區塊鏈:觀點：DeFi用戶應該向開發者提出的質詢

編者按：本文來自：以太坊愛好者，作者：JohnMardlin，翻譯&校對:IANLIU&阿劍，Odaily星球日報經授權轉載。過去幾個月來，DeFi生態經歷了巨大的動蕩，數次攻擊之下，許多未被利用過的缺陷也被報道出來。雖然代碼中無可避免會有bug，但還是有很多方法能降低缺陷發生的頻率，以及降低缺陷帶來的負面影響。作為一個審計員，我們想要幫助DeFi用戶問一些比較尖銳的問題；問這些問題的目的，一方面是讓開發人員認真去考慮系統安全性的優先級，另一方面，讓用戶能分辨出回答得好的協議，然后把錢投入這些協議。以下問題能幫助用戶了解DeFi開發團隊對于安全性的立場，答案不一定有對錯之分，而且也不是每個團隊都有資源全盤顧及所有方面。但不論如何，用戶有權利知道這些信息，來決定自己愿意承受的風險。我們希望通過以下提問，促使后續開展更多正面的討論。1.管理員權限

觀點：區塊鏈正在構建政府服務的基礎設施，并將改變政府服務:9月26日消息，Matthew Van Niekerk表示，區塊鏈政府不僅將區塊鏈用于身份和投票等基本服務，還將作為經濟增長的框架。區塊鏈技術現在正在構建政府服務的基礎設施。該技術已達到國家戰略重要性的最高水平，中國和歐洲在建立區塊鏈基礎設施方面的努力證明了這一點，雖然無法準確預測全球區塊鏈基礎設施將采用何種形式，但可以肯定的是，該技術正在崛起。（Cointelegraph）[2021/9/26 17:08:13]

大部分的主流DeFi協議都存在一些中心化的機制——允許特定的“管理員”地址以強硬的手段干預協議的運行。這樣做雖然在安全上有好處，但這意味著你必須相信這些“管理員”不會濫用他們的特權；而且但凡這些管理員遭到黑客攻擊，他們的私鑰泄露所帶來的后果會更加嚴重。管理員賬戶可以是以下幾種形式：單一地址、多重簽名錢包，或是由DAO管理的投票過程。那么，管理員能采取哪些措施？暫停整個系統？修改賬戶余額？設置代幣/用戶的白名單/黑名單？升級某個子系統？升級整個系統？其他權限？如果采取上述行為，是否有延遲執行機制？如果有延遲時間，那是多長？多少人有管理員權限？采取上述行為前，需要經過多少管理員同意？有哪些權限是由鏈上治理程序來掌控的嗎？我該去哪里了解提議更新協議的提案？以上某些問題的回答已經可以通過DefiWatch跟蹤了解。2.外部依賴

觀點：比特幣是比黃金更好的美元對沖工具:Cointelegraph今日發表分析文章稱，自黑色星期四以來，比特幣(BTC)已經成為比黃金更好的對沖美元的工具。在通貨膨脹的大環境下，比特幣開始被傳統投資者視為法幣之外的一種可行的選擇。此外，它較黃金也有一定的優勢，如固定供應量和即時轉移性等。[2020/7/30]

因為是公開的網絡，以太坊上充斥著不懷好意的攻擊者，因此開發者不能假設本系統外的合約一定會采取什么樣的行為。但在許多DeFi應用中又不得不作出這樣的假設，因為服務本身就是在已有的一些合約上建構出來的。這些問題能幫助用戶了解該項目在外部依賴上存在的風險。你的系統依賴什么預言機？你的系統依賴什么交易所？你用什么第三方智能合約來建立系統？你的系統支持哪些代幣，你對這些代幣的行為模式有怎樣的預期？3.可靠的的披露系統和獎勵計劃

觀點：區塊鏈項目治理方式選擇應考慮籌碼分布、項目愿景等因素:7月6日，LongHash發文《Tezos、Polkadot以及以太坊之間的區塊鏈治理之戰》。文章稱，區塊鏈治理問題中第一個核心問題在于采取鏈下治理還是鏈上治理。鏈上治理項目如Tezos和Polkadot已表明了鏈上治理的優勢，即主要通過類似PoS的共識機制，以一幣一票的形式進行項目治理，提案一旦獲得通過就會自動升級，不會產生硬分叉。Tezos主網上線兩年已進行三次升級，也彰顯了鏈上治理的優勢。而與此相反，鏈下治理的問題主要在于，如果核心開發者的決定未能得到其他用戶的支持，項目則會大概率被硬分叉。而硬分叉是項目都不愿意看到的，因為硬分叉會分裂項目社區，損害其網絡效應。但與此同時文章也提到，鏈上治理也有其缺陷，即巨鯨引導的“財閥統治”。如Kusama公投事件中，由于權力過大，Web3基金會和開發公司Parity無論投票與否都會招致非議。同時按照Mallika Parlikar對區塊鏈項目利益方，即開發者、節點運營商、持幣用戶及普通用戶的劃分，大多數的區塊鏈項目的普通用戶數量并不滿足應有的模型。即使是擁有大量普通用戶的以太坊，普通用戶的治理權重仍值得商榷。而大多數項目鏈下治理主要還是由核心開發者主導，是否聽取社區意見取決于開發者。而這在鏈上治理中，則會帶來不同情況。如Tezos項目 ，其開發者、節點運營商和持幣用戶在一定程度上是高度重合的。[2020/7/6]

對于才華橫溢的黑客來說，攻擊DeFi協議對他們有著強大的金錢誘惑。制定獎勵計劃能激勵大家發現并揭露漏洞，而非鉆漏洞。對于白帽黑客來說，通過激勵系統揭露代碼漏洞也是提高自身聲譽的好方法——既有好處又不違法。任何公司要運行DeFi協議，或是涉及在線托管金錢的業務，都應該設有獎勵系統。你可以就他們的獎勵計劃及披露流程提出以下問題：你們的合約代碼能夠被所有人看到嗎？從你們的網站和git代碼庫，能夠很容易找到安全的聯系方式嗎？你們的合約有沒有設置獎勵計劃？哪些合約在獎勵計劃內？獎勵計劃具體金額是？你們是否支付過獎勵計劃的獎金？對于bug報告，你們是否曾拒絕支付過？從你們的網站和git代碼庫，能夠很容易地找到獎勵計劃的詳細信息嗎？理想情況下，這些信息應該放在“website.com/security”頁面下，而且能搭配Github的SECURITY.md功能使用。4.應急預案

聲音 | 觀點：數字匯款接近960億美元，傳統提供商收取的費用為加密貨幣打開大門:在勞動力追隨資本的全球化世界里，匯款行業在數量和用戶兩方面都在不斷增長。銀行和轉賬公司等傳統服務提供商一直在收取高額服務費，這為替代數字平臺和去中心化加密貨幣創造了機會。根據市場數據提供商Statista收集的數據，到2020年，通過互聯網進行的數字匯款，跨境轉賬的總交易價值已達到近959.6億美元，同比增長超過21％。同時，匯款市場這一部分的用戶數量估計為850萬（同比增長20.5％）。兩項指標預計到2023年將增加，交易量將超過1,430億美元，用戶將達到1,320萬。該報告的作者指出，匯款通常是定期進行的，大多數用戶群體并不傾向于經常更換其資金轉帳服務提供商。該行業由銀行，郵局等已建立的服務提供商和Western Union和Moneygram等匯款處理商主導。Statista指出，他們收取的較高費用為另類平臺開辟了道路，這些平臺已通過優化數字基礎架構的使用設法降低了成本。（News.Bitcoin）[2020/2/14]

當面對某些安全突發狀況的時候，新消息如潮水般涌來，用戶持續在Twitter、Telegram、Discord上提出棘手的問題......，這時候開發者很難頭腦清楚地應對突發狀況。所以如果有應急預案的話，就能證明項目正朝著安全方向發展。要求項目公開他們完整的計劃可能不太現實，但我們還是能提出以下基礎的問題去側面了解：你們是否有處理突發安全事件的計劃提綱？你們的應急預案適用于哪些緊急情況？如果你們的系統是可升級的，這些升級步驟是否記錄在案？如果你們發現某個系統漏洞可能讓資金面臨風險，你們是否能通過應急預案先發制人，保護資金安全？5.審計與安全發展

審計并非萬靈丹，而且審計的內容總多多少少有點區別，但對于部署任何的DeFi合約之前，進行審計是至關重要的一步。下面的問題不一定有“正確答案”，但學識淵博的社區群眾們，應該能從項目的回答中看出開發團隊對于安全性的立場。你們最近一次審計是什么時候？這次審計投入了多少精力？哪個機構做的審計？審計報告公開嗎？你們系統中有任何部分是沒有被涵蓋在審計的范圍內嗎？最近一次審計之后，你們有對合約進行更新嗎？如果有，更新了什么？你們有和哪個安全團隊進行長期合作嗎？在合并代碼之前，開發者會彼此做codereview嗎？你們的合約代碼中，做過單元測試的比重是多少？審計過程中，你們用過其他的安全分析工具嗎？

Tags：區塊鏈EFIDEFDEFI區塊鏈技術通俗講解簡書PINETWORKDEFI幣99DEFI幣DeFinity

火幣APP下載