收益，但他們只是有時候不理會。”[2020/9/18]

總鎖定價值越高，協議的隱含安全性就越高。如果有大量的錢被存入，這意味著“有人”做了盡職調查，該協議是安全的。

不幸的是，它給人一種虛假的安全感。高TVL協議容易遭黑客攻擊。同時，低TVL并不意味著協議不安全。

看看按TVL排名的頭部DeFi協議。

你認為TVL代表安全/保障水平嗎？

是否有任何協議你不放心存入你的資金？為什么？

Craig Wright：PoW是指導網絡存在分歧時如何行動的信號:Craig Wright在其最新的博客文章中解釋了為什么工作量證明（Proof-of-Work，PoW）是至關重要的。他表示，工作量證明是一種重要的信號，它告訴網絡上的節點，當網絡上存在分歧時，該如何行動。重要的是要區分這些節點不是對網絡規則投票，而是執行規則。他說，“工作量證明是一種經濟信號，從理論上講是從游戲的角度去激勵玩家的誠實行為，或者提供一種懲罰機制。”[2020/8/20]

如果基于你在網上讀到的內容做判斷，你可能會產生偏見。

信任，但要驗證？

“不信任，要驗證”是我們進行智能合約審計的原因。

如果不是這樣，我們可能不需要審計，因為代碼是開源的，社區可以發現代碼中的所有問題。然而，社區可能沒有正確的動機、激勵或專業知識來驗證代碼。

OKEx金融市場總監：加密貨幣的未來取決于CBDC在未來如何發展:5月24日消息，OKEx金融市場總監Lennix Lai表示，適應中國的CBDC并不是那么困難，因為現金的使用已經有所下降，這要歸功于支付寶和微信支付等電子支付系統的進入。Lai指出，鑒于中國一直在使用需要KYC和其他安全流程的電子支付的事實，中國的金融隱私概念早已不復存在，但當其他國家中央銀行在發行CBDC時，這可能會成為一個問題。另一方面，中國CBDC直接在中央銀行的權力之下并且不提供任何金融隱私這一事實可能會促使人們開始轉向加密貨幣。因此，中國CBDC的啟動確實可以促進并使人們意識到主流加密貨幣的用例和重要性。此外，他表示，比特幣、Ripple和其他加密貨幣的未來取決于CBDC在未來如何發展。如果人們意識到金融隱私的需要，他們可能會涌向比特幣，但在那些金融隱私存在已久的國家，這種去中心化的貨幣可能會被邊緣化。（AMBcrypto）[2020/5/24]

審計人員應該具備正確的技術專長，但最終，我們也必須相信他們會把工作做好。

聲音 | 人民郵電報：區塊鏈如何填補法律監管“空白”？:人民郵電報今日發表文章《區塊鏈：如何填補法律監管“空白”？》，文章表示， 如今，把區塊鏈作為核心技術自主創新重要突破口，加快推動區塊鏈技術和產業創新發展，成為大家關注的熱點話題。毫無疑問，區塊鏈將為新一代信息技術發展帶來新機遇，引發新一輪技術創新和產業變革。而與之相隨的，是新技術新業務發展應用所帶來的法律空白和監管困境，如何在監管空白與監管過度之間找到平衡點，成為擺在立法、執法者面前的一道難題。[2019/12/6]

還記得推特對Certik的抵制嗎？因為經過他們審計的一些協議最終被黑客入侵了。

審計公司也在建立自己的聲譽。如果他們審計并評估為安全的協議被攻擊了，那就說明缺乏專業性。事實上，Certik已經審計了3422個項目，因此難怪其中一些項目遭黑客攻擊或出現漏洞。

楊東：如何保護區塊鏈行業和數字貨幣的投資者:中國人民大學教授楊東在三點鐘區塊鏈社群中談到保護區塊鏈行業和數字貨幣投資者應該：1、首先應當控制源頭，從資產端抓起，制定相關標準；2、投資者進入市場應該有一定的門檻；3、進行投資者適當性管理；4、發揮一行三會投資者保護部門的作用，加強行為監管；5、完善投資者爭議多元解決機制；6、可以考慮用區塊鏈技術建立糾紛解決、保護、教育的生態，實現可追溯的可信的糾紛解決機制，改變傳統的糾紛解決模式，實現“鏈金有法”。[2018/3/7]

僅僅進行審計并不意味著協議是安全的。我見過一些項目自豪地宣布“已完成審計”，但當你閱讀審計報告時，安全評分實際上很低。

經驗教訓是不要盲目相信公告，而是通過閱讀實際的審計報告來驗證結果。

如果不看審計報告呢？

大多數人都不看審計報告。

Certik有一個包含所有審計項目的儀表板。你可以查看“信任得分”，數字越高意味著越安全。

https://www.certik.com/

Hacken等其他審計機構也有類似的儀表板，或者你可以簡單地閱讀審計摘要。看看這個示例，由Paladin完成的TraderJoe的審計。

你可以在這里看到，TraderJoe修復了高、中等嚴重性問題，但并非所有低嚴重性問題都已解決。

https://paladinsec.co/projects/trader-joe-launchpeg/

審計只是一個開始

評估安全性還需要更多：

?充分測試

?賞金活動

?文檔透明

?管理員控制

?Oracle文檔

還有更多……親自驗證這一切簡直是噩夢。

我真的很喜歡DefiSafety正在做的事情。其ProcessQualityReview對協議進行驗證，并對其進行安全評分。

https://www.defisafety.com/app?orderBy=finalScore

根據PQR的結果，LiquityProtocol、Synthetix和AngleProtocol是所有經過驗證的DeFi協議中最安全的。

在DefiSafety上，您可以檢查每個元素，并查看協議得分最高/最差的地方。

例如，Liquidy仍需要形式化驗證(FormalVerification)。

此外，你可以從在ExponentialDeFi上對你的投資組合安全進行評級開始。

它的“評估我的錢包”功能為你提供當前投資的自定義風險分析。例如，Tetranode的450萬美元資產存入在風險較高的協議。

ElementalDeFi根據項目評估打分。評估考慮了資產風險、代碼質量和資產存放的區塊鏈的安全。

我喜歡他們簡單易懂的風險解釋。

例如，看看Abracadabra的MIM。它警告說，SPELL被用作抵押品，可能導致壞賬。

如果有疑問，就問吧！

最后，我建議加入項目社區群組，并詢問以下問題：

他們有保險基金嗎？

他們會回避問題嗎？

他們在做什么來提高安全性？

我問過Stargate團隊是否有保險基金，以防他們被黑客攻擊，但有時比我想象的更難得到答案，這是危險信號。

但無論發生什么，DeFi還很年輕，所以最好不要將所有資產都放在一個協議中。

Tags：EFIDEFIDEF區塊鏈DeFi KingdomDefiPlazaDefis數字人民幣與區塊鏈

幣贏