最近幾個月,DeFi 行業經歷了一些動蕩,不少攻擊和未披露漏洞被曝光。
雖說 Bug 不可避免,但如果采取一些有效措施仍可減少問題發生的頻率、并降低由此帶來的負面影響。
作為審核員,我們希望在這方面提供一些幫助。為了讓開發人員可以優先考慮安全性問題,用戶做好能早點提出一些棘手問題,只有當這些問題得到滿意答復之后,才能放心把錢投入到相應的協議項目里。
要想搞清楚 DeFi 項目開發團隊的安全立場,本文會列出的一些有用的問題,這些問題的答案并不能簡單地用「對 / 錯」來衡量,因為某些團隊(或獨立開發人員)可能并沒有足夠資源來解決所有問題。事實上,用戶只能根據自己所能獲得到的信息來判斷是否愿意承受相應的風險級別。
當然,我們希望下面這些問題能夠推動 DeFi 項目朝正確的方向發展。
數據:當前DeFi協議總鎖倉量達701.04億美元:12月12日消息,Tokenview鏈上數據顯示,當前DeFi項目總鎖倉量(TVL)為701.04億美元。鎖倉量資產排名前五(美元):
Curve(101.65億 +1.53%);
Maker(69.21億 -0.25%);
Uniswap V3(49.46億 -0.03%);
Aave(43.72億 -3.61%);
WBTC(34.29億 -0.06%)。[2022/12/12 21:38:28]
大多數知名 DeFi 協議都是以某種形式被中心化控制的,支持特定「管理員」以強有力的方式進行干預。
礦工Wang Chun:DeFi用戶每天都在支付巨額費用:礦工Wang Chun(F2Pool)今日在推特表示,DeFi用戶每天都在支付巨額費用,而且他們要給礦工,挖礦對他們來說一直是一個神話。反之亦然。這是ETH社區的眼淚。[2021/5/29 22:55:07]
雖然這種方式在安全性上有些好處,但也意味著你必須信任管理員不會濫用自己的特權。另一方面,如果攻擊者竊取了管理員私鑰及其附帶的所有特權,那么也會增加項目風險。
管理員賬戶通常會采用幾種可能的形式,包括:對單個地址、多重簽名錢包、以及由投票流程控制的去中心化自治組織(DAO)。這里要詢問的安全性問題包括:
管理員可以采取哪些特殊措施?
能否暫停系統?
能否修改余額?
德勤CIS:DeFi需要與傳統金融市場建立起規范的橋梁:近日,德勤CIS咨詢公司的主管Artem Tolkachev在采訪中表示。DeFi目前最大的問題是它不允許傳統公司借入資金,因為它們只能提供加密貨幣作為抵押品。 第二個問題是協議代幣背后缺乏實際現金流,這意味著代幣的價格缺乏穩定性。 從長遠來看,上述所有問題都限制了DeFi作為范例的進一步發展。
DeFi市場迫切需要與傳統金融市場建立起規范的橋梁,以確保穩定的增長。 同時,傳統公司機構(包括債務證券的持有人和發行人)將愿意利用DeFi的最佳基礎結構,并從傳統場所無法提供的條款中受益于貸款。[2020/11/14 20:49:17]
能否將代幣 / 用戶列入白名單 / 黑名單?
能否升級系統子集?
能否升級所有系統(等同于無所不能)?
Hayden Adams:如果要構建DeFi,就需要使其真正去中心化:以太坊基金會資助的開發者 Hayden Adams發推表示:如果要構建被稱為DeFi的東西,第一,可以灌輸傳統金融當中不足的東西,但是您也應該盡最大努力從傳統金融中學習。要讓它實現真正的去中心化,無許可、無信任等是巨大的競爭優勢。[2020/8/6]
是否具有實施其他特殊措施的能力?
上述行為中,哪些會有時延、哪些沒有?
如果有時延,具體會延長多久時間?
有多少人具有管理員權限?
在執行某些操作之前,必須獲得多少個管理員批準?
是否有任何行政行為被鏈上治理控制,比如 DAO?
對于擬議的協議更改,可以在哪里查詢到最新狀態?
上述某些信息已能在 DefiWatch 中進行跟蹤。
李笑來:DEFI早晚還得出事 想要大行其道還需要很久:李笑來發微博稱,風險警告:DEFI這東西,最近早晚還得出事。它就是一個只有既不懂技術又不懂金融的人才會對它亂興奮的東西。有些少數既懂技術又懂金融的也在瞎興奮的根源在于他們真的不懂風險管理。DEFI想要大行其道,還需要很久。 ???[2020/7/31]
以太坊區塊鏈中充滿對抗性參與者,一般而言,開發人員應該盡量避免對其他系統的合約行為作出任何假設。然而在許多 DeFi 應用中,這幾乎是不可能的,因為服務本身就是建立在現有合約之上。
因此在涉及有關外部依賴關系風險時,下面這些問題可能會有一定幫助:
你的系統依賴哪些預言機?
你的系統依賴哪些交易所?
你的系統使用了哪些第三方智能合約來構建(比如 OpenZeppelin)?
你的系統支持哪些代幣?你對這些代幣的功能做了哪些假設?
對于那些高智商黑客而言,攻擊 DeFi 協議能讓他們獲得巨大的經濟收益。因此你其實可以嘗試制定一個賞金計劃,為提供系統漏洞的人提供一些資金獎勵,這樣就能減少漏洞被黑客利用。實際上,通過賞金計劃舉報漏洞對黑客聲譽也有好處,因為這樣他們就不必通過非法手段來獲利了。
出于對客戶資金保護的目的,任何一家運行 DeFi 協議的公司都應該考慮黑客賞金計劃,對此我們可以針對相關計劃和披露流程提出以下一些問題:
你的合約源代碼是否能公開獲得?
能否在你的網站和 GitHub 代碼庫上快速找到安全聯系信息?
你的合約上有賞金計劃嗎?
賞金計劃包含了哪些合約?
賞金額度范圍有多少?
你此前是否支付過賞金?
你此前是否拒絕為報告 Bug 的人支付賞金?
能否在你的網站和 GitHub 代碼庫上快速找到賞金計劃的細節內容?
理想情況下,這些信息都可以在項目官方網站的安全網頁 / 欄目中找到,或是利用 GitHub 的 SECURITY.md 功能也能找到相關信息。
在遭遇安全事件時,隨著各種新信息不斷涌入,開發人員通常很難理清思路,因為會有大量用戶在 Twitter、Telegram、Discard 上提出各種各樣的棘手問題……
所以,你需要制定計劃來確保安全事件朝著健康的方向發展。雖然對于 DeFi 項目團隊而言公開完整計劃可能沒有太大意義,但他們最好能夠回答以下幾個問題:
你是否有書面計劃概述如何處理安全事件?
你的計劃考慮了哪些方案?
如果你的系統是可升級的,那么所有執行操作步驟是否被記錄在案?
如果發現了導致資金面臨風險的漏洞,你是否會先發制人處理問題以保護資金安全?
審計不是萬靈藥,也不是所有審計都能做到公平對待。但是對于 DeFi 合約而言,正式部署之前進行安全審計仍是至關重要的一步。
雖然不是每個問題都能有「正確答案」,但項目開發團隊給予的反饋和回復至少能讓社區成員可以了解他們的安全立場,下面這幾個問題值得關注:
你的項目上一次審計是在什么時候?
審計工作需要多少工作量(以人 / 小時為單位)?
哪家公司對你進行的審計?
審計報告是公開的嗎?
你的系統有哪些部分被排除在審計之外了?
自從上次審計以來,你的合約是否升級?如果升級了,發生了哪些變化?
你是否與安全公司保持長期關系?
在代碼合并之前,開發人員是否會在 GitHub 里檢查彼此的 Pull Request (至少在 Solidity 文件里)?
單元測試會涵蓋合約代碼的哪些部分?
流程中是否使用過任何其他安全分析工具?
對于有興趣跟進這些問題的 DeFi 用戶,另一個值得關注的項目是 ConsenSys 的 DeFi Score,該項目正在執行一項艱巨的任務,即評估各個主要 DeFi 項目上的審計質量和其他安全流程質量。
最后,謝謝 Emilio 和 Ernesto (Telegram 上的 @eboado),他們都是 Aave 開發人員,以及 DeFi Score 的 Jack 為本文早期草稿提供的反饋。
來源鏈接:diligence.consensys.net
撰文:John Mardlin,ConsenSys Diligence 安全工程師翻譯:盧江飛
進入2020年3月以來,全球資本市場劇烈震蕩,美股一周兩度熔斷蒸發3萬億美元,國際原油價格一度跌破30美元,新冠肺炎疫情蔓延世界大部分地區,開年以來的“黑天鵝”事件接連發生.
1900/1/1 0:00:00OKLink Fintech Limited(以下簡稱“OKLink”)作為歐科云鏈全資子公司,繼承了其在區塊鏈技術研發的深厚積累.
1900/1/1 0:00:00上圖為BTC2015年至2020年長周期周線走勢圖,走勢圖中三條比較重要的均線分別是周線MA200、周線MA100和周線MA50.
1900/1/1 0:00:00FTX杠桿代幣實操課開講啦!奔走相告:FTX業內首創杠桿代幣現已上線FTX、幣安、幣安DEX、gate.
1900/1/1 0:00:00本周一,對于全球金融市場來說是極為血腥的一天。歐洲股市下跌了8%;美股暴跌開盤,并且罕見觸發了熔斷機制,一度暫停交易,三大股指收盤均跌超7%,道瓊斯指數收盤跌幅更是創下了12年來最大單日跌幅;而.
1900/1/1 0:00:00上周,印度的最高法院正式撤銷了由該國央行,也就是印度儲備銀行(RBI),于 2018 年 4 月實施的全面禁令,在近兩年內第一次在實際意義上允許在印度境內開展加密交易.
1900/1/1 0:00:00