DEF:觀點：DeFi用戶應該向開發者提出的質詢_比特幣

編者按：本文來自：以太坊愛好者，作者：JohnMardlin，翻譯&校對:IANLIU&阿劍，Odaily星球日報經授權轉載。過去幾個月來，DeFi生態經歷了巨大的動蕩，數次攻擊之下，許多未被利用過的缺陷也被報道出來。雖然代碼中無可避免會有bug，但還是有很多方法能降低缺陷發生的頻率，以及降低缺陷帶來的負面影響。作為一個審計員，我們想要幫助DeFi用戶問一些比較尖銳的問題；問這些問題的目的，一方面是讓開發人員認真去考慮系統安全性的優先級，另一方面，讓用戶能分辨出回答得好的協議，然后把錢投入這些協議。以下問題能幫助用戶了解DeFi開發團隊對于安全性的立場，答案不一定有對錯之分，而且也不是每個團隊都有資源全盤顧及所有方面。但不論如何，用戶有權利知道這些信息，來決定自己愿意承受的風險。我們希望通過以下提問，促使后續開展更多正面的討論。1.管理員權限

觀點：巴菲特旗下伯克希爾大幅減持富國銀行股份，或利好比特幣:巴菲特旗下伯克希爾大幅減持富國銀行股份。伯克希爾曾一度持有富國銀行320億美元的股份。根據周五披露的監管文件，伯克希爾將其在富國銀行的普通股持股比例降低至約3.3%（價值僅為33.6億美元）。

此外，伯克希爾在大舉購買巴里克黃金公司的股票。Cointelegraph文章稱，這一決定表明，巴菲特正在尋求現金流方面的安全保障，并對沖通脹。伯克希爾投資巴里克黃金公司將提振比特幣的牛市行情，因為人們對比特幣作為一種價值儲存的看法正在改善，尤其是考慮到自2020年3月股市崩盤以來兩者之間的緊密關聯。

Winklevoss兄弟等其他著名投資者認為，比特幣作為“數字黃金”將長期與黃金競爭。具體而言，其巨大的上漲潛力使其成為一項具有吸引力的投資，因為BTC市值仍僅約為黃金的1.5%。Gemini聯合創始人Cameron Winkelvoss表示，“比特幣在黃金領域取得重大進展——在不到10年的時間里，從白皮書發展到市值2000億美元。在未來十年，它將繼續大幅蠶食黃金。”華爾街金融分析師Max Keiser最近稱，巴菲特退出美元（投資）是黃金和比特幣價格看漲的信號。[2020/9/5]

大部分的主流DeFi協議都存在一些中心化的機制——允許特定的“管理員”地址以強硬的手段干預協議的運行。這樣做雖然在安全上有好處，但這意味著你必須相信這些“管理員”不會濫用他們的特權；而且但凡這些管理員遭到黑客攻擊，他們的私鑰泄露所帶來的后果會更加嚴重。管理員賬戶可以是以下幾種形式：單一地址、多重簽名錢包，或是由DAO管理的投票過程。那么，管理員能采取哪些措施？暫停整個系統？修改賬戶余額？設置代幣/用戶的白名單/黑名單？升級某個子系統？升級整個系統？其他權限？如果采取上述行為，是否有延遲執行機制？如果有延遲時間，那是多長？多少人有管理員權限？采取上述行為前，需要經過多少管理員同意？有哪些權限是由鏈上治理程序來掌控的嗎？我該去哪里了解提議更新協議的提案？以上某些問題的回答已經可以通過DefiWatch跟蹤了解。2.外部依賴

觀點：受疫情影響私人投資者減少，中東歐的初創企業開始轉向公共資金:斯洛伐克區塊鏈初創公司Alftins的私人支持者因新冠疫情在3月退出融資交易時，它還有其他選擇——公共資助的風險投資公司Crowdberry。Crowdberry設法在第二輪談判中獲得更好的條款，Alftins得到所需的資金。Alftins創始人Richard Fetyko稱，這是阻力最小的途徑，Crowdberry是非常好的戰略合作伙伴。Alftins正在開發數字資產在線交易平臺。

該事件突顯出，隨著私人投資者從該地區的初創企業領域撤退，一些公共支持的風險投資公司正加緊努力，將種子資金流向波蘭、捷克、斯洛伐克和匈牙利等國家的初創企業。Crowdberry合伙人Michal Nespor稱，許多新興公司將別無選擇，只能動用這些資金，因為私人資金將因疫情而非常謹慎。

在疫情爆發前，中東歐許多初創企業更青睞私人投資者，他們通常會提供更好估值，并與硅谷等地的全球投資者建立聯系，以便日后進行更大規模融資。但隨著私人種子資金枯竭，他們越來越多轉向公共資助，因為希望跟隨波蘭在線市場Allegro、羅馬尼亞軟件公司UiPath和富時100成員Avast的腳步，打造下一個獨角獸。（路透社）[2020/7/31]

因為是公開的網絡，以太坊上充斥著不懷好意的攻擊者，因此開發者不能假設本系統外的合約一定會采取什么樣的行為。但在許多DeFi應用中又不得不作出這樣的假設，因為服務本身就是在已有的一些合約上建構出來的。這些問題能幫助用戶了解該項目在外部依賴上存在的風險。你的系統依賴什么預言機？你的系統依賴什么交易所？你用什么第三方智能合約來建立系統？你的系統支持哪些代幣，你對這些代幣的行為模式有怎樣的預期？3.可靠的的披露系統和獎勵計劃

觀點：比特幣區塊鏈可利用閃電網絡實現注重隱私的健康證書:專注于比特幣的金融服務公司Unchained Capital發布的一篇文章稱，比特幣區塊鏈可能會提供一種“奧威爾式（Orwellian）”應用程序之外的選擇。目前世界各國政府都在使用這種應用程序來限制COVID-19病的傳播。根據這篇文章，當前解決方案的主要問題是其運作所需“數據的類型和數量”。

文章作者、Unchained Capital工程師Buck Perley舉例指出，在韓國部署的系統將在一個網站上公布任何被檢測出病呈陽性的人的年齡、性別和訪問過的地方。這種系統甚至可能使人們在一開始就不愿意接受檢測，從而降低了系統本身的效率。為了解決這個問題，Perley認為，比特幣網絡可以利用閃電網絡進行微交易的能力，來支撐一種新型的健康證書。

注：“奧威爾式的”是一個形容詞，描述喬治·奧威爾（George Orwell）認為對自由開放社會的福利造成破壞的一種情況、想法或社會狀況。（Cryptonews）[2020/6/28]

對于才華橫溢的黑客來說，攻擊DeFi協議對他們有著強大的金錢誘惑。制定獎勵計劃能激勵大家發現并揭露漏洞，而非鉆漏洞。對于白帽黑客來說，通過激勵系統揭露代碼漏洞也是提高自身聲譽的好方法——既有好處又不違法。任何公司要運行DeFi協議，或是涉及在線托管金錢的業務，都應該設有獎勵系統。你可以就他們的獎勵計劃及披露流程提出以下問題：你們的合約代碼能夠被所有人看到嗎？從你們的網站和git代碼庫，能夠很容易找到安全的聯系方式嗎？你們的合約有沒有設置獎勵計劃？哪些合約在獎勵計劃內？獎勵計劃具體金額是？你們是否支付過獎勵計劃的獎金？對于bug報告，你們是否曾拒絕支付過？從你們的網站和git代碼庫，能夠很容易地找到獎勵計劃的詳細信息嗎？理想情況下，這些信息應該放在“website.com/security”頁面下，而且能搭配Github的SECURITY.md功能使用。4.應急預案

觀點：312黑色星期五比特幣暴跌 系場內杠桿引發踩踏:近日，貝寶金融聯合創始人王立在接受采訪時表示，3月12日“黑色星期五”的表現是高杠桿壓力下，3月12日大量比特幣拋售引發合約和現貨市場的連環踩踏；深層原因是原油和新冠病疫情雙重打擊下，風險資產價格暴跌帶來的一次流動性危機。同時，貝寶金融CEO楊舟認為是流動性的問題，而不是整個市場的風險偏好變化。他解釋稱，這不是說比特幣到底還有沒有避險屬性的問題。市場上這時候關心的是：可以賣嗎？好賣嗎？反正趕快賣掉，而不管比特幣什么屬性。銀行又不給錢，而比特幣作為一個每天交易量超過百億美元的一個資產，只能賣比特幣去補充其他地方受損的那些錢。而恰恰在這個時候，比特幣市場本身又是一個高杠桿狀態，于是賣出引發了踩踏。（華夏時報）[2020/3/31]

當面對某些安全突發狀況的時候，新消息如潮水般涌來，用戶持續在Twitter、Telegram、Discord上提出棘手的問題......，這時候開發者很難頭腦清楚地應對突發狀況。所以如果有應急預案的話，就能證明項目正朝著安全方向發展。要求項目公開他們完整的計劃可能不太現實，但我們還是能提出以下基礎的問題去側面了解：你們是否有處理突發安全事件的計劃提綱？你們的應急預案適用于哪些緊急情況？如果你們的系統是可升級的，這些升級步驟是否記錄在案？如果你們發現某個系統漏洞可能讓資金面臨風險，你們是否能通過應急預案先發制人，保護資金安全？5.審計與安全發展

審計并非萬靈丹，而且審計的內容總多多少少有點區別，但對于部署任何的DeFi合約之前，進行審計是至關重要的一步。下面的問題不一定有“正確答案”，但學識淵博的社區群眾們，應該能從項目的回答中看出開發團隊對于安全性的立場。你們最近一次審計是什么時候？這次審計投入了多少精力？哪個機構做的審計？審計報告公開嗎？你們系統中有任何部分是沒有被涵蓋在審計的范圍內嗎？最近一次審計之后，你們有對合約進行更新嗎？如果有，更新了什么？你們有和哪個安全團隊進行長期合作嗎？在合并代碼之前，開發者會彼此做codereview嗎？你們的合約代碼中，做過單元測試的比重是多少？審計過程中，你們用過其他的安全分析工具嗎？

Tags：比特幣EFIDEFDEFI比特幣的市值現在值多少錢EFINXDEFI WalletValuedefi vSWAP

Luna