原文:Ignas
編譯:Biteye核心貢獻者Crush
FTX的崩潰證明了自我托管和風險管理的重要性。但是在DeFi中,仍有許多漏洞、RugPull以及合約BUG,一不小心就會虧錢。
今天這篇文章,我就來說一下如何去評估一個項目的安全性,以保護好自己的資產。
如果你自己本身就是一個經驗豐富的智能合約開發者,能夠親自去驗證項目代碼的安全性,這再好不過了,但是我相信大多數人都不是。
所以沒辦法,我們只能根據其他數據去評估一個項目,這涉及到一定程度的信任。
TVL高就一定安全?
眾所周知,大多數人通過存入智能合約的資產價值來評估一個DeFi項目的好壞。因此,不少人認為TVL在一定程度上,是可以反映這個項目的安全性的。
如果鎖倉的資產越多,那么說明這個協議的安全性就越高。你可以這么想,能夠鎖倉這么多資金的協議,那這些存錢的人一定是進行了充分的調查,確認了協議的安全性才敢把錢放進去。
去中心化永續合約協議Phezzan Protocol上線zkSync2.0測試網:8月3日消息,去中心化永續合約協議Phezzan Protocol宣布其測試網上線zkSync2.0測試網。官方建議用戶使用新錢包參與測試網活動。[2022/8/3 2:55:38]
不幸的是,TVL往往給人一種錯誤的安全感。一方面,你認為高TVL的協議更加安全,但同樣黑客也會盯著這些協議進行攻擊,因為攻擊這些協議能賺取更多的利潤。另一方面,低TVL也不一定就意味著協議就不安全。
因此,僅僅通過TVL去判斷一個協議的安全性,不免有些似是而非。
我們根據TVL對現有的DeFi項目進行一個排名:
去中心化金融平臺Bella獲Tensor Investment Corporation戰略投資:去中心化金融 (DeFi) 平臺Bella剛融完數百萬美金的種子輪后就獲得私募投資公司Tensor Investment Corporation的戰略投資。Bella是Tensor布局的首個去中心化金融的投資標的。
據此前報道,一鍵式DeFi聚合器及資管平臺Bella Protocol宣布完成數百萬美元的融資,超額完成原定募資目標。本輪融資由Arrington XRP Capital領投,其他投資機構及個人包括歐洲著名風投Alphabit、Galaxy Digital聯合創始人David Namdar, BlockWall Capital創始合伙人Laurenz Apiarius、Blockstream產品總監Ben Gorlick、Koi Ventures、Force Partners、RockX、CGS Dubai、N7 Labs、Coinbene、Amedeo Capital、Alphacoin Fund、BitBlock Capital、BlueHill、Roark Fund、云上資本等。(西部經濟網)[2020/8/24]
看完這張圖后
聲音 | BB: DPoS更加去中心化:Block.one CEO Brendan Blumer今日表示:沒有區塊鏈可以證明是同盟化,EOS比 PoW更能抵制中心化,這是已證的。PoW的經濟激勵機制有利于中心化,同樣道理,DPoS的去中心化機制也是如此。在DPoS的工作機制中,Token持有者通過不斷的選舉選出21個出塊節點(BP)。權力一定程度上是聚合的,但投票者可以隨時更改他們的投票。可以這樣理解:Token持有者= 獨立的礦工, 出塊節點=礦池。(MEET.ONE)[2020/2/8]
你還認為高TVL一定代表著安全嗎?
圖中有哪些協議你覺得是不可信的?為什么?
親自驗證
「不信任,只驗證」是我們進行智能合約審計的原因。如果不是這樣,我們可能不需要審計。因為代碼是開源的,社區可以找到代碼中的所有問題。然而,社區可能沒有正確的動機、激勵或專業知識來驗證代碼。
聲音 | 寶新金融鄭磊:不能徹底否定加密數字幣的所有潛在的使用場景 不要過于理想化地去中心化:據證券日報12月6日消息,港股上市公司寶新金融(01282.HK)首席經濟學家、全球金融科技實驗室專家顧問鄭磊表示,我認為,我們不能因為目前加密數字幣是區塊鏈公有鏈應用,就徹底否定加密數字幣的所有潛在的使用場景。從更廣的角度來看,加密數字幣屬于通證范疇,我一直在研究通證經濟,發現有很多公鏈應用場景必須用到通證,但是這些通證不會成為類似貨幣的東西,有些可能只作為一種結算記賬工具,所以也不會對已有貨幣金融體系造成沖擊,那么,這樣的公有鏈應用并沒有問題。另外,我們在應用公有鏈時,需要注意的是“去中心化”理念的實現,要結合應用場景和社會實際情況,不要過于理想化地去中心化,比如有人夸張地宣稱人人都可以自由發幣,這是錯覺,稍有歷史、和經濟常識的人,都知道這并不具可行性。當然,也有人與我的觀點相左,這種認知差距不容易彌合,大家可以多聽聽、多想想,自己找出答案。[2019/12/6]
因此審計人員必須要足夠專業,但更加重要的是,審計人員自己不能出問題。例如,著名審計公司Certik經手審核的不少項目仍然被黑了,可以說是防不勝防。
獨家 | 智能合約權利集中在一人手中還是去中心化嗎:近期有部分智能合約具有“上帝賬戶”的話題在網上被熱炒,引起用戶的廣泛關注。降維安全(www.johnwick.io)站在第三方的角度對此熱點事件進行了分析。
1、事件起因:7月9日,Bancor去中心化交易所Token被盜,平臺方為了追回被盜資產,利用管理員權限鎖定了被盜資產,從而引發了平臺方管理員權限過高的討論。部分安全公司對此行為進行聲討,認為高權限賬戶完全背離了區塊鏈去中心化的核心思想,對眾多用戶資產安全造成了嚴重的安全威脅。
2、降維安全認為:
1)拋開業務談安全是沒有意義的。比如:有些項目方在升級智能合約時,確實需要通過新的智能合約高權限賬戶為舊合約的用戶進行空投,在升級完成后再將此賬戶禁用。要開展此類業務就無法離開高權限賬戶。
2)權限應與業務發展相匹配。隨著業務發展,初期的高權限賬戶應該逐步降低權限,做到真正的去中心化,以保證用戶的資產安全、樹立項目方良好的商譽。高權限賬戶有些的確是業務需求,完成相應需求后,應該關閉此賬戶權限。
降維安全僅從7月1日開始至今審計過的近200份智能合約中,已為合作交易所攔截擁有此類權限的智能合約18個,其中17個已經在降維安全的協助下進行整改。大部分項目方還是積極的配合了整改工作,將用戶的資產安全放在了第一位。[2018/7/19]
同時,審計公司也在建立自己的聲譽。如果他們審核的協議被黑,則給人一種不專業的印象。事實上,Certik已經審核了超過3422個項目,所以其中一些項目遭到黑客攻擊或存在漏洞也是難以避免的。
所以僅僅進行是通過審計,并不意味著協議是安全的。我見過一些項目自豪地宣布「完成審計」,但當你閱讀審計報告時,卻發現他們的安全分數實際上很低。
這給我的教訓是,不要盲目相信項目方的審計公告,而是通過閱讀實際審計報告來驗證結果。
我不愛讀審計報告怎么辦?
事實上,大多數人都不會閱讀審計報告,不過Certik有一個包含所有已審項目的數據看板,在這個看板里面,你可以檢查項目的「信任分數」,數字越高表示安全。
其它審計機構,例如Hacken,也會有類似的數據看板。或者你可以簡單地閱讀一下審計摘要,例如下面這個TraderJoe的例子,它是由Paladin審計完成的。
通過這里的數據我們不難看出,TraderJoe修復了所有的中高風險問題,但是在低風險問題上,卻仍有部分未進行修復。
審計只是開始
評估一個項目的安全性,還需要考慮更多:
充分的測試
賞金活動
文檔的公開透明
管理控制
Oracle文檔
要考慮的方面那可太多了,要是全部都親自驗證,恐怕先得累死。說到這里,我們就不得不提到DeFiSafety。它會對這些協議進行一個驗證,然后給出安全評分。
根據它們提供的結果,我們可以很清楚地看到,LiquityProtocol、Synthetix以及AngleProtocol是所有經過驗證的DeFi協議中最安全的。
在DefiSafety上,你還可以查看更多細節部分的內容。例如,Liquidyprotocol仍然需要形式驗證。
此外,你還可以通過ExponentialDeFi,對錢包的投資組合進行一個安全性評估。
「評價錢包」功能會為你提供當前投資的風險分析。例如,在Tetranode的資產中,就有450萬美元的資產是被存入在風險較高的協議中。
ExponentialDeFi會根據項目評估給出評分,評估考慮了資產風險、代碼質量和資產存放的區塊鏈的安全性。這種簡單易懂的風險說明,讓我愛不釋手。
就拿Abracadabra的穩定幣MIM來舉例,它會直接給出警告:SPELL被用作抵押品可能會導致壞賬。
不懂就問
最后一個要給大家介紹的方法就是,直接加入項目的社區,然后思考一下下面幾個問題:
他們有保險基金嗎?
他們會回避提問嗎?
他們正在做什么來提高安全性?
例如我之前就曾問過Stargate團隊,他們是否擁擁有保險基金,以防止項目被黑客入侵。但是有時想要得到一個準確的答案,卻并不是那么簡單,項目方往往會各種拐彎抹角地回避問題。這似乎是一種危險信號,讓人不得不提高警惕。
但是無論發生什么,DeFi都還很年輕,還有很長的路要走,所以最好不要把所有的雞蛋都放在一個籃子里!
翻譯?|?GaryMa吳說區塊鏈 FTX/SBF 大家好,我對所發生的事深感抱歉。我對你們所有人的遭遇感到遺憾。我對發生在用戶身上的事感到遺憾。你為FTX付出了一切,支持公司和我.
1900/1/1 0:00:00本文對于TradFi和DeFi為何應當以及如何進行深入集成的思路,更多的可能性有待行業參與者繼續探索。我們相信,下一個DeFi盛夏將伴隨DeFi和TradFi的深度集成而來.
1900/1/1 0:00:00CeFi信任危機 FTX作為行業僅次于幣安的第二大加密生態,在短時間內遭遇擠兌,突然暴雷,震驚了整個加密貨幣世界。我們應該重新審視CEX的風險.
1900/1/1 0:00:00要點總結 Crypto衍生品交易最早始于2011年,但是在BitMEX發明了永續合約之后才算正式開始新的篇章.
1900/1/1 0:00:00作者:XiaoZ@iNFTnews.com11月15日,百度旗下DuDuLab發行的DuDuBearNFT已完成鑄造,NFT搭建于以太坊上,鑄造價格為0.02ETH,發售價格為0.05ETH.
1900/1/1 0:00:00文:LUKEHOGG 美國國會應該避免陷入道德恐慌,而應制定立法,為加密貨幣行業提供監管透明度.
1900/1/1 0:00:00