KEX:CertiK CEO顾荣辉：安全审计是高质量DeFi项目的标配_klay币价为什么不涨

过去8个月，DeFi正以快速突击的态势发展壮大。截止9月1日，Debank数据显示，DeFi总锁仓金额近8个月由7亿美元左右上涨至116.14亿，约16.3倍；DeFi总市值近8个月由15亿美元上涨至186亿美元，约12.4倍；DEX交易量近8个月由464万美元左右上涨至11亿美元，约236.8倍；抵押借贷市场总借款量由1.49亿美元上涨至16亿美元，约10.7倍。

DeFi市场飙升的同时，越来越多的DeFi协议诸如YamFinance、SpaghettiMoney、SushiSwap以及KimchiFinance等强势吸引了数十亿美元的资产。

Balancer、Compound、Synthetix、Ampleforth、UWA等协议引发的流动性挖矿更是掀起一波热潮。尽管有诸多项目未经审计，但众多用户仍将大额资金投入其中，对于挖矿乐此不疲。

如何看待这一波DeFi流动性挖矿浪潮？普通投资者应该如何参与？需要注意的风险有哪些？金色财经由此对话CertiK联合创始人&CEO顾荣辉，探讨其中的风险与机会。

Balancer发布漏洞警告后TVL下降近1亿美元:金色财经报道，Balancer在发现V2池严重漏洞后，敦促其一些客户撤回其代币。由于提款热潮，该协议的锁仓总价值（TVL）下降了近1亿美元。

Balancer支持通过用户贡献的流动性池（而不是传统的做市商）进行以太坊和其他代币的交易，此前宣布其高息支付池中存在错误。这一披露导致由BAL代币持有者管理的去中心化协议陷入锁定状态，Balancer的危机应对小组暂停了许多资金池，以防止其资金被耗尽。但匿名撰稿人Xeonus 表示，有些资金池无法”暂停“，因此风险很高，必须通过用户提款来确保安全。

Balancer 的最新估计表明，TVL的 1.4%（大约 1000 万美元）仍然面临风险。[2023/8/23 18:16:10]

金色财经：如何看待这一波DeFi流动性挖矿浪潮？

CertiK联合创始人&CEO顾荣辉：最近DeFi流动性挖矿热潮，可以说是展示出了DeFi在新实践上的成功。在DeFi基础上，流动性挖矿将金融的特性拓展开来，以挖矿获得高额利润来吸引区块链投资者，并将巨额资金锁住，从而为DEX提供海量流动性。

CertiK：警惕假冒Lido推特账号和钓鱼链接:1月7日消息，CertiK Alert提醒称，警惕发布钓鱼链接的假冒Lido推特账号，请勿与lidofinance[.]world交互。[2023/1/7 11:00:02]

从金融市场角度来说，流动性挖矿的本质是为当前各DEX提供大量的流动性。流动性挖矿，为DEX减少了交易滑点，增强了交易深度，也增强了流动性。流动性越强，则金融系统中的投资者在市场中买卖资产越容易。

从资本市场角度来说，这些DeFi流动性挖矿项目的接踵而至，也正是因为背后有大量资金涌入其中。比如Sushiswap是社区资金支持，侧面反映出大众普遍对DeFi市场看好；UniSwap则是由VC资金支持，这侧面说明了资本对区块链，特别是对DeFi的未来有十足的信心。

但与此同时，这种热潮也反应出了群体面对利益的追逐以及趋利性的社会价值观。很多大众认为只要有足够的利润，风险都是可以忽略不计的。项目方过度炒作以及部分媒体的大肆渲染也容易导致群众盲目跟风而进行非理性投资。特别是大众投资者看到某些人因此赚到了钱，就会有“幸存者偏差”，侥幸地认为坏事不会发生在他们身上。

Balancer警告有630万美元的资金面临风险，督促部分池的 LP 尽快提取流动性:金色财经报道，Balancer已警告其流动性提供商从五个资金池中撤出资金，其中有630万美元面临风险。部分 Balancer 池的协议费用已设置为 0，以避免即将公开披露的一个问题，该问题已得到缓解。该举措是由紧急多重签名完成的。这些池继续正常运行，因此这些池的流动性提供者不需要采取任何行动，他们将继续收取掉期费用，但协议不会进行扣除。

随后，Balancer 又督促部分池的 LP 尽快提取流动性，因为紧急 DAO 无法缓解该相关问题。这五个池分别位于以太坊、Polygon、Optimism和Fantom。最大的资金池是DOLA / bb-a-USD，目前管理着360万美元的资金。[2023/1/6 10:58:44]

对于区块链本身，当前DEX和诸如SushiSwap的项目虽然为DeFi系统注入了巨大的活力，但目前仍无法找到足够让这个庞大的金融系统获利的应用场景，即KillerApplication。而这个应用场景，能让DeFi甚至区块链项目都进行落地，并且愿意让市场主动埋单。

现场 | Certik CEO Ronghui Gu：形式验证方法是实现计算机系统安全和隐私的可靠的方法:金色财经现场报道，NEO DevCon 2019开发者大会今日在西雅图举行，Certik CEO Ronghui Gu 做了以“建设可信的区块链生态”主题演讲。Ronghui Gu 表示，区块链目前是十分脆弱的，有许多执行上的漏洞。攻击区块链的受益也是巨大的，据统计截止到2017年已经有6.3亿美元的区块链资产被黑客盗取。智能合约对黑客开源，一旦执行很难去修改， 我们应该去避免区块链编程上的漏洞。程序的测试可以用于展示漏洞存在，但是它不能够去显示漏洞不存在。而形式验证的方法是目前唯一可靠的方法去实现计算机系统的安全和隐私，形式验证在数学上证明代码满足规范。[2019/2/17]

交易细节上，由于在交易过程中交易确认时间较慢(可高达几分钟)以及交易费用较高等特点，也体现了以太坊的不足之处。

最重要的是，由于DeFi发展过快过热，很多投机者为了赚钱而快速上线，跟风发布项目，甚至赤裸裸的地模仿其他项目。代码世界的版权问题暂且不说，这些项目有不少都没有经过专业审计，更有甚者未经测试就急于上线，项目安全和大众的资金安全十分令人担忧。

声音 | Larry Cermak：比特币死亡螺旋基本不可能:The Block首席分析师Larry Cermak在twitter上表示，比特币12月3日迎来自ASIC矿机以来最大幅度的挖矿难度下降，难度将到4个月新低，但仍然是2018年1月的2倍。挖矿难度紧随着算力变动，算力下降，难度也会紧随着调整。因此，比特币死亡螺旋严重不可能。[2018/12/4]

金色财经：诸多SushiSwap仿盘出现，是否有安全隐患或者技术风险？这些风险、漏洞为什么挡不住疯狂的用户？

CertiK联合创始人&CEO顾荣辉：未经审计的合约会有较高概率存在漏洞，进而成为安全隐患。并且由于当前DeFi挖矿热潮，未经过审计的合约中存在的漏洞会有极大可能被新出现的挖矿项目继承。为了让大家看的更清晰一些，以下我将对风险进行分类阐述。

一、智能合约风险

举个最简单的例子，就是写代码的时候出现失误。比如众所周知的YAM项目，将基本计算公式写错从而造成了不可挽回的局面。

针对智能合约相关漏洞，这里我用最近大火的几个项目举例：比如SushiSwap项目有重入攻击安全漏洞；再比如SushiSwap的仿盘项目Yuno与Kimchi，拥有类似的“无限增发漏洞”，即智能合约拥有者拥有绝对的权利可以无限增发代币。这种情况下一旦没有外力限制，则有可能造成代币的疯狂发布从而代币通胀进而贬值。当然目前SushiSwap和Kimichi项目已经由Timelock进行管理，问题暂时得到了缓解。??????

智能合约一旦出现问题并被恶意利用，则有可能影响LP(liquiditypool)的资金安全。合约漏洞也可导致市场价格变动剧烈，如上文所说的YAM项目，短时间内价值从100$跌到了1$。无论哪种情况，对于大众投资者来说都是“血亏”。

二、其他风险

除了智能合约风险外，还存在但不限于锁仓折损风险、操作风险、交易摩擦风险以及私钥风险等等。比如对于普通用户来说，挖矿过程相对复杂，如果操作失误，资金会不慎丢失；对于散户来说，每一笔gas费用较为昂贵，并且有可能交付了几笔gas费用，然而交易本身还未成功。

至于这些风险为何依然抵挡不住蜂拥的用户：

首先，我想这种新型金融模式的出现，民众都普遍愿意“尝鲜”。其次，部分民众会有从众心理。特别是现在DeFi流动性挖矿的新闻铺天盖地地充斥这个圈子。当然这些项目最吸引大众的地方，还是他们短时间内能够获取的超高收益。这样惊人的收益率打破了数年来传统金融的固有年化收益局限。比如SushiSwap项目一开始最高APY(年化)为20000%，Kimchi一开始的最高APY(年化)为400000%。很多时候，利润率只要足够高，民众就有可能被利益蒙蔽从而忽略了其中的风险甚至宁可冒险也要一试。

金色财经：普通人想要参与，应该重点关注哪些指标来防止相关风险？

CertiK联合创始人&CEO顾荣辉：首先，每个人的风险偏好和资金实力不同。进入项目前，不妨先评估一下自己的风险承受能力。我想这是所有投资者在进入任何的项目前都需要做的事情。而DeFi项目太过火热、出新频繁等特点，容易导致大众在短时间内忽略风险偏好的判断以及对风险承受能力的评估。

其次，用户应该在投资前尽量对项目进行调研，比如社区中媒体上不同的声音，是否有人对合约的安全性提出质疑。当然我们也要擦亮双眼去辨识消息的真实性。因为社会中各个群体利益不同，其中不乏有带节奏者。因此建议大家宁可多花时间观察清楚，晚一点“入场”，也不要贸然进入有风险的项目。

最后，如果有能力和精力，可以检查这个项目的合约是否有进行过专业审计。安全审计现在已经是高质量DeFi项目的标配。若项目没有被审计，对于用户来说，投资行为则要格外慎重；对于项目方来说，则需要找专业并且声誉好的审计公司进行审计。若项目被审计过，则需尽量了解审计公司背景以及其审计报告中的各项指标，其中包括但不限于：

安全审计的范围，方法，及结论

合约是否有漏洞或者安全隐患？如果有，需要了解这些问题的严重程度及可能影响

合约整体的代码质量

审计公司的专业性和独立性

虽然凭借代码不能完全能判断项目的好坏，但是代码是否solid可以侧面反映出团队水平及项目质量。

我们可以关注项目在社区中的口碑。比如社区中是否大部分人都看好这个项目，是否有人对合约的安全性提出质疑。当然我们也要擦亮双眼去辨识消息的真实性。因为社会中各个群体利益不同，其中不乏有带节奏者。当然长期控制集体大众的舆论是很难的。因此建议大家宁可多花时间观察清楚，晚一点“入场”，也不要贸然进入有风险的“场”。晚一点到达安全的项目也许会比一开始进入少赚一些，但是一旦进入了有风险的项目，则可能造成资金重大损失。

再有，如果有能力和精力，可以对项目的经济模型进行独立的了解和研究。不要人云亦云，“听说”某项目好、利润高，就盲目进入或者盲目加仓。

最重要的是，你需要检查这个项目的合约是否有进行过专业审计。若项目没有被审计，对于大众来说，投资行为则要小心谨慎；对于项目方来说，则需要找专业并且声誉好的审计公司进行审计。若项目被审计过，则需尽量了解审计公司背景以及其审计报告中的各项指标，其中包括但不限于：

审计公司的专业性和口碑

合约是否有漏洞或者安全隐患？如果有，是否得到了解决？

整体代码质量是否优质。虽然凭借代码不能完全能判断项目的好坏，但是代码是否solid可以侧面反映出团队水平及项目质量。

标签：KLAYKEX区块链HKTklay币价为什么不涨pkex币交易所艺术币区块链HKTIGER

DOGE热门资讯