DEF:去中心化金融一定安全嗎？這份DeFi安全指南奉上

原文：Ignas

編譯：Biteye 核心貢獻者 Crush

FTX 的崩潰證明了自我托管和風險管理的重要性。但是在 DeFi 中，仍有許多漏洞、Rug Pull 以及合約 BUG，一不小心就會虧錢。

今天這篇文章，我就來說一下如何去評估一個項目的安全性，以保護好自己的資產。

如果你自己本身就是一個經驗豐富的智能合約開發者，能夠親自去驗證項目代碼的安全性，這再好不過了，但是我相信大多數人都不是。

所以沒辦法，我們只能根據其他數據去評估一個項目，這涉及到一定程度的信任。

眾所周知，大多數人通過存入智能合約的資產價值來評估一個 DeFi 項目的好壞。因此，不少人認為 TVL 在一定程度上，是可以反映這個項目的安全性的。

如果鎖倉的資產越多，那么說明這個協議的安全性就越高。你可以這么想，能夠鎖倉這么多資金的協議，那這些存錢的人一定是進行了充分的調查，確認了協議的安全性才敢把錢放進去。

GavinWood：鏈間消息傳遞格式XCM、去中心化網絡治理流程OpenGov將成為波卡明年發展重點:12月12日消息，在Polkadot開發者大會Sub0上，Polkadot聯合創始人兼Parity Technologies架構師Gavin Wood宣布了Polkadot 2023年及以后的發展計劃，重點包括網絡的跨渠道和跨共識消息傳遞協議XCM，以及一種新的敏捷、更去中心化的網絡治理流程OpenGov。（Cointelegraph）[2022/12/12 21:38:58]

不幸的是，TVL 往往給人一種錯誤的安全感。一方面，你認為高 TVL 的協議更加安全，但同樣黑客也會盯著這些協議進行攻擊，因為攻擊這些協議能賺取更多的利潤。另一方面，低 TVL 也不一定就意味著協議就不安全。

因此，僅僅通過 TVL 去判斷一個協議的安全性，不免有些似是而非。

我們根據TVL對現有的DeFi項目進行一個排名：

國際清算銀行總經理：“DeFi”的去中心化承諾是一種幻想:1月19日消息，國際清算銀行（BIS）總經理Agustin Carstens在法蘭克福的一個活動上表示，基于分布式賬本技術的貨幣去中心化未來的倡導者正在追逐一種幻覺。他們的愿景是通過砍掉大銀行和其他中間商來實現“金融民主化”，但“這并不是去中心化金融應用所提供的東西”。

Carstens表示，“實際上，在去中心化金融中存在大量的中心化。”這是因為自執行協議，或“智能合約”，不能涵蓋所有可能的情況，而要依靠個人來編寫和更新代碼。此外，DeFi的某些特征有利于決策權集中在大型持幣人手中。（彭博社）[2022/1/19 8:58:49]

看完這張圖后

你還認為高 TVL 一定代表著安全嗎？

微軟去中心化身份負責人將離職并加入Square:金色財經報道，微軟 (MSFT) 去中心化身份負責人Daniel Buchner宣布，他將離開微軟并加入Square (SQ)，領導這家支付公司在使用區塊鏈技術在線驗證身份的新興領域開展工作。[2021/11/9 6:39:47]

圖中有哪些協議你覺得是不可信的？為什么？

「不信任，只驗證」是我們進行智能合約審計的原因。如果不是這樣，我們可能不需要審計。因為代碼是開源的，社區可以找到代碼中的所有問題。然而，社區可能沒有正確的動機、激勵或專業知識來驗證代碼。

因此審計人員必須要足夠專業，但更加重要的是，審計人員自己不能出問題。例如，著名審計公司 Certik 經手審核的不少項目仍然被黑了，可以說是防不勝防。

Cauris通過去中心化借貸協議Goldfinch籌集510萬美元:11月23日消息，Cauris通過去中心化借貸協議Goldfinch籌集510萬美元，這是籌集1億美元基金的第一步，該基金專注于為全球1億人推動普惠金融。Cauris是一個將DeFi引入金融科技的團隊。[2021/11/23 22:11:01]

同時，審計公司也在建立自己的聲譽。如果他們審核（并評估為安全）的協議被黑，則給人一種不專業的印象。事實上，Certik 已經審核了超過 3422 個項目，所以其中一些項目遭到黑客攻擊或存在漏洞也是難以避免的。

所以僅僅進行是通過審計，并不意味著協議是安全的。我見過一些項目自豪地宣布「完成審計」，但當你閱讀審計報告時，卻發現他們的安全分數實際上很低。

這給我的教訓是，不要盲目相信項目方的審計公告，而是通過閱讀實際審計報告來驗證結果。

NBS去中心化交易所成功部署交易機器人:官方消息，NBS去中心化交易所已成功部署交易機器人，該交易機器人目前部署在NBS內盤NBS/USDT交易對上，主要用以連通中心化交易所深度，提升NBS內盤交易體驗。昨日，NBS內盤NBS/USDT交易量超200萬NBS。[2021/6/8 23:21:45]

事實上，大多數人都不會閱讀審計報告，不過Certik 有一個包含所有已審項目的數據看板，在這個看板里面，你可以檢查項目的「信任分數」，數字越高表示安全。

其它審計機構，例如 Hacken，也會有類似的數據看板。或者你可以簡單地閱讀一下審計摘要，例如下面這個 Trader Joe 的例子, 它是由 Paladin 審計完成的。

通過這里的數據我們不難看出，Trader Joe 修復了所有的中高風險問題，但是在低風險問題上，卻仍有部分未進行修復。

評估一個項目的安全性，還需要考慮更多：

充分的測試

賞金活動

文檔的公開透明

管理控制

Oracle 文檔

要考慮的方面那可太多了，要是全部都親自驗證，恐怕先得累死。說到這里，我們就不得不提到 DeFi Safety。它會對這些協議進行一個驗證，然后給出安全評分。

根據它們提供的結果，我們可以很清楚地看到，Liquity Protocol、Synthetix 以及 Angle Protocol 是所有經過驗證的 DeFi 協議中最安全的。

在 Defi Safety 上，你還可以查看更多細節部分的內容。例如，Liquidy protocol 仍然需要形式驗證。

此外，你還可以通過 Exponential DeFi，對錢包的投資組合進行一個安全性評估。

「評價錢包」功能會為你提供當前投資的風險分析。例如，在 Tetranode 的資產中，就有 450 萬美元的資產是被存入在風險較高（C 級）的協議中。

ExponentialDeFi 會根據項目評估給出評分，評估考慮了資產風險、代碼質量和資產存放的區塊鏈的安全性。這種簡單易懂的風險說明，讓我愛不釋手。

就拿 Abracadabra 的穩定幣 MIM 來舉例，它會直接給出警告：SPELL 被用作抵押品可能會導致壞賬。

最后一個要給大家介紹的方法就是，直接加入項目的社區，然后思考一下下面幾個問題：

他們有保險基金嗎？

他們會回避提問嗎？

他們正在做什么來提高安全性？

例如我之前就曾問過 Stargate 團隊，他們是否擁擁有保險基金，以防止項目被黑客入侵。但是有時想要得到一個準確的答案，卻并不是那么簡單，項目方往往會各種拐彎抹角地回避問題。這似乎是一種危險信號，讓人不得不提高警惕。

但是無論發生什么，DeFi 都還很年輕，還有很長的路要走，所以最好不要把所有的雞蛋都放在一個籃子里！

金色早8點

金色財經

去中心化金融社區

CertiK中文社區

虎嗅科技

區塊律動BlockBeats

念青

深潮TechFlow

Odaily星球日報

騰訊研究院

Tags：DEFEFIDEFINBSDefilancer token99DEFIDEFI S幣NBS價格

波場