DEFI:如何评估DeFi协议安全性的简易指南

文：Ignas | DeFi Research

编译：Zion           

责编：karen

来源：medium

FTX的崩溃证明了自我托管和风险管理的重要性。

但是，在DeFi中，有许多漏洞、rug pull、合约bug，如果你不小心，就很容易赔钱。

本文将分享如何评估DeFi协议的安全性，保护你的资产。

如果你是一个经验丰富的智能合约开发者，并且能够自己验证代码，那就太好了。但我们大多数人都不是。

这让我们别无选择，只能根据其他数据来评估项目，这涉及到一定程度的信任。

大多数人对DeFi项目的评估依据是存入智能合约的价值，这已经不是什么秘密了。因此，TVL是信任的终极证明。

摩根大通投资策略主席：不管比特币如何扩张，如何流行都不能让人感到满意:金色财经报道，金融巨头摩根大通投资策略主席Michael Cembalest在最近的一次采访中表示，他对比特币和加密货币的世界并不疯狂，暗示尽管比特币如何扩张，如何流行，但这种货币不会让所有人都感到满意。Cembalest 表示所表达的观点是他自己的观点，而不是摩根大通的观点。不喜欢世界排名第一的数字货币，原因有两个。首先是因为它的波动性，他说这阻止了比特币“进入与价值投资相一致的范围”。另一个原因是因为比特币并没有像许多分析师让我们相信的那样证明自己是对冲通胀的工具。（livebitcoinnews）[2022/2/14 9:49:52]

总锁定价值越高，协议的隐含安全性就越高。如果有大量的钱被存入，这意味着“有人”做了尽职调查，该协议是安全的。

不幸的是，它给人一种虚假的安全感。高TVL协议容易遭黑客攻击。同时，低TVL并不意味着协议不安全。

Life预言机协议：正在探索如何把真实数据存储在Filecoin网络:北京时间2021年5月18日15时，Life预言机协议官方发布博客表示正在探索如何把真实数据存储在Filecoin网络。Life去中心化数据预言机协议启动于2017年，旨在实现区块链与现实世界的数据可信交互。Life是一个集成了智能合约、加密算法、通证经济以及各种API的综合性去中心化预言机网络。生态参与者可依靠智能硬件采集设备进行海量数据收集，后端接入Life完成数据的加密存储、确权和自由流转。目前Life与可信硬件厂商的合作开发已经进展到了最后的阶段，相关可信硬件（数据采集设备）已经研发完成，不久将会上市。Life技术团队目前正基于Filecoin网络完善相关的API，以实现可信硬件采集的数据可直接上传至Filecoin网络。[2021/5/19 22:20:00]

看看按TVL排名的头部DeFi协议。

Curve社区讨论如何分配Synthetix跨资产交易费:根据YFI创始人Andre Cronje此前发布的链接，在Curve用900万USDT兑换895.3万枚sUSD，随后利用这些sUSD在Synthetix交易所完成交易，获得6689.94枚sETH。有社区成员指出，26859美元的费用收入将分配给Synthetix（SNX）质押者。

Curve团队成员向社区征求意见，Curve跨资产互换将Synthetix作为桥梁，Synthetix将小部分交易费返给Curve，如何分配这些费用？其中列出四个选项：veCRV持有者、LP、两者都分配、两者都不分配。[2021/1/21 16:41:10]

你认为TVL代表安全/保障水平吗？

是否有任何协议你不放心存入你的资金？为什么？

如果基于你在网上读到的内容做判断，你可能会产生偏见。

比特币社区仍在讨论如何激活Taproot:金色财经报道，自Taproot于今年1月正式成为比特币改进提案以来已经过去了6个多月。尽管争议很少，但社区仍在讨论如何实施适当程序。问题的根源在于是否需要进行一个能够被所有利益相关者都可以接受的软分支。根据Reddit比特币社区的一个帖子，“激活Taproot的最大问题是之前的软分叉SegWit导致的创伤后应激障碍（PTSD）”。据悉，“新式软分叉激活”程序提出了一种混合系统，在一年内未能达成共识后，升级将被拒绝。经过另外六个月的讨论，社区可以决定开始为期两年的过程，将在到期时激活升级。此过程最长可达42个月，即三年半。尽管相对没有争议且功能有限，Taproot可能仍需花费数月（甚至数年）才能激活。[2020/7/16]

“不信任，要验证”是我们进行智能合约审计的原因。

如果不是这样，我们可能不需要审计，因为代码是开源的，社区可以发现代码中的所有问题。然而，社区可能没有正确的动机、激励或专业知识来验证代码。

芬兰政府因不知如何存放没收的比特币犯难:芬兰政府正为如何存放没收来的2000余个比特币而犯难。根据该国政府周二发布的指导方针，执法机构和人员不得持有没收的加密货币，执法人员不得将没收的加密货币存储在交易所里，必须要保持它们处于离线状态且不能在互联网上被访问。此外，该文件还指出，当局不能将比特币等加密货币视为货币，也不能作为支付手段。[2018/2/21]

审计人员应该具备正确的技术专长，但最终，我们也必须相信他们会把工作做好。

还记得推特对Certik的抵制吗？因为经过他们审计的一些协议最终被黑客入侵了。

审计公司也在建立自己的声誉。如果他们审计并评估为安全的协议被攻击了，那就说明缺乏专业性。事实上，Certik已经审计了3422个项目，因此难怪其中一些项目遭黑客攻击或出现漏洞。

仅仅进行审计并不意味着协议是安全的。我见过一些项目自豪地宣布“已完成审计”，但当你阅读审计报告时，安全评分实际上很低。

经验教训是不要盲目相信公告，而是通过阅读实际的审计报告来验证结果。

大多数人都不看审计报告。

Certik有一个包含所有审计项目的仪表板。你可以查看“信任得分”，数字越高意味着越安全。

https://www.certik.com/

Hacken等其他审计机构也有类似的仪表板，或者你可以简单地阅读审计摘要。看看这个示例，由Paladin完成的Trader Joe的审计。

你可以在这里看到，Trader Joe修复了高、中等严重性问题，但并非所有低严重性问题都已解决。

https://paladinsec.co/projects/trader-joe-launchpeg/

评估安全性还需要更多：

?充分测试

?赏金活动

?文档透明

?管理员控制

?Oracle文档

还有更多……亲自验证这一切简直是噩梦。

我真的很喜欢DefiSafety正在做的事情。其Process Quality Review对协议进行验证，并对其进行安全评分。

https://www.defisafety.com/app?orderBy=finalScore

根据PQR的结果，Liquity Protocol、Synthetix和Angle Protocol是所有经过验证的DeFi协议中最安全的。

在DefiSafety上，您可以检查每个元素，并查看协议得分最高/最差的地方。

例如，Liquidy仍需要形式化验证(Formal Verification)。

此外，你可以从在Exponential DeFi上对你的投资组合安全进行评级开始。

它的“评估我的钱包”功能为你提供当前投资的自定义风险分析。例如，Tetranode的450万美元资产存入在风险较高的（C级）协议。

Elemental DeFi根据项目评估打分。评估考虑了资产风险、代码质量和资产存放的区块链的安全。

我喜欢他们简单易懂的风险解释。

例如，看看Abracadabra的MIM。它警告说，SPELL被用作抵押品，可能导致坏账。

最后，我建议加入项目社区群组，并询问以下问题：

他们有保险基金吗？

他们会回避问题吗？

他们在做什么来提高安全性？

我问过Stargate团队是否有保险基金，以防他们被黑客攻击，但有时比我想象的更难得到答案，这是危险信号。

但无论发生什么，DeFi还很年轻，所以最好不要将所有资产都放在一个协议中。

CT中文

个人专栏

阅读更多

金色早8点

金色财经

去中心化金融社区

CertiK中文社区

虎嗅科技

区块律动BlockBeats

念青

深潮TechFlow

Odaily星球日报

腾讯研究院

标签：EFIDEFDEFI比特币DEFI SnSights DeFi TraderDefi Factory比特币钻石是主流币吗

火必APP热门资讯