以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > LTC > Info

觀點 | DeFi 用戶應該向開發者提出的質詢_DEF:EFI

Author:

Time:1900/1/1 0:00:00

過去幾個月來,DeFi生態經歷了巨大的動蕩,數次攻擊之下,許多未被利用過的缺陷也被報道出來。

雖然代碼中無可避免會有bug,但還是有很多方法能降低缺陷發生的頻率,以及降低缺陷帶來的負面影響。

作為一個審計員,我們想要幫助DeFi用戶問一些比較尖銳的問題;問這些問題的目的,一方面是讓開發人員認真去考慮系統安全性的優先級,另一方面,讓用戶能分辨出回答得好的協議,然后把錢投入這些協議。

以下問題能幫助用戶了解DeFi開發團隊對于安全性的立場,答案不一定有對錯之分,而且也不是每個團隊都有資源全盤顧及所有方面。但不論如何,用戶有權利知道這些信息,來決定自己愿意承受的風險。

我們希望通過以下提問,促使后續開展更多正面的討論。

1.管理員權限

大部分的主流DeFi協議都存在一些中心化的機制——允許特定的“管理員”地址以強硬的手段干預協議的運行。

觀點:機構投資者不會以特定價格購買BTC,而是以美元購買一定數量:1月5日,Blockstream首席戰略官Samson Mow發推表示,機構投資者不會決定以特定價格購買比特幣。他們會決定以美元購買一定數量的比特幣,通常價值數億美元,然后在一段時間內購買,不管比特幣價格走勢如何。[2021/1/5 16:29:27]

這樣做雖然在安全上有好處,但這意味著你必須相信這些“管理員”不會濫用他們的特權;而且但凡這些管理員遭到黑客攻擊,他們的私鑰泄露所帶來的后果會更加嚴重。

管理員賬戶可以是以下幾種形式:單一地址、多重簽名錢包,或是由DAO管理的投票過程。那么,

管理員能采取哪些措施?

暫停整個系統?

修改賬戶余額?

設置代幣/用戶的白名單/黑名單?

觀點:交易所鯨魚比率指數顯示BTC價格將繼續上漲:CoinDesk發文稱,區塊鏈數據公司CryptoQuant報告稱,交易所鯨魚比率(exchange whale ratio)目前低于90%,90%的水平預示著巨大的價格下跌可能迫在眉睫。該比率目前在85%左右,在這一水平比特幣價格繼續上漲的可能性很高。據悉,該指數是用交易所中最大的10筆存款的價值除以存款總額來計算的。[2020/11/21 21:32:44]

升級某個子系統?

升級整個系統?

其他權限?

如果采取上述行為,是否有延遲執行機制?

如果有延遲時間,那是多長?

多少人有管理員權限?

采取上述行為前,需要經過多少管理員同意?

有哪些權限是由鏈上治理程序來掌控的嗎?

觀點:比特幣內存池已回到2018年初泡沫破滅后的水平:Unfolded在推特上表示,比特幣內存池現已回到2018年初泡沫破滅后的水平。[2020/10/29]

我該去哪里了解提議更新協議的提案?

以上某些問題的回答已經可以通過?

DefiWatch?跟蹤了解。

2.外部依賴

因為是公開的網絡,以太坊上充斥著不懷好意的攻擊者,因此開發者不能假設本系統外的合約一定會采取什么樣的行為。但在許多DeFi應用中又不得不作出這樣的假設,因為服務本身就是在已有的一些合約上建構出來的。

這些問題能幫助用戶了解該項目在外部依賴上存在的風險。

你的系統依賴什么預言機?

你的系統依賴什么交易所?

你用什么第三方智能合約來建立系統?

觀點:現在談論瑞士加密谷變成“死亡谷”還為時過早:瑞士區塊鏈聯合會調查顯示,203家公司中,近80%的公司發出即將破產的警告。市場營銷公司Relevance House聯合創始人German Ramirez稱,現在談論加密谷變成“死亡谷”還為時過早。“在任何行業,80%的初創企業倒閉都是正常的。這和新冠病沒有特別的聯系。這是企業家在創業之前應該意識到的一部分。”隨著投資者的風險偏好,新項目的開發正在放緩。他指出,隨著后Covid世界對數字解決方案的呼聲高漲,區塊鏈等新創新將有機會出現。加密谷協會主席Daniel Haudenschild稱,經過多年來的反復打擊,該行業已形成車庫創業心態。這包括被許多銀行凍結,現在向這些銀行申請緊急貸款是個問題。“該領域的人真正相信自己在做什么。如果項目失敗,他們會重新開始另一個項目。我們不會看到生態系統出現大規模的人口外流。”救助是受歡迎的,但很難符合去中心化的精神。“加密領域的運作方法不包括靠政府救濟生存——我們不是州政府贊助的行業。”據此前報道,瑞士加密谷的財務官員正與聯邦政府就設立1億瑞士法郎基金進行談判,該基金將包括私人投資、地方政府捐款和聯邦擔保。(Swissinfo)[2020/4/28]

你的系統支持哪些代幣,你對這些代幣的行為模式有怎樣的預期?

3.可靠的的披露系統和獎勵計劃

對于才華橫溢的黑客來說,攻擊DeFi協議對他們有著強大的金錢誘惑。制定獎勵計劃能激勵大家發現并揭露漏洞,而非鉆漏洞。對于白帽黑客來說,通過激勵系統揭露代碼漏洞也是提高自身聲譽的好方法——既有好處又不違法。

任何公司要運行DeFi協議,或是涉及在線托管金錢的業務,都應該設有獎勵系統。你可以就他們的獎勵計劃及披露流程提出以下問題:

你們的合約代碼能夠被所有人看到嗎?

從你們的網站和git代碼庫,能夠很容易找到安全的聯系方式嗎?

你們的合約有沒有設置獎勵計劃?

哪些合約在獎勵計劃內?

獎勵計劃具體金額是?

你們是否支付過獎勵計劃的獎金?

對于bug報告,你們是否曾拒絕支付過?

從你們的網站和git代碼庫,能夠很容易地找到獎勵計劃的詳細信息嗎?

理想情況下,這些信息應該放在“website.com/security”頁面下,而且能搭配Github的SECURITY.md功能使用。

4.應急預案

當面對某些安全突發狀況的時候,新消息如潮水般涌來,用戶持續在Twitter、Telegram、Discord上提出棘手的問題......,這時候開發者很難頭腦清楚地應對突發狀況。

所以如果有應急預案的話,就能證明項目正朝著安全方向發展。要求項目公開他們完整的計劃可能不太現實,但我們還是能提出以下基礎的問題去側面了解:

你們是否有處理突發安全事件的計劃提綱?

你們的應急預案適用于哪些緊急情況?

如果你們的系統是可升級的,這些升級步驟是否記錄在案?

如果你們發現某個系統漏洞可能讓資金面臨風險,你們是否能通過應急預案先發制人,保護資金安全?

5.審計與安全發展

審計并非萬靈丹,而且審計的內容總多多少少有點區別,但對于部署任何的DeFi合約之前,進行審計是至關重要的一步。

下面的問題不一定有“正確答案”,但學識淵博的社區群眾們,應該能從項目的回答中看出開發團隊對于安全性的立場。

你們最近一次審計是什么時候?

這次審計投入了多少精力?

哪個機構做的審計?

審計報告公開嗎?

你們系統中有任何部分是沒有被涵蓋在審計的范圍內嗎?

最近一次審計之后,你們有對合約進行更新嗎?如果有,更新了什么?

你們有和哪個安全團隊進行長期合作嗎?

在合并代碼之前,開發者會彼此做codereview嗎?

你們的合約代碼中,做過單元測試的比重是多少?

審計過程中,你們用過其他的安全分析工具嗎?

原文鏈接:?https://diligence.consensys.net/blog/2020/03/questions-defi-users-should-be-asking-defi-developers/作者:?JohnMardlin翻譯&校對:?IANLIU&阿劍

Tags:EFIDEFDEFI比特幣JustDefiRamp DeFiGenesisDefi比特幣走勢圖實時行情

LTC
觀察 | 超200萬臺礦機關機,比特幣礦難將至?_區塊鏈:ENT

本文來源:金色財經,原題《金色觀察|超200萬臺礦機關機一文讀懂是否會有比特幣礦難》 作者:Maxwell 3月12-13日的比特幣價格暴跌還是反映在比特幣算力上了.

1900/1/1 0:00:00
DeFi風投公司Framework宣布90萬美元投資Commonwealth Labs和FutureSwap,補足DeFi缺失的一環_RES:YEFI

總部位于舊金山的專注于去中心化金融的風險投資公司FrameworkVentures已宣布對CommonwealthLabs和FutureSwap進行90萬美元的投資.

1900/1/1 0:00:00
探尋轉型新方向 8家上市公司再融資“惠顧”區塊鏈_區塊鏈:FIN

來源:證券日報 見習記者?余俊毅 自新冠肺炎疫情爆發以來,云辦公、數字化以及區塊鏈都成為火熱的轉型方向。不少企業在尋找轉型的機遇,開始了新的布局.

1900/1/1 0:00:00
視頻 | 司法區塊鏈2.0:智能合約開啟司法生態系統級新模式_AVE:Ravencoin

2019年10月24日,為推動訴源治理,從源頭化解糾紛和實現網絡空間信用再造,杭州互聯網法院上線區塊鏈智能合約司法應用系統,開啟信用生態系統級訴源治理新模式,并將其率先應用到電商領域.

1900/1/1 0:00:00
比特幣跟隨原油大漲,面臨重要阻力關口_ONE:STO

作者|哈希派分析團隊 StoneX執行首筆以美元計價的比特幣掉期交易:5月17日消息,金融服務機構StoneX Group完成其首筆以美元計價的比特幣掉期交易.

1900/1/1 0:00:00
加密貨幣“黑色”三月,交易所或成唯一的贏家_BIT:加密貨幣是什么意思圖片

來源:小蔥區塊鏈 2020年3月對于比特幣持有者來說是非常動蕩且充滿恐慌的一個月份,但在所有市場參與者中,交易所卻從這種不確定性中獲利良多.

1900/1/1 0:00:00
ads