DeFi 項目問題太多？是時候讓用戶向開發人員提出一些問題了_DEF:EFI

最近幾個月，DeFi 行業經歷了一些動蕩，不少攻擊和未披露漏洞被曝光。

雖說 Bug 不可避免，但如果采取一些有效措施仍可減少問題發生的頻率、并降低由此帶來的負面影響。

作為審核員，我們希望在這方面提供一些幫助。為了讓開發人員可以優先考慮安全性問題，用戶做好能早點提出一些棘手問題，只有當這些問題得到滿意答復之后，才能放心把錢投入到相應的協議項目里。

要想搞清楚 DeFi 項目開發團隊的安全立場，本文會列出的一些有用的問題，這些問題的答案并不能簡單地用「對 / 錯」來衡量，因為某些團隊（或獨立開發人員）可能并沒有足夠資源來解決所有問題。事實上，用戶只能根據自己所能獲得到的信息來判斷是否愿意承受相應的風險級別。

當然，我們希望下面這些問題能夠推動 DeFi 項目朝正確的方向發展。

數據：當前DeFi協議總鎖倉量為1890.5億美元:金色財經報道，據defillama數據顯示，目前DeFi協議總鎖倉量1890.5億美元，重復率約為39.4%，真實總鎖倉量1145.64億美元。鎖倉資產排名前五分別為Curve（143.3億美元）、AaveV2（137.1億美元）、instadapp（126.3億美元）、Compound（115億美元）、PancakeSwap（103億美元）。[2021/10/2 17:21:10]

大多數知名 DeFi 協議都是以某種形式被中心化控制的，支持特定「管理員」以強有力的方式進行干預。

雖然這種方式在安全性上有些好處，但也意味著你必須信任管理員不會濫用自己的特權。另一方面，如果攻擊者竊取了管理員私鑰及其附帶的所有特權，那么也會增加項目風險。

朱嘉偉：CeFi適合復雜的金融場景，DeFi適合更簡單、自動化的應用場景:10月27日~10月28日，火幣七周年峰會在線上舉行，此次峰會以“無限未來——2020年 區塊鏈大航海時代”為主題，邀請業界精英共同論道行業發展。在本次峰會“風吹幡動，數字資產價值邏輯的變遷與洞察”板塊中，火幣集團COO朱嘉偉發表了主題演講。朱嘉偉表示，DeFi和CeFi都是為了滿足用戶的需求而存在，只是服務用戶的形式不同而已。CeFi更適合復雜的金融場景，通過人為和經驗的判斷為用戶做出更好的信用和風險評估，并且在產品服務的靈活性上、流動性上都有諸多優勢。而DeFi則適合更簡單、自動化的應用場景，比如數字資產的抵押借貸。在簡單的模式下，DeFi使得整個過程變得更加高效，成本變得更低。[2020/10/27]

管理員賬戶通常會采用幾種可能的形式，包括：對單個地址、多重簽名錢包、以及由投票流程控制的去中心化自治組織（DAO）。這里要詢問的安全性問題包括：

GOKO平臺將于近期上線流動性挖礦Defi項目JFI:據官方消息，GOKO平臺將于近期上線JustSwap流動性挖礦Defi項目JFI。JFI總量2.1萬枚，基于JustSwap，一共3個流動性挖礦池。每個池子可挖總量為7000枚。第一周可挖3500枚，第二周1750枚，每周減半，10周挖完。一鍵defi挖礦聚合協議for JustSwap，讓用戶一鍵最大化挖礦收益，并在交易速度更快、gas費用更低的Tron網絡上部署，給Tron的用戶提供defi收益挖礦最大化的工具。

GOKO是一個社區化治理的加密資產交易平臺，公平、公正、安全可信賴，是一家社區友好型的交易所。目前GOKO交易所已獲得節點資本戰略投資。[2020/8/29]

     管理員可以采取哪些特殊措施？

能否暫停系統？

DeFi項目年化收入排行：Tokenlon收入770萬美元:據Token Terminal數據顯示，DeFi項目年化收入排行榜中，Tokenlon年化收入達770萬美元。據悉，Tokenlon累積交易量已突破6.4億美元，Tokenlon獨創的聚合報價模式，讓用戶在錢包內即可使用Tokenlon進行閃電兌換，享受更好的價格和深度。

值得一提的是排名前十的項目中，除了Uniswap，Tokenlon和dYdX尚未發行代幣，其它項目均已發行代幣，總估值近160億美元。

據悉，Tokenlon是基于0x協議的去中心化交易所，不同于Uniswap和Kyber，Tokenlon采用“所見即所得”交易模式，根據做市商的實時報價每秒更新價格，用戶通過imToken錢包點擊“兌換”鎖定價格，顯示價格即最終成交價。[2020/8/24]

能否修改余額？

動態 | DeFi項目鎖倉價值11.1億美元 過去一周環比減少2.17%:據DAppTotal.com DeFi專題頁面數據顯示：截至目前，已統計的33個DeFi項目共計鎖倉資金達11.1億美元，其中EOSREX鎖倉3.31億美元，占比29.88%，排名第一位；Maker鎖倉3.12億美元，占比28.18%，排名第二位；排名第三位的是Edgeware鎖倉1.49億美元，占比13.5%；Compound，Synthetix、dYdX、Nuo等其他DeFi類應用共占比28.44%。截至目前，ETH鎖倉總量達329.19萬個，占ETH市場總流通量的3.04%，EOS鎖倉總量達1.05億個，占EOS市場總流通量的10.18%。過去一周，整體而言：1、Maker大幅降低借款利率至5.5%，受此影響一周DAI借出總量為799萬個，較上周環比增加25%；2、受EIDOS空投的影響，市場對EOS需求大幅增加，EOSREX鎖倉減少434萬個EOS；3、DeFi項目整體鎖倉價值較上周環比減少2.17%。[2019/11/4]

能否將代幣 / 用戶列入白名單 / 黑名單？

能否升級系統子集？

能否升級所有系統（等同于無所不能）？

是否具有實施其他特殊措施的能力？

上述行為中，哪些會有時延、哪些沒有？

如果有時延，具體會延長多久時間？

有多少人具有管理員權限？

在執行某些操作之前，必須獲得多少個管理員批準？

是否有任何行政行為被鏈上治理控制，比如 DAO？

對于擬議的協議更改，可以在哪里查詢到最新狀態？

上述某些信息已能在 DefiWatch 中進行跟蹤。

以太坊區塊鏈中充滿對抗性參與者，一般而言，開發人員應該盡量避免對其他系統的合約行為作出任何假設。然而在許多 DeFi 應用中，這幾乎是不可能的，因為服務本身就是建立在現有合約之上。

因此在涉及有關外部依賴關系風險時，下面這些問題可能會有一定幫助：

你的系統依賴哪些預言機？

你的系統依賴哪些交易所？

你的系統使用了哪些第三方智能合約來構建（比如 OpenZeppelin）？

你的系統支持哪些代幣？你對這些代幣的功能做了哪些假設？

對于那些高智商黑客而言，攻擊 DeFi 協議能讓他們獲得巨大的經濟收益。因此你其實可以嘗試制定一個賞金計劃，為提供系統漏洞的人提供一些資金獎勵，這樣就能減少漏洞被黑客利用。實際上，通過賞金計劃舉報漏洞對黑客聲譽也有好處，因為這樣他們就不必通過非法手段來獲利了。

出于對客戶資金保護的目的，任何一家運行 DeFi 協議的公司都應該考慮黑客賞金計劃，對此我們可以針對相關計劃和披露流程提出以下一些問題：

你的合約源代碼是否能公開獲得？

能否在你的網站和 GitHub 代碼庫上快速找到安全聯系信息？

你的合約上有賞金計劃嗎？

賞金計劃包含了哪些合約？

賞金額度范圍有多少？

你此前是否支付過賞金？

你此前是否拒絕為報告 Bug 的人支付賞金？

能否在你的網站和 GitHub 代碼庫上快速找到賞金計劃的細節內容？

理想情況下，這些信息都可以在項目官方網站的安全網頁 / 欄目中找到，或是利用 GitHub 的 SECURITY.md 功能也能找到相關信息。

在遭遇安全事件時，隨著各種新信息不斷涌入，開發人員通常很難理清思路，因為會有大量用戶在 Twitter、Telegram、Discard 上提出各種各樣的棘手問題……

所以，你需要制定計劃來確保安全事件朝著健康的方向發展。雖然對于 DeFi 項目團隊而言公開完整計劃可能沒有太大意義，但他們最好能夠回答以下幾個問題：

你是否有書面計劃概述如何處理安全事件？

你的計劃考慮了哪些方案？

如果你的系統是可升級的，那么所有執行操作步驟是否被記錄在案？

如果發現了導致資金面臨風險的漏洞，你是否會先發制人處理問題以保護資金安全？

審計不是萬靈藥，也不是所有審計都能做到公平對待。但是對于 DeFi 合約而言，正式部署之前進行安全審計仍是至關重要的一步。

雖然不是每個問題都能有「正確答案」，但項目開發團隊給予的反饋和回復至少能讓社區成員可以了解他們的安全立場，下面這幾個問題值得關注：

你的項目上一次審計是在什么時候？

審計工作需要多少工作量（以人 / 小時為單位）？

哪家公司對你進行的審計？

審計報告是公開的嗎？

你的系統有哪些部分被排除在審計之外了？

自從上次審計以來，你的合約是否升級？如果升級了，發生了哪些變化？

你是否與安全公司保持長期關系？

在代碼合并之前，開發人員是否會在 GitHub 里檢查彼此的 Pull Request （至少在 Solidity 文件里）？

單元測試會涵蓋合約代碼的哪些部分？

流程中是否使用過任何其他安全分析工具？

對于有興趣跟進這些問題的 DeFi 用戶，另一個值得關注的項目是 ConsenSys 的 DeFi Score，該項目正在執行一項艱巨的任務，即評估各個主要 DeFi 項目上的審計質量和其他安全流程質量。

最后，謝謝 Emilio 和 Ernesto （Telegram 上的 @eboado），他們都是 Aave 開發人員，以及 DeFi Score 的 Jack 為本文早期草稿提供的反饋。

來源鏈接：diligence.consensys.net

撰文：John Mardlin，ConsenSys Diligence 安全工程師翻譯：盧江飛

Tags：EFIDEFIDEFTOKENbeFITTER HealthLendefiPhoenix Defi Financetokencan交易所怎么樣

Luna