如何評估DeFi協議安全性的簡易指南

文:Ignas | DeFi Research

編譯:Zion

責編:karen

來源:medium

FTX的崩潰證明了自我託管和風險管理的重要性。

但是,在DeFi中,有許多漏洞、rug pull、合約bug,如果你不小心,就很容易賠錢。

本文將分享如何評估DeFi協議的安全性,保護你的資產。

如果你是一個經驗豐富的智能合約開發者,並且能夠自己驗證代碼,那就太好了。但我們大多數人都不是。

這讓我們別無選擇,只能根據其他數據來評估項目,這涉及到一定程度的信任。

總鎖定價值是安全的終極證明?

大多數人對DeFi項目的評估依據是存入智能合約的價值,這已經不是什麼秘密了。因此,TVL是信任的終極證明。

總鎖定價值越高,協議的隱含安全性就越高。如果有大量的錢被存入,這意味著“有人”做了盡職調查,該協議是安全的。

不幸的是,它給人一種虛假的安全感。高TVL協議容易遭黑客攻擊。同時,低TVL並不意味著協議不安全。

看看按TVL排名的頭部DeFi協議。

  • 你認為TVL代表安全/保障水平嗎?

  • 是否有任何協議你不放心存入你的資金?為什麼?

如果基於你在網上讀到的內容做判斷,你可能會產生偏見。

信任,但要驗證?

“不信任,要驗證”是我們進行智能合約審計的原因。

如果不是這樣,我們可能不需要審計,因為代碼是開源的,社區可以發現代碼中的所有問題。然而,社區可能沒有正確的動機、激勵或專業知識來驗證代碼。

審計人員應該具備正確的技術專長,但最終,我們也必須相信他們會把工作做好。

還記得推特對Certik的抵制嗎?因為經過他們審計的一些協議最終被黑客入侵了。

審計公司也在建立自己的聲譽。如果他們審計並評估為安全的協議被攻擊了,那就說明缺乏專業性。事實上,Certik已經審計了3422個項目,因此難怪其中一些項目遭黑客攻擊或出現漏洞。

僅僅進行審計並不意味著協議是安全的。我見過一些項目自豪地宣布“已完成審計”,但當你閱讀審計報告時,安全評分實際上很低。

經驗教訓是不要盲目相信公告,而是通過閱讀實際的審計報告來驗證結果。

如果不看審計報告呢?

大多數人都不看審計報告。

Certik有一個包含所有審計項目的儀表板。你可以查看“信任得分”,數字越高意味著越安全。

https://www.certik.com/

Hacken等其他審計機構也有類似的儀表板,或者你可以簡單地閱讀審計摘要。看看這個示例,由Paladin完成的Trader Joe的審計。

你可以在這裡看到,Trader Joe修復了高、中等嚴重性問題,但並非所有低嚴重性問題都已解決。

https://paladinsec.co/projects/trader-joe-launchpeg/

審計只是一個開始

評估安全性還需要更多:

•充分測試

•賞金活動

•文檔透明

•管理員控制

•Oracle文檔

還有更多……親自驗證這一切簡直是噩夢。

我真的很喜歡DefiSafety正在做的事情。其Process Quality Review對協議進行驗證,並對其進行安全評分。

https://www.defisafety.com/app?orderBy=finalScore

根據PQR的結果,Liquity Protocol、Synthetix和Angle Protocol是所有經過驗證的DeFi協議中最安全的。

在DefiSafety上,您可以檢查每個元素,並查看協議得分最高/最差的地方。

例如,Liquidy仍需要形式化驗證(Formal Verification)。

此外,你可以從在Exponential DeFi上對你的投資組合安全進行評級開始。

它的“評估我的錢包”功能為你提供當前投資的自定義風險分析。例如,Tetranode的450萬美元資產存入在風險較高的(C級)協議。

Elemental DeFi根據項目評估打分。評估考慮了資產風險、代碼質量和資產存放的區塊鏈的安全。

我喜歡他們簡單易懂的風險解釋。

例如,看看Abracadabra的MIM。它警告說,SPELL被用作抵押品,可能導致壞賬。

如果有疑問,就問吧!

最後,我建議加入項目社區群組,並詢問以下問題:

  • 他們有保險基金嗎?

  • 他們會迴避問題嗎?

  • 他們在做什麼來提高安全性?

我問過Stargate團隊是否有保險基金,以防他們被黑客攻擊,但有時比我想像的更難得到答案,這是危險信號。

但無論發生什麼,DeFi還很年輕,所以最好不要將所有資產都放在一個協議中。

Total
0
Shares
Related Posts