過去幾個月來,DeFi 生態經歷了巨大的動蕩,數次攻擊之下,許多未被利用過的缺陷也被報道出來。
雖然代碼中無可避免會有 bug,但還是有很多方法能降低缺陷發生的頻率,以及降低缺陷帶來的負面影響。
作為一個審計員,我們想要幫助 DeFi 用戶問一些比較尖銳的問題;問這些問題的目的,一方面是讓開發人員認真去考慮系統安全性的優先級,另一方面,讓用戶能分辨出回答得好的協議,然后把錢投入這些協議。
以下問題能幫助用戶了解 DeFi 開發團隊對于安全性的立場,答案不一定有對錯之分,而且也不是每個團隊(or 獨立開發者)都有資源全盤顧及所有方面。但不論如何,用戶有權利知道這些信息,來決定自己愿意承受的風險。
Aries:DeFi市場還處于非常早期的階段 量級有呈指數型增長趨勢:5月22日,在《佟掌柜的朋友們·礦工與農民論壇》,Aries認為借貸行業還是處于比較小眾規模的市場。未來會延伸,包括和核心資產平臺合作,對標現實生活中的一些資產。因為現在用BTC做質押,質押率可能隨著BTC漲幅不斷技術更正。但是如果在目前的抵押物里填充一部分的資產,也有一些大宗商品,如黃金、原油,可以綁定支撐一些部分價值,增加它的抵押資產使用率。7.5%的質押率在牛市里確實很高,但是在熊市里還是偏低,因為畢竟它面臨一些清算的問題。但是假設用戶在市場里已經綁定了現實生活中的穩定資產,減少了幣圈里的資金使用率,這個方向會讓NFT量級再做指數型增長。[2021/5/25 22:43:05]
我們希望通過以下提問,促使后續開展更多正面的討論。
管理員權限
大部分的主流 DeFi 協議都存在一些中心化的機制——允許特定的 “管理員” 地址以強硬的手段干預協議的運行。
DeFi 概念板塊今日平均漲幅為0.62%:金色財經行情顯示,DeFi 概念板塊今日平均漲幅為0.62%。47個幣種中15個上漲,32個下跌,其中領漲幣種為:AKRO(+36.36%)、SWFTC(+32.47%)、HOT(+20.83%)。領跌幣種為:IDEX(-10.05%)、COMP(-8.22%)、YFV(-7.98%)。[2021/3/13 18:41:21]
這樣做雖然在安全上有好處,但這意味著你必須相信這些 “管理員” 不會濫用他們的特權;而且但凡這些管理員遭到黑客攻擊,他們的私鑰泄露所帶來的后果會更加嚴重。
管理員賬戶可以是以下幾種形式:單一地址、多重簽名錢包,或是由 DAO 管理的投票過程。那么,
1.管理員能采取哪些措施?
暫停整個系統?
修改賬戶余額?
設置 代幣/用戶 的 白名單/黑名單 ?
BW.io 上線DeFi算法穩定幣挖礦,目前用戶質押已突破300萬美金:據官方消息,BW為了滿足用戶對理財收益多樣化的需求,已上線DeFi算法穩定幣挖礦,現質押已突破300萬美金。詳情見官網公告。[2021/1/5 16:29:13]
升級某個子系統?
升級整個系統?(等同于萬能...)
其他權限?
2.如果采取上述行為,是否有延遲執行機制?
3.如果有延遲時間,那是多長?
4.多少人有管理員權限?
5.采取上述行為前,需要經過多少管理員同意?
6.有哪些權限是由鏈上治理程序(即 DAO)來掌控的嗎?
7.我該去哪里了解提議更新協議的提案?
以上某些問題的回答已經可以通過 DefiWatch 跟蹤了解。
CoinW將于9月28日14時上線“鎖倉ETH領PLM空投”DeFi挖礦第七期:據官方消息,CoinW將于9月28日14:00上線“鎖倉ETH領PLM空投”DeFi挖礦第七期,鎖倉幣種為ETH,總額度500個ETH,鎖倉時間30天,全程服務0手續費,操作過程產生的gas費從收益中扣除。據悉,PlasmNetwork是基于Substrate上的一個可擴展dApps平臺,未來可作為Polkadot的平行鏈,開發者可以在Plasm網絡上構建任何應用程序。[2020/9/28]
外部依賴
因為是公開的網絡,以太坊上充斥著不懷好意的攻擊者,因此開發者不能假設本系統外的合約一定會采取什么樣的行為。但在許多 DeFi 應用中又不得不作出這樣的假設,因為服務本身就是在已有的一些合約上建構出來的。
這些問題能幫助用戶了解該項目在外部依賴上存在的風險。
1.你的系統依賴什么預言機(Oracle)?
2.你的系統依賴什么交易所?
3.你用什么第三方智能合約(如,OpenZeppelin)來建立系統?
4.你的系統支持哪些代幣,你對這些代幣(合約)的行為模式有怎樣的預期?
可靠的的披露系統和獎勵計劃
對于才華橫溢的黑客來說,攻擊 DeFi 協議對他們有著強大的金錢誘惑。制定獎勵計劃能激勵大家發現并揭露漏洞,而非鉆漏洞。對于白帽黑客來說,通過激勵系統揭露代碼漏洞也是提高自身聲譽的好方法 —— 既有好處又不違法。
任何公司要運行 DeFi 協議,或是涉及在線托管金錢的業務,都應該設有獎勵系統。你可以就他們的獎勵計劃及披露流程提出以下問題:
1.你們的合約代碼能夠被所有人看到嗎?
2.從你們的網站和 git 代碼庫,能夠很容易找到安全的聯系方式嗎?
3.你們的合約有沒有設置獎勵計劃?
4.哪些合約在獎勵計劃內?
5.獎勵計劃具體金額是?
6.你們是否支付過獎勵計劃的獎金?
7.對于 bug 報告,你們是否曾拒絕支付過?
8.從你們的網站和 git 代碼庫,能夠很容易地找到獎勵計劃的詳細信息嗎?
理想情況下,這些信息應該放在 “website.com/security” 頁面下,而且能搭配 Github 的 SECURITY.md 功能使用。
應急預案
當面對某些安全突發狀況的時候,新消息如潮水般涌來,用戶持續在 Twitter、Telegram、Discord 上提出棘手的問題......,這時候開發者很難頭腦清楚地應對突發狀況。
所以如果有應急預案的話,就能證明項目正朝著安全方向發展。要求項目公開他們完整的計劃可能不太現實,但我們還是能提出以下基礎的問題去側面了解:
1.你們是否有處理突發安全事件的計劃提綱?
2.你們的應急預案適用于哪些緊急情況?
3.如果你們的系統是可升級的,這些升級步驟是否記錄在案?
4.如果你們發現某個系統漏洞可能讓資金面臨風險,你們是否能通過應急預案先發制人,保護資金安全?
審計與安全發展
審計并非萬靈丹,而且審計的內容總多多少少有點區別,但對于部署任何的 DeFi 合約之前,進行審計是至關重要的一步。
下面的問題不一定有 “正確答案”,但學識淵博的社區群眾們,應該能從項目的回答中看出開發團隊對于安全性的立場。
1.你們最近一次審計是什么時候?
2.這次審計投入了多少精力(以標準開發者的一小時來做單位)?
3.哪個機構做的審計?
4.審計報告公開嗎?
5.你們系統中有任何部分是沒有被涵蓋在審計的范圍內嗎?
6.最近一次審計之后,你們有對合約進行更新嗎?如果有,更新了什么?
7.你們有和哪個安全團隊進行長期合作嗎?
8.在合并代碼之前,開發者會彼此做 code review 嗎(至少檢查 Solidity 文件)?
9.你們的合約代碼中,做過單元測試的比重是多少?
10.審計過程中,你們用過其他的安全分析工具嗎?
Tags:DEFDEFIEFIETHdefi community去中心化金融defi入門分析與理解DEFI S幣ETHS價格
時隔23年,美股史上第二次熔斷來了。標普開盤不久下跌7%,全市場(包含期權和股票期貨市場)暫停交易15分鐘。標普收盤225.8點,下跌7.6%,分別成為史上單天下跌點數之最和下跌百分比第17位.
1900/1/1 0:00:00金色財經報道,周四的市場崩潰使MakerDAO留下了500萬美元的漏洞,MakerDAO漏洞的最大原因是MakerDAO的喂價使用了專有的oracle,由于未完成的交易的突增而出現了故障.
1900/1/1 0:00:00(除草者,梵高) 前言:區塊鏈歷史上從來就不缺乏治理爭議,比特幣、以太坊都由此有過硬分叉。近期爭議較大的是以太坊的ProgPoW,還有前幾天的Steemit的投票事件.
1900/1/1 0:00:001.2020胡潤全球少壯派白手起家富豪榜:徐明星、李林上榜(2020年3月9日,中國上海/英國牛津/印度孟買)胡潤研究院今日發布《2020胡潤全球少壯派白手起家富豪榜》(Hurun Global.
1900/1/1 0:00:00“隱私是這個新電子時代最大的問題之一” ——安迪?葛洛夫(Andy Grove)比特幣交易是半私密性的,而不是匿名的,這是一個很重要的特征.
1900/1/1 0:00:00本周一(3月9日),美國國會眾議員 Paul Gosar正式提出了《2020 加密貨幣法案》(Crypto-Currency Act of 2020).
1900/1/1 0:00:00