原文:Ignas
編譯:Biteye核心貢獻者Crush
FTX的崩潰證明了自我托管和風險管理的重要性。但是在DeFi中,仍有許多漏洞、RugPull以及合約BUG,一不小心就會虧錢。
今天這篇文章,我就來說一下如何去評估一個項目的安全性,以保護好自己的資產。
如果你自己本身就是一個經驗豐富的智能合約開發者,能夠親自去驗證項目代碼的安全性,這再好不過了,但是我相信大多數人都不是。
所以沒辦法,我們只能根據其他數據去評估一個項目,這涉及到一定程度的信任。
TVL高就一定安全?
眾所周知,大多數人通過存入智能合約的資產價值來評估一個DeFi項目的好壞。因此,不少人認為TVL在一定程度上,是可以反映這個項目的安全性的。
如果鎖倉的資產越多,那么說明這個協議的安全性就越高。你可以這么想,能夠鎖倉這么多資金的協議,那這些存錢的人一定是進行了充分的調查,確認了協議的安全性才敢把錢放進去。
去中心化外匯平臺 Vertex Protocol 公共測試網正式上線 Arbitrum:11月22日消息,去中心化外匯平臺 Vertex Protocol 發推表示,Vertex 公共測試網正式上線。據悉,Vertex 是一個建立在 Arbitrum 網絡上的一個 CLOB,交叉保證金(全倉模式)的 DEX 協議,包含現貨、合約期貨與貨幣市場。
據悉,Vertex 原計劃上線 Terra,最終決定上線 Arbitum。今年 4 月 26 日,Vertex Protocol 完成 850 萬美元種子輪融資,領投方包括 Hack VC、Dexterity Capital、Jane Street、Hudson River Trading 等。[2022/11/22 7:56:36]
不幸的是,TVL往往給人一種錯誤的安全感。一方面,你認為高TVL的協議更加安全,但同樣黑客也會盯著這些協議進行攻擊,因為攻擊這些協議能賺取更多的利潤。另一方面,低TVL也不一定就意味著協議就不安全。
去中心化數據基礎架構Stratos推出Stratos Chain測試網:官方消息,去中心化數據基礎架構Stratos(STOS)宣布推出Stratos Chain測試網1.0版本,并在Github上開源。Stratos提供可擴展、可靠、自我平衡的存儲、數據庫和計算網絡。[2021/7/8 0:36:28]
因此,僅僅通過TVL去判斷一個協議的安全性,不免有些似是而非。
我們根據TVL對現有的DeFi項目進行一個排名:
看完這張圖后
你還認為高TVL一定代表著安全嗎?
圖中有哪些協議你覺得是不可信的?為什么?
親自驗證
Algorand將采取共識升級投票機制對去中心化治理計劃進行全網公投:公鏈Algorand將采取共識升級投票機制對去中心化治理計劃進行全網公投,所有參與共識的Algorand在線賬戶都能參與此次公投。
用戶可通過注冊賬戶并運行共識參與節點進行投票,如果在15000000區塊高度(預計2021年7月14日)時或在此之前,升級版本被網絡所接受,該公投就會通過。如果去中心化治理公投通過,第一期治理將于2021年10月1日開啟。用于給初始階段滿足所有標準的治理者的獎勵池總額為1.318億ALGO。參與此次公投沒有額外獎勵。[2021/6/11 23:30:34]
「不信任,只驗證」是我們進行智能合約審計的原因。如果不是這樣,我們可能不需要審計。因為代碼是開源的,社區可以找到代碼中的所有問題。然而,社區可能沒有正確的動機、激勵或專業知識來驗證代碼。
因此審計人員必須要足夠專業,但更加重要的是,審計人員自己不能出問題。例如,著名審計公司Certik經手審核的不少項目仍然被黑了,可以說是防不勝防。
去中心化交易所Switcheo集成UniswapV2上16個交易對:去中心化交易所Switcheo宣布已集成了UniswapV2的代幣,最新的整合將在現有的KyberSwap和UniswapV1基礎上提供額外的流動性。與UniswapV2流動性集成的代幣包括ANT、ALEPH、BAT、CEL、COMP等16個相關交易對。[2020/7/15]
同時,審計公司也在建立自己的聲譽。如果他們審核的協議被黑,則給人一種不專業的印象。事實上,Certik已經審核了超過3422個項目,所以其中一些項目遭到黑客攻擊或存在漏洞也是難以避免的。
所以僅僅進行是通過審計,并不意味著協議是安全的。我見過一些項目自豪地宣布「完成審計」,但當你閱讀審計報告時,卻發現他們的安全分數實際上很低。
聲音 | BM:正在研究去中心化的社交網絡作為 Voice 的對應產品:BM 剛剛現身電報群回應并分享了 Block.one 開發團隊的動態:
1.B1 有太多工作要做,但我們的開發者還不夠多,我們在負起責任的同時也在以最快的速度進行招聘、培訓和成長;
2.我們的最新測試顯示,可維持 3800 tps 且不會中斷 21 節點網絡上的事務。我們正在研究數據庫解決方案和多線程執行,以達到更高的目標。我們擁有一個專門從事自動化性能測試的完整團隊;
3.有成員問:是否有可能將匿名交易集成到 EOS 當中?BM:我還在研究,已經有了一些進展,但我首先要處理關于 EOS 和 Voice 方面的工作;
4.我正在研究一個完全私人的,200% 去中心化的社交網絡作為 Voice 的對應產品,兩種產品我們都需要。[2019/6/13]
這給我的教訓是,不要盲目相信項目方的審計公告,而是通過閱讀實際審計報告來驗證結果。
我不愛讀審計報告怎么辦?
事實上,大多數人都不會閱讀審計報告,不過Certik有一個包含所有已審項目的數據看板,在這個看板里面,你可以檢查項目的「信任分數」,數字越高表示安全。
其它審計機構,例如Hacken,也會有類似的數據看板。或者你可以簡單地閱讀一下審計摘要,例如下面這個TraderJoe的例子,它是由Paladin審計完成的。
通過這里的數據我們不難看出,TraderJoe修復了所有的中高風險問題,但是在低風險問題上,卻仍有部分未進行修復。
審計只是開始
評估一個項目的安全性,還需要考慮更多:
充分的測試
賞金活動
文檔的公開透明
管理控制
Oracle文檔
要考慮的方面那可太多了,要是全部都親自驗證,恐怕先得累死。說到這里,我們就不得不提到DeFiSafety。它會對這些協議進行一個驗證,然后給出安全評分。
根據它們提供的結果,我們可以很清楚地看到,LiquityProtocol、Synthetix以及AngleProtocol是所有經過驗證的DeFi協議中最安全的。
在DefiSafety上,你還可以查看更多細節部分的內容。例如,Liquidyprotocol仍然需要形式驗證。
此外,你還可以通過ExponentialDeFi,對錢包的投資組合進行一個安全性評估。
「評價錢包」功能會為你提供當前投資的風險分析。例如,在Tetranode的資產中,就有450萬美元的資產是被存入在風險較高的協議中。
ExponentialDeFi會根據項目評估給出評分,評估考慮了資產風險、代碼質量和資產存放的區塊鏈的安全性。這種簡單易懂的風險說明,讓我愛不釋手。
就拿Abracadabra的穩定幣MIM來舉例,它會直接給出警告:SPELL被用作抵押品可能會導致壞賬。
不懂就問
最后一個要給大家介紹的方法就是,直接加入項目的社區,然后思考一下下面幾個問題:
他們有保險基金嗎?
他們會回避提問嗎?
他們正在做什么來提高安全性?
例如我之前就曾問過Stargate團隊,他們是否擁擁有保險基金,以防止項目被黑客入侵。但是有時想要得到一個準確的答案,卻并不是那么簡單,項目方往往會各種拐彎抹角地回避問題。這似乎是一種危險信號,讓人不得不提高警惕。
但是無論發生什么,DeFi都還很年輕,還有很長的路要走,所以最好不要把所有的雞蛋都放在一個籃子里!
Tags:TRAERTDEFIEFISwapTrackerAmberTime Coindefi幣今日行情Earn DeFi Coin
新火科技控股有限公司今日宣布,因吳樹鵬先生有意尋求其他業務發展,決定辭任執行董事及首席執行官。與此同時,杜均先生獲委任為公司執行董事及首席執行官,未來將帶領新火科技進一步推動數字資產業務的多元化.
1900/1/1 0:00:00文:LUKEHOGG 美國國會應該避免陷入道德恐慌,而應制定立法,為加密貨幣行業提供監管透明度.
1900/1/1 0:00:00感謝JS省律師協會金融委邀請,與諸位法律圈朋友分享近期觀察到的金融科技領域的法律問題。一家之言,僅供參考。今天我講的主題是:金融科技行業的法律熱點.
1900/1/1 0:00:00參考消息網11月19日報道據西班牙《國家報》網站11月13日報道,比特幣大跌對薩爾瓦多造成“致命打擊”。最近一段時間是加密貨幣的一個重要歷史節點.
1900/1/1 0:00:00作者:Nancy 相比GBTC的贖回有來自SEC的監管不確定性,stETH的贖回只是時間的問題,但短期的流動性或面臨壓力.
1900/1/1 0:00:00作者:XiaoZ@iNFTnews.com11月15日,百度旗下DuDuLab發行的DuDuBearNFT已完成鑄造,NFT搭建于以太坊上,鑄造價格為0.02ETH,發售價格為0.05ETH.
1900/1/1 0:00:00