文:Ignas | DeFi Research
编译:Zion
责编:karen
来源:medium
FTX的溃散证明了自我托管和风险办理的重要性。
但是,在DeFi中,有许多漏洞、rug pull、合约bug,假如你不小心,就很简略赔钱。
本文将共享如何评价DeFi协议的安全性,维护你的资产。
假如你是一个经验丰富的智能合约开发者,而且能够自己验证代码,那就太好了。但咱们大多数人都不是。
这让咱们别无选择,只能依据其他数据来评价项目,这涉及到必定程度的信赖。
总确定价值是安全的终极证明?
大多数人对DeFi项目的评价依据是存入智能合约的价值,这已经不是什么隐秘了。因而,TVL是信赖的终极证明。
总确定价值越高,协议的隐含安全性就越高。假如有很多的钱被存入,这意味着“有人”做了尽职查询,该协议是安全的。
不幸的是,它给人一种虚假的安全感。高TVL协议简略遭黑客进犯。同时,低TVL并不意味着协议不安全。
看看按TVL排名的头部DeFi协议。
-
你认为TVL代表安全/保障水平吗?
-
是否有任何协议你不放心存入你的资金?为什么?
假如基于你在网上读到的内容做判别,你或许会发生偏见。
信赖,但要验证?
“不信赖,要验证”是咱们进行智能合约审计的原因。
假如不是这样,咱们或许不需求审计,由于代码是开源的,社区能够发现代码中的一切问题。然而,社区或许没有正确的动机、激励或专业知识来验证代码。
审计人员应该具有正确的技能专长,但终究,咱们也有必要相信他们会把作业做好。
还记得推特对Certik的抵抗吗?由于经过他们审计的一些协议终究被黑客入侵了。
审计公司也在建立自己的声誉。假如他们审计并评价为安全的协议被进犯了,那就说明缺乏专业性。事实上,Certik已经审计了3422个项目,因而难怪其间一些项目遭黑客进犯或出现漏洞。
仅仅进行审计并不意味着协议是安全的。我见过一些项目骄傲地宣告“已完结审计”,但当你阅览审计报告时,安全评分实践上很低。
经验教训是不要盲目相信公告,而是通过阅览实践的审计报告来验证成果。
假如不看审计报告呢?
大多数人都不看审计报告。
Certik有一个包含一切审计项目的仪表板。你能够查看“信赖得分”,数字越高意味着越安全。
https://www.certik.com/
Hacken等其他审计组织也有相似的仪表板,或者你能够简略地阅览审计摘要。看看这个示例,由Paladin完结的Trader Joe的审计。
你能够在这里看到,Trader Joe修正了高、中等严峻性问题,但并非一切低严峻性问题都已解决。
https://paladinsec.co/projects/trader-joe-launchpeg/
审计只是一个开端
评价安全性还需求更多:
•充分测试
•赏金活动
•文档通明
•办理员控制
•Oracle文档
还有更多……亲身验证这一切简直是噩梦。
我真的很喜爱DefiSafety正在做的事情。其Process Quality Review对协议进行验证,并对其进行安全评分。
https://www.defisafety.com/app?orderBy=finalScore
依据PQR的成果,Liquity Protocol、Synthetix和Angle Protocol是一切经过验证的DeFi协议中最安全的。
在DefiSafety上,您能够检查每个元素,并查看协议得分最高/最差的地方。
例如,Liquidy仍需求形式化验证(Formal Verification)。
此外,你能够从在Exponential DeFi上对你的出资组合安全进行评级开端。
它的“评价我的钱包”功能为你供给当前出资的自定义风险分析。例如,Tetranode的450万美元资产存入在风险较高的(C级)协议。
Elemental DeFi依据项目评价打分。评价考虑了资产风险、代码质量和资产存放的区块链的安全。
我喜爱他们简略易懂的风险解释。
例如,看看Abracadabra的MIM。它正告说,SPELL被用作抵押品,或许导致坏账。
假如有疑问,就问吧!
最后,我建议加入项目社区群组,并问询以下问题:
-
他们有稳妥基金吗?
-
他们会回避问题吗?
-
他们在做什么来提高安全性?
我问过Stargate团队是否有稳妥基金,以防他们被黑客进犯,但有时比我幻想的更难得到答案,这是风险信号。
但无论发生什么,DeFi还很年轻,所以最好不要将一切资产都放在一个协议中。
此时快讯
【2022-12-04 02:21】【加密货币总市值为8888.37亿美元】金色财经报道,据CoinGecko数据显示,当前加密货币市值为8888.37亿美元,24小时交易量为355.09亿美元,当前比特币市值占比为36.7%,以太坊市值占比为17%。