DEFI:觀點 | DeFi 用戶應該向開發者提出的質詢_EOSKINGDOM

過去幾個月來，DeFi生態經歷了巨大的動蕩，數次攻擊之下，許多未被利用過的缺陷也被報道出來。

雖然代碼中無可避免會有bug，但還是有很多方法能降低缺陷發生的頻率，以及降低缺陷帶來的負面影響。

作為一個審計員，我們想要幫助DeFi用戶問一些比較尖銳的問題；問這些問題的目的，一方面是讓開發人員認真去考慮系統安全性的優先級，另一方面，讓用戶能分辨出回答得好的協議，然后把錢投入這些協議。

以下問題能幫助用戶了解DeFi開發團隊對于安全性的立場，答案不一定有對錯之分，而且也不是每個團隊都有資源全盤顧及所有方面。但不論如何，用戶有權利知道這些信息，來決定自己愿意承受的風險。

我們希望通過以下提問，促使后續開展更多正面的討論。

1.管理員權限

大部分的主流DeFi協議都存在一些中心化的機制——允許特定的“管理員”地址以強硬的手段干預協議的運行。

觀點：馬斯克相信與購買特斯拉股票相比 購買比特幣收益增長更快:對沖基金Great Hill Capital LLC管理成員Thomas Hayes表示，（特斯拉斥資15億美元購買比特幣表明）馬斯克相信，與購買特斯拉股票相比，購買比特幣獲得的收益將增長更快，能為股東帶來更好的回報，在我看來，這不是對特斯拉股票的巨大信心。不過這無疑是對比特幣的巨大信心，因為現在其他公司也將開始考慮是否應該將部分資金配置到比特幣中。（金十）[2021/2/9 19:16:13]

這樣做雖然在安全上有好處，但這意味著你必須相信這些“管理員”不會濫用他們的特權；而且但凡這些管理員遭到黑客攻擊，他們的私鑰泄露所帶來的后果會更加嚴重。

管理員賬戶可以是以下幾種形式：單一地址、多重簽名錢包，或是由DAO管理的投票過程。那么，

管理員能采取哪些措施？

觀點：去中心化網絡要向前發展，需要脫離中心化交易所來進行:此前部分交易所（幣安和Kraken）已經上線了新DOT代幣，而不是按此前約定的8月21日周五上線。一些評論人士認為，不管波卡Polkadot社區與交易所之間的情況如何，這種情況說明了一個更大的問題，即大型加密交易所可能對社區項目有害。加密市場分析師，分析平臺Quantum Economics創始人Mati Greenspan稱他對Kraken和幣安采取的行動并不感到驚訝。他說：“交易所和經紀人說到底都是生意，他們要做最有利可圖的事情。這也不是唯一的加密問題。”他表示，如果去中心化網絡要向前發展，它必須在不使用中心化交易所的情況下進行。 Loopring創始人兼首席執行官Daniel Wang也發表了類似的評論：“風險包括列出一些不良代幣和不良交易行為。因此，這種行為無法通過任何技術解決方案來解決。這是人類的行為，包括市場和信息操縱。”Bancor聯合創始人Galia Benartzi則表示，如果沒有與現有經濟模式之間的橋梁，就很難建立一個新的經濟模式。但他同時提到，雖然中心化交易和市場現在可能是常態，但加密領域不太可能繼續以這種方式運作。（Cointelegraph）[2020/8/21]

暫停整個系統？

觀點：美國大選加密捐款接受率有所上升 但仍面臨質疑:根據公共誠信中心在2018年的報告，2017-2018年選舉周期記錄了向9名聯邦候選人、政黨和超級行動委員會提供的近57萬美元加密貨幣捐款。雖然令人鼓舞，但這只是很小的數字，因為該選舉周期籌集25億美元捐款。調查反映出，越來越多人接受加密貨幣作為捐款的工具，越來越多美國公民更愿意使用數字貨幣捐款，或者使用美元和加密貨幣組合。雖然接受率有所上升，但為捐贈者提供加密貨幣捐贈選擇的人物數量并沒有相應上升。在2020大選中，只有楊安澤（已宣布退出大選）接受加密捐贈。很多人都強烈指責楊安澤用這樣的營銷策略迎合硅谷選票庫。但Nash.io聯合創始人FabioCanesin表示，“加密貨幣是互聯網原生貨幣。在社交網絡時代，如果你能接觸到公眾，這是強大的融資渠道。所以我不認為這只是一個營銷策略。”接受加密捐贈并不像很多人想象的那么容易。希望用加密貨幣為楊安澤競選捐款的個人必須與競選合規代表通話15分鐘，以便確保捐贈者是有資格投票的美國居民。另外，根據Clovr的調查，針對提問“家會利用更寬松的加密捐贈法規嗎？”，64%的受訪者選擇“是”。[2020/4/28]

修改賬戶余額？

自媒體觀點：EOS團隊或將在6月主網上線后大量拋售ETH:微信公眾號“大話數字貨幣”認為，EOS正在構建一個與以太坊競爭的平臺，且目前已經從公共錢包轉出了超過450萬個ETH，這些ETH是EOS在這場與以太坊競爭中最大的底牌。如果投資者手中持有很多ETH，那么就應該非常謹慎了，EOS的團隊公司Block.one的總部在香港，在開曼群島組建，所以他們可以輕易的把手里的ETH套現成法幣。假如在EOS平臺發布后他們大量套現手里的ETH，并利用手里的資金推動映射后EOS平臺上的EOS價格，那么，EOS必然會受到追捧并鞏固提高其市場形象，同時會毀滅性的打擊ETH價格，可謂一石二鳥，此消彼長。[2018/4/19]

設置代幣/用戶的白名單/黑名單？

升級某個子系統？

升級整個系統？

其他權限？

如果采取上述行為，是否有延遲執行機制？

如果有延遲時間，那是多長？

多少人有管理員權限？

采取上述行為前，需要經過多少管理員同意？

有哪些權限是由鏈上治理程序來掌控的嗎？

我該去哪里了解提議更新協議的提案？

以上某些問題的回答已經可以通過?

DefiWatch?跟蹤了解。

2.外部依賴

因為是公開的網絡，以太坊上充斥著不懷好意的攻擊者，因此開發者不能假設本系統外的合約一定會采取什么樣的行為。但在許多DeFi應用中又不得不作出這樣的假設，因為服務本身就是在已有的一些合約上建構出來的。

這些問題能幫助用戶了解該項目在外部依賴上存在的風險。

你的系統依賴什么預言機？

你的系統依賴什么交易所？

你用什么第三方智能合約來建立系統？

你的系統支持哪些代幣，你對這些代幣的行為模式有怎樣的預期？

3.可靠的的披露系統和獎勵計劃

對于才華橫溢的黑客來說，攻擊DeFi協議對他們有著強大的金錢誘惑。制定獎勵計劃能激勵大家發現并揭露漏洞，而非鉆漏洞。對于白帽黑客來說，通過激勵系統揭露代碼漏洞也是提高自身聲譽的好方法——既有好處又不違法。

任何公司要運行DeFi協議，或是涉及在線托管金錢的業務，都應該設有獎勵系統。你可以就他們的獎勵計劃及披露流程提出以下問題：

你們的合約代碼能夠被所有人看到嗎？

從你們的網站和git代碼庫，能夠很容易找到安全的聯系方式嗎？

你們的合約有沒有設置獎勵計劃？

哪些合約在獎勵計劃內？

獎勵計劃具體金額是？

你們是否支付過獎勵計劃的獎金？

對于bug報告，你們是否曾拒絕支付過？

從你們的網站和git代碼庫，能夠很容易地找到獎勵計劃的詳細信息嗎？

理想情況下，這些信息應該放在“website.com/security”頁面下，而且能搭配Github的SECURITY.md功能使用。

4.應急預案

當面對某些安全突發狀況的時候，新消息如潮水般涌來，用戶持續在Twitter、Telegram、Discord上提出棘手的問題......，這時候開發者很難頭腦清楚地應對突發狀況。

所以如果有應急預案的話，就能證明項目正朝著安全方向發展。要求項目公開他們完整的計劃可能不太現實，但我們還是能提出以下基礎的問題去側面了解：

你們是否有處理突發安全事件的計劃提綱？

你們的應急預案適用于哪些緊急情況？

如果你們的系統是可升級的，這些升級步驟是否記錄在案？

如果你們發現某個系統漏洞可能讓資金面臨風險，你們是否能通過應急預案先發制人，保護資金安全？

5.審計與安全發展

審計并非萬靈丹，而且審計的內容總多多少少有點區別，但對于部署任何的DeFi合約之前，進行審計是至關重要的一步。

下面的問題不一定有“正確答案”，但學識淵博的社區群眾們，應該能從項目的回答中看出開發團隊對于安全性的立場。

你們最近一次審計是什么時候？

這次審計投入了多少精力？

哪個機構做的審計？

審計報告公開嗎？

你們系統中有任何部分是沒有被涵蓋在審計的范圍內嗎？

最近一次審計之后，你們有對合約進行更新嗎？如果有，更新了什么？

你們有和哪個安全團隊進行長期合作嗎？

在合并代碼之前，開發者會彼此做codereview嗎？

你們的合約代碼中，做過單元測試的比重是多少？

審計過程中，你們用過其他的安全分析工具嗎？

原文鏈接:?https://diligence.consensys.net/blog/2020/03/questions-defi-users-should-be-asking-defi-developers/作者:?JohnMardlin翻譯&校對:?IANLIU&阿劍

Tags：DEFIEFIDEFEOSDEFI幣WDEFIMooni DeFiEOSKINGDOM

SAND