DeFi项目存在许多问题。最近几个月,DeFi职业阅历了一些动乱,不少进犯和未披露缝隙被曝光。尽管Bug不可避免,但如果采纳一些有用办法,仍可削减问题发生的频率,并下降由此带来的负面影响。
我们希望在这方面供给一些帮助。为了让开发人员能够优先考虑安全性问题,用户做好能早点提出一些棘手问题,只有当这些问题得到满足答复之后,才干放心把钱投入到相应的协议项目里。
要想搞清楚DeFi项目开发团队的安全态度,本文会列出的一些有用的问题,这些问题的答案并不能简单地用「对/错」来衡量,由于某些团队(或独立开发人员)或许并没有足够资源来处理所有问题。事实上,用户只能依据自己所能获得到的信息来判断是否愿意承受相应的风险等级。当然,我们希望下面这些问题能够推动DeFi项目朝正确的方向发展。
管理员权限大多数知名DeFi协议都是以某种方法被中心化操控的,支撑特定「管理员」以强有力的方法进行干涉。尽管这种方法在安全性上有些好处,但也意味着你必须信赖管理员不会乱用自己的特权。另一方面,如果进犯者窃取了管理员私钥及其附带的所有特权,那么也会增加项目风险。
管理员账户通常会选用几种或许的方法,包含:对单个地址、多重签名钱包、以及由投票流程操控的去中心化自治组织(DAO)。这儿要问询的安全性问题包含:
- 管理员能够采纳哪些特殊办法?
- 能否暂停系统?
- 能否修正余额?
- 能否将代币/用户列入白名单/黑名单?
- 能否晋级系统子集?
- 能否晋级所有系统(等同于无所不能)?
- 是否具有施行其他特殊办法的才能?
- 上述行为中,哪些会有时延,哪些没有?
- 如果有时延,具领会延伸多久时间?
- 有多少人具有管理员权限?
- 在执行某些操作之前,必须获得多少个管理员批准?
- 是否有任何行政行为被链上治理操控,比方DAO?
- 对于拟议的协议更改,能够在哪里查询到最新状况?
上述某些信息已能在DefiWatch中进行盯梢。
此时快讯
【地址0xEbC5遭网络钓鱼,损失约9.45万美元】金色财经报道,PeckShield监测显示,地址0xEbC5成为网络钓鱼计划的受害者,导致损失382.88枚crvCRVETH和43.5枚stETH(价值约9.45万美元)