木星链 木星链
Ctrl+D收藏木星链
首页 > DYDX > 正文

DEFI:如何评估DeFi协议安全性的简易指南

作者:

时间:1900/1/1 0:00:00

文:Ignas | DeFi Research

编译:Zion           

责编:karen

来源:medium

FTX的崩溃证明了自我托管和风险管理的重要性。

但是,在DeFi中,有许多漏洞、rug pull、合约bug,如果你不小心,就很容易赔钱。

本文将分享如何评估DeFi协议的安全性,保护你的资产。

如果你是一个经验丰富的智能合约开发者,并且能够自己验证代码,那就太好了。但我们大多数人都不是。

这让我们别无选择,只能根据其他数据来评估项目,这涉及到一定程度的信任。

大多数人对DeFi项目的评估依据是存入智能合约的价值,这已经不是什么秘密了。因此,TVL是信任的终极证明。

英格兰银行正在探讨如何将CBDC引入现有市场:英格兰银行(BoE)正在权衡发行以英镑为单位的央行数字货币(CBDC)的利弊。他们刚发布了一份长达57页的报告,探讨了如何将CBDC引入现有市场,既充当价值存储又用于日常交易。据悉,英国中央银行逐渐意识到,数字英镑可能会破坏当前的银行体系。但是,数字货币可以利用最新的金融科技,使消费者更轻松快捷地进行交易。(Cointelegraph)[2020/3/13]

总锁定价值越高,协议的隐含安全性就越高。如果有大量的钱被存入,这意味着“有人”做了尽职调查,该协议是安全的。

不幸的是,它给人一种虚假的安全感。高TVL协议容易遭黑客攻击。同时,低TVL并不意味着协议不安全。

看看按TVL排名的头部DeFi协议。

声音 | BB:监管者不知道如何利用区块链应对非传统领域价值储存的需求:Blcok.one的CEO BB发推文表示,监管者虽然知道区块链,但他们不知道如何利用区块链技术来应对主流市场对在非传统领域价值储存的快速增长需求,而这些非传统领域更符合个人的信仰体系。[2019/4/21]

你认为TVL代表安全/保障水平吗?

是否有任何协议你不放心存入你的资金?为什么?

如果基于你在网上读到的内容做判断,你可能会产生偏见。

“不信任,要验证”是我们进行智能合约审计的原因。

如果不是这样,我们可能不需要审计,因为代码是开源的,社区可以发现代码中的所有问题。然而,社区可能没有正确的动机、激励或专业知识来验证代码。

审计人员应该具备正确的技术专长,但最终,我们也必须相信他们会把工作做好。

还记得推特对Certik的抵制吗?因为经过他们审计的一些协议最终被黑客入侵了。

声音 | 肖磊:区块链监管如何“去糟粕而留精华”存在挑战:据腾讯科技报道,肖磊发表专栏文章称,虚拟币市场有其特殊性,这可能会给监管带来一定的挑战和困扰。由于虚拟币这个概念,实际上来自于其底层技术“区块链”,如果站在监管层的角度,其中一个考虑是,去糟粕而留精华,把炒作虚拟币这个糟粕去掉,而留下“区块链”这个精华,这个可能会存在很大的挑战。[2018/8/23]

审计公司也在建立自己的声誉。如果他们审计并评估为安全的协议被攻击了,那就说明缺乏专业性。事实上,Certik已经审计了3422个项目,因此难怪其中一些项目遭黑客攻击或出现漏洞。

仅仅进行审计并不意味着协议是安全的。我见过一些项目自豪地宣布“已完成审计”,但当你阅读审计报告时,安全评分实际上很低。

国际货币基金组织主席:最终幸存下来的加密资产可能会对人们如何储蓄产生重大影响:据bitcoinist消息,国际货币基金组织(IMF)主席拉加德(Christine Lagarde)在其新的博客文章中表示,最终幸存下来的加密资产可能会对我们如何储蓄,投资和支付账单产生重大影响。拉加德指出了加密货币能够进行快速和廉价的跨境金融交易的好处,并称比特币的基础技术——分布式账本技术可能会改变金融市场的运作方式。此外,拉加德指出,智能合约的革命性,可以移除中间商,而区块链技术能够安全地存储重要文件。最后,拉加德指出,在发展中的经济体,这种进步可以帮助确保产权,增加市场信心并促进投资。[2018/4/18]

经验教训是不要盲目相信公告,而是通过阅读实际的审计报告来验证结果。

大多数人都不看审计报告。

Certik有一个包含所有审计项目的仪表板。你可以查看“信任得分”,数字越高意味着越安全。

环球银行金融电信协会与七家中央证券存管机构签署一项协议备忘录,以研究区块链如何用于交易后流程:环球银行金融电信协会(SWIFT)与七家中央证券存管机构签署了一项协议备忘录,以研究区块链如何用于交易后流程,如代理投票等。这七家机构分别是美国纳斯达克 Nasdaq Market Technology、俄罗斯国家结算存管公司(National Settlement Depository)、瑞士SIX Securities Services,南非Strate,阿布扎比证券交易所,阿根廷的Caja de Valores和智利的Depores de Central Valores。[2018/1/16]

https://www.certik.com/

Hacken等其他审计机构也有类似的仪表板,或者你可以简单地阅读审计摘要。看看这个示例,由Paladin完成的Trader Joe的审计。

你可以在这里看到,Trader Joe修复了高、中等严重性问题,但并非所有低严重性问题都已解决。

https://paladinsec.co/projects/trader-joe-launchpeg/

评估安全性还需要更多:

?充分测试

?赏金活动

?文档透明

?管理员控制

?Oracle文档

还有更多……亲自验证这一切简直是噩梦。

我真的很喜欢DefiSafety正在做的事情。其Process Quality Review对协议进行验证,并对其进行安全评分。

https://www.defisafety.com/app?orderBy=finalScore

根据PQR的结果,Liquity Protocol、Synthetix和Angle Protocol是所有经过验证的DeFi协议中最安全的。

在DefiSafety上,您可以检查每个元素,并查看协议得分最高/最差的地方。

例如,Liquidy仍需要形式化验证(Formal Verification)。

此外,你可以从在Exponential DeFi上对你的投资组合安全进行评级开始。

它的“评估我的钱包”功能为你提供当前投资的自定义风险分析。例如,Tetranode的450万美元资产存入在风险较高的(C级)协议。

Elemental DeFi根据项目评估打分。评估考虑了资产风险、代码质量和资产存放的区块链的安全。

我喜欢他们简单易懂的风险解释。

例如,看看Abracadabra的MIM。它警告说,SPELL被用作抵押品,可能导致坏账。

最后,我建议加入项目社区群组,并询问以下问题:

他们有保险基金吗?

他们会回避问题吗?

他们在做什么来提高安全性?

我问过Stargate团队是否有保险基金,以防他们被黑客攻击,但有时比我想象的更难得到答案,这是危险信号。

但无论发生什么,DeFi还很年轻,所以最好不要将所有资产都放在一个协议中。

CT中文

个人专栏

阅读更多

金色早8点

金色财经

去中心化金融社区

CertiK中文社区

虎嗅科技

区块律动BlockBeats

念青

深潮TechFlow

Odaily星球日报

腾讯研究院

标签:DEFIEFIDEF区块链DEFITDeFiDropPINETWORKDEFI区块链技术通俗讲解图

DYDX热门资讯
MAG:Magic Eden与Metaplex开撕 谁才是Solana上NFT版税话事人

FTX 破产让 Solana 生态备受打击,NFT 市场也不安宁。 NFT版税之争已愈演愈烈,不仅是以太坊,关于是否强制执行 NFT 创作者版税的问题现在也蔓延到了本就问题重重的 Solana.

1900/1/1 0:00:00
NBS:美CFTC主席在国会首次FTX听证会上呼吁加密立法

摘要:- 在 FTX 申请破产保护后,美国 CFTC 主席 Rostin Behnam 希望获得监管加密货币的新权力.

1900/1/1 0:00:00
区块链:新手指南:了解智能合约及其开发全流程

智能合约作为行业的基础术语,各位开发者耳熟能详。今天我们就来汇总一下智能合约的实际用例、应用价值和开发部署的全流程,欢迎智能合约的开发大神私信后台提供更多经验指导和开发建议.

1900/1/1 0:00:00
FTX:FTX 的覆灭让谁最受益 数据显示其市场份额已经多数被币安占据

原文来源:Ah Kek。在 FTX 破产案例之后,我们想了解 CEX 和 DEX 的交易量表现如何.

1900/1/1 0:00:00
比特币:金色早报 | Binance支持阿塞拜疆制定加密法规

▌Binance支持阿塞拜疆制定加密法规金色财经报道,加密货币交易所Binance已提出支持阿塞拜疆努力制定数字资产法规.

1900/1/1 0:00:00
UNI:解读 Uniswap 费用开关试点:UNI 代币持有者仍难以直接获得收益分配

作者:蒋海波Uniswap的收费可能真的要来了。12月2日,PoolTogether联合创始人Leighton在Uniswap治理论坛发布了一篇《“费用开关”试点更新及投票》的提案讨论文章,该文.

1900/1/1 0:00:00