DEF:如何評估DeFi協議安全性的簡易指南

文：Ignas | DeFi Research

編譯：Zion           

責編：karen

來源：medium

FTX的崩潰證明了自我托管和風險管理的重要性。

但是，在DeFi中，有許多漏洞、rug pull、合約bug，如果你不小心，就很容易賠錢。

本文將分享如何評估DeFi協議的安全性，保護你的資產。

如果你是一個經驗豐富的智能合約開發者，并且能夠自己驗證代碼，那就太好了。但我們大多數人都不是。

這讓我們別無選擇，只能根據其他數據來評估項目，這涉及到一定程度的信任。

大多數人對DeFi項目的評估依據是存入智能合約的價值，這已經不是什么秘密了。因此，TVL是信任的終極證明。

JAN3首席執行官受邀與墨西哥參議員就墨西哥如何采用加密貨幣進行討論:5月1日消息，據Bitcoin Magazine發推表示，JAN3首席執行官、比特幣中國前首席運營官Samson Mow于4月29日與墨西哥參議員兼財政委員會主席討論了關于墨西哥如何采用加密貨幣墨西哥如何采用加密貨幣的問題。

據悉，墨西哥是拉丁美洲最大的經濟體之一，如果成功采用加密貨幣，將為整個地區帶來深遠的影響，對于加密貨幣市場來說是一個重要的里程碑。[2023/5/1 14:36:45]

總鎖定價值越高，協議的隱含安全性就越高。如果有大量的錢被存入，這意味著“有人”做了盡職調查，該協議是安全的。

不幸的是，它給人一種虛假的安全感。高TVL協議容易遭黑客攻擊。同時，低TVL并不意味著協議不安全。

看看按TVL排名的頭部DeFi協議。

《“區塊鏈+”如何重構內容產業生態》獲第三十一屆中國新聞獎三等獎:金色財經報道，人民日報（2021年11月08日 第?17版）發布第三十一屆中國新聞獎獲獎作品目錄，《“區塊鏈+”如何重構內容產業生態》獲第三十一屆中國新聞獎三等獎，刊播單位：新聞與寫作?，報送單位：北京記協。[2021/11/8 6:37:41]

你認為TVL代表安全/保障水平嗎？

是否有任何協議你不放心存入你的資金？為什么？

如果基于你在網上讀到的內容做判斷，你可能會產生偏見。

“不信任，要驗證”是我們進行智能合約審計的原因。

如果不是這樣，我們可能不需要審計，因為代碼是開源的，社區可以發現代碼中的所有問題。然而，社區可能沒有正確的動機、激勵或專業知識來驗證代碼。

審計人員應該具備正確的技術專長，但最終，我們也必須相信他們會把工作做好。

海德薇格：我很期待看到 數字貨幣將如何改變人民幣支付市場:第十七屆中國國際金融論壇于2020年12月17日-18日在上海舉行。主題為“數字經濟時代的金融服務”。國際銀行業聯合會（IBFed）總裁海德薇格?挪倫斯視頻參會并致辭時指出：金融穩定委員會正在監測大科技公司的創新和金融穩定風險，并且已經發表了很多關于該主旨的文章，例如在2020年10月13日發表的一篇文章中，就提出了關于全球穩定幣的10個高層建議。考慮到創新的規模之大，監管機構和監督機構都需要拓寬自己的視野，并且彼此之間開展更多合作。

中國監管機構一直在積極加強監管，以便隨時應對大科技公司所引起的市場變化。例如，去年，中國人民銀行就起草了相關規則，要求將銀行和金融服務與金融控股公司旗下的科技公司分離，并對這些科技公司進行監管。 現在，要求支付公司必須有100%的存款準備金。

中國還率先推出了由國家信用支持的數字貨幣。我很期待看到這些數字貨幣將如何改變中國國內和境外的人民幣支付市場。（新浪財經）[2020/12/17 15:29:42]

還記得推特對Certik的抵制嗎？因為經過他們審計的一些協議最終被黑客入侵了。

直播｜Philip Gradwell：如何知道新一輪牛市是否到來:金色財經 · 直播主辦的金點Trend《以太坊之外的DeFi，香嗎？ 》馬上開始！16:30準時開播！本場嘉賓來自Chainalysis的首席經濟分析師分享“如何知道新一輪牛市是否到來”，請掃碼移步收聽！[2020/8/28]

審計公司也在建立自己的聲譽。如果他們審計并評估為安全的協議被攻擊了，那就說明缺乏專業性。事實上，Certik已經審計了3422個項目，因此難怪其中一些項目遭黑客攻擊或出現漏洞。

僅僅進行審計并不意味著協議是安全的。我見過一些項目自豪地宣布“已完成審計”，但當你閱讀審計報告時，安全評分實際上很低。

經驗教訓是不要盲目相信公告，而是通過閱讀實際的審計報告來驗證結果。

動態 | 受監管代幣交易商尋求SEC澄清數字資產如何符合美國證券法:據Coindesk報道，受監管的代幣交易商Templum希望美國證券交易委員會（SEC）澄清在區塊鏈上跟蹤或代幣化的數字資產如何符合美國證券法規。為此，該公司上周向SEC提交了一份規則制定請愿書，其中概述了在某些形式的證券交易中如何利用加密資產和區塊鏈技術。Templum聯合創始人兼首席執行官Vince Molinari表示，該公司要求明確這些新生技術如何適應當前的監管計劃。 至少在他們看來，它們并不存在于現有框架中。具體而言，Templum希望SEC解釋區塊鏈平臺何時必須注冊為清算公司或清算公司可以如何使用區塊鏈，以及區塊鏈平臺何時必須注冊為轉賬代理或告知數字資產發行人何時必須使用區塊鏈轉賬代理人。該公司還試圖了解SEC會何時可對現有的托管和客戶保護規則進行改善，以允許用于跟蹤證券交易的區塊鏈。[2018/12/21]

大多數人都不看審計報告。

Certik有一個包含所有審計項目的儀表板。你可以查看“信任得分”，數字越高意味著越安全。

https://www.certik.com/

Hacken等其他審計機構也有類似的儀表板，或者你可以簡單地閱讀審計摘要。看看這個示例，由Paladin完成的Trader Joe的審計。

你可以在這里看到，Trader Joe修復了高、中等嚴重性問題，但并非所有低嚴重性問題都已解決。

https://paladinsec.co/projects/trader-joe-launchpeg/

評估安全性還需要更多：

?充分測試

?賞金活動

?文檔透明

?管理員控制

?Oracle文檔

還有更多……親自驗證這一切簡直是噩夢。

我真的很喜歡DefiSafety正在做的事情。其Process Quality Review對協議進行驗證，并對其進行安全評分。

https://www.defisafety.com/app?orderBy=finalScore

根據PQR的結果，Liquity Protocol、Synthetix和Angle Protocol是所有經過驗證的DeFi協議中最安全的。

在DefiSafety上，您可以檢查每個元素，并查看協議得分最高/最差的地方。

例如，Liquidy仍需要形式化驗證(Formal Verification)。

此外，你可以從在Exponential DeFi上對你的投資組合安全進行評級開始。

它的“評估我的錢包”功能為你提供當前投資的自定義風險分析。例如，Tetranode的450萬美元資產存入在風險較高的（C級）協議。

Elemental DeFi根據項目評估打分。評估考慮了資產風險、代碼質量和資產存放的區塊鏈的安全。

我喜歡他們簡單易懂的風險解釋。

例如，看看Abracadabra的MIM。它警告說，SPELL被用作抵押品，可能導致壞賬。

最后，我建議加入項目社區群組，并詢問以下問題：

他們有保險基金嗎？

他們會回避問題嗎？

他們在做什么來提高安全性？

我問過Stargate團隊是否有保險基金，以防他們被黑客攻擊，但有時比我想象的更難得到答案，這是危險信號。

但無論發生什么，DeFi還很年輕，所以最好不要將所有資產都放在一個協議中。

CT中文

個人專欄

閱讀更多

金色早8點

金色財經

去中心化金融社區

CertiK中文社區

虎嗅科技

區塊律動BlockBeats

念青

深潮TechFlow

Odaily星球日報

騰訊研究院

Tags：DEFEFIDEFI區塊鏈DefiCliqMEFI價格TRD-DeFi區塊鏈技術通俗講解小區

Pol幣