区块链:如何评估DeFi协议安全性的简易指南_什么是区块链技术

文：Ignas | DeFi Research

编译：Zion           

责编：karen

来源：medium

FTX的崩溃证明了自我托管和风险管理的重要性。

但是，在DeFi中，有许多漏洞、rug pull、合约bug，如果你不小心，就很容易赔钱。

本文将分享如何评估DeFi协议的安全性，保护你的资产。

如果你是一个经验丰富的智能合约开发者，并且能够自己验证代码，那就太好了。但我们大多数人都不是。

这让我们别无选择，只能根据其他数据来评估项目，这涉及到一定程度的信任。

大多数人对DeFi项目的评估依据是存入智能合约的价值，这已经不是什么秘密了。因此，TVL是信任的终极证明。

回溯3.12 如何跨越从爆仓到回本的鸿沟:4月27日20：00，波哥做客金色财经《币情观察室》直播间，将分享《回溯3.12 如何跨越从爆仓到回本的鸿沟》，敬请关注，欲进群观看直播扫描海报二维码报名即可。[2020/4/27]

总锁定价值越高，协议的隐含安全性就越高。如果有大量的钱被存入，这意味着“有人”做了尽职调查，该协议是安全的。

不幸的是，它给人一种虚假的安全感。高TVL协议容易遭黑客攻击。同时，低TVL并不意味着协议不安全。

看看按TVL排名的头部DeFi协议。

你认为TVL代表安全/保障水平吗？

是否有任何协议你不放心存入你的资金？为什么？

如果基于你在网上读到的内容做判断，你可能会产生偏见。

声音 | 微软李国平：应用区块链技术应多思考如何赋能、少谈颠覆:据经济观察网12月6日消息，微软中国金融行业总监李国平表示，第一，今天应用区块链技术，应该多思考如何赋能，少谈颠覆。他认为其实在从传统业态向数字生活，数字经济迈进的过程中，有很多行业场景存在痛点和短板，在整个信息化进程中如何补足现有实体经济中的这些问题，赋能现有业务，提高效率，降低成本，是区块链应用最应该思考的问题；第二，科技向善。今天的区块链技术、人工智能技术等，公众是存在认知差的。出现了认知差，就存在炒作的空间，就可能有泡沫，还包括新技术滥用数据等问题。因此在应用新的技术时，要在态度上端正，敬畏监管，敬畏客户，敬畏可持续发展，这样才能走的更远，更稳；第三，从网络效应原理来看，网络是越大价值越大。从最早的局域网到以太网到现在整个互联的世界，网络的效应是需要扩大的。因此今天谈公有链，链与链之间有没有标准？全球有没有标准？中国有没有标准？很多企业资产能不能链互链？思考和解决这些问题，有助于区块链的应用范围和价值的扩大。[2019/12/7]

“不信任，要验证”是我们进行智能合约审计的原因。

声音 | 矿海学院创始人Andy：如何利用金融工具锁定利润是新时代矿工必须补的一门课:在今日TokenInsight对话首席第20期《比特币挖矿，你真的懂吗？》的直播中，针对“是否在未来会出现更加智能的丰枯水期预测工具以辅助矿工进行决策？的提问，矿海学院创始人Andy指出：枯水期来临，电力资源减少，势必会淘汰小算力的机器，受影响的将是这部分矿工群体。2019年四川沣水期延迟，这让很多矿工机器停放在矿场无电可挖，如果有准确的沣枯水期预测工具，相信会为矿工提供更好的决策参考。现在大部分矿工考虑的是如何能够找到低价合规稳定的电力资源，然后大部分矿工应该都希望比特币的价格可以涨起来，早期矿工依靠囤币就可以赚钱，这在币价上涨行情下可行，可是2018年持续下行，如何利用金融工具锁定利润是新时代矿工必须补的一门课。[2019/9/6]

如果不是这样，我们可能不需要审计，因为代码是开源的，社区可以发现代码中的所有问题。然而，社区可能没有正确的动机、激励或专业知识来验证代码。

部胡光俊：正考虑如何将区块链技术应用于领域:据经济参考报消息，近日部第一研究所信息安全部副主任胡光俊接受采访时表示，未来将把物理世界、跟人的关联关系纳入整个区块链生态体系里面来。他透露，目前该部门正考虑如何将区块链技术应用于领域。[2018/5/14]

审计人员应该具备正确的技术专长，但最终，我们也必须相信他们会把工作做好。

还记得推特对Certik的抵制吗？因为经过他们审计的一些协议最终被黑客入侵了。

审计公司也在建立自己的声誉。如果他们审计并评估为安全的协议被攻击了，那就说明缺乏专业性。事实上，Certik已经审计了3422个项目，因此难怪其中一些项目遭黑客攻击或出现漏洞。

仅仅进行审计并不意味着协议是安全的。我见过一些项目自豪地宣布“已完成审计”，但当你阅读审计报告时，安全评分实际上很低。

美国商品期货交易委员会公布关于如何定义加密货币已经交易完成的解释: 美国商品期货交易委员会（CFTC）已经公布了解释说明，关于如何定义加密货币已经从买方“交付”给了卖方。确认交付已经完成的的两个因素是：1. 客户有能力 （i）拥有和控制全部数量的商品，无论是以保证金，还是使用杠杆或其他融资购买，以及（ii）在交易之日起28内，自由地商业使用商品（在任何特定平台内外）；以及2. 报价人及卖方（包括各自的关联方或与报价人或卖家合作的其他人士）不保留任何利益或控制任何以保证金，杠杆或其他融资方式购买的商品，在超过自交易日期起计28日后。据CFTC称，提议的解释不是最终的，需要经过90天的公众评议期。[2017/12/16]

经验教训是不要盲目相信公告，而是通过阅读实际的审计报告来验证结果。

大多数人都不看审计报告。

Certik有一个包含所有审计项目的仪表板。你可以查看“信任得分”，数字越高意味着越安全。

https://www.certik.com/

Hacken等其他审计机构也有类似的仪表板，或者你可以简单地阅读审计摘要。看看这个示例，由Paladin完成的Trader Joe的审计。

你可以在这里看到，Trader Joe修复了高、中等严重性问题，但并非所有低严重性问题都已解决。

https://paladinsec.co/projects/trader-joe-launchpeg/

评估安全性还需要更多：

?充分测试

?赏金活动

?文档透明

?管理员控制

?Oracle文档

还有更多……亲自验证这一切简直是噩梦。

我真的很喜欢DefiSafety正在做的事情。其Process Quality Review对协议进行验证，并对其进行安全评分。

https://www.defisafety.com/app?orderBy=finalScore

根据PQR的结果，Liquity Protocol、Synthetix和Angle Protocol是所有经过验证的DeFi协议中最安全的。

在DefiSafety上，您可以检查每个元素，并查看协议得分最高/最差的地方。

例如，Liquidy仍需要形式化验证(Formal Verification)。

此外，你可以从在Exponential DeFi上对你的投资组合安全进行评级开始。

它的“评估我的钱包”功能为你提供当前投资的自定义风险分析。例如，Tetranode的450万美元资产存入在风险较高的（C级）协议。

Elemental DeFi根据项目评估打分。评估考虑了资产风险、代码质量和资产存放的区块链的安全。

我喜欢他们简单易懂的风险解释。

例如，看看Abracadabra的MIM。它警告说，SPELL被用作抵押品，可能导致坏账。

最后，我建议加入项目社区群组，并询问以下问题：

他们有保险基金吗？

他们会回避问题吗？

他们在做什么来提高安全性？

我问过Stargate团队是否有保险基金，以防他们被黑客攻击，但有时比我想象的更难得到答案，这是危险信号。

但无论发生什么，DeFi还很年轻，所以最好不要将所有资产都放在一个协议中。

CT中文

个人专栏

阅读更多

金色早8点

金色财经

去中心化金融社区

CertiK中文社区

虎嗅科技

区块律动BlockBeats

念青

深潮TechFlow

Odaily星球日报

腾讯研究院

标签：DEFIEFIDEF区块链Clever DeFiPeakDeFiRamp DeFi什么是区块链技术

莱特币最新价格热门资讯