作者:Ignas
編譯:Crush,Biteye核心貢獻者
FTX?的崩潰證明了自我托管和風險管理的重要性。但是在?DeFi?中,仍有許多漏洞、RugPull以及合約BUG,一不小心就會虧錢。
今天這篇文章,我就來說一下如何去評估一個項目的安全性,以保護好自己的資產。
如果你自己本身就是一個經驗豐富的智能合約開發者,能夠親自去驗證項目代碼的安全性,這再好不過了,但是我相信大多數人都不是。
所以沒辦法,我們只能根據其他數據去評估一個項目,這涉及到一定程度的信任。
TVL高就一定安全?
眾所周知,大多數人通過存入智能合約的資產價值來評估一個DeFi項目的好壞。因此,不少人認為TVL在一定程度上,是可以反映這個項目的安全性的。
如果鎖倉的資產越多,那么說明這個協議的安全性就越高。你可以這么想,能夠鎖倉這么多資金的協議,那這些存錢的人一定是進行了充分的調查,確認了協議的安全性才敢把錢放進去。
DeFi無抵押借貸協議TrueFi集成Chainlink喂價:金色財經報道,據官方消息,DeFi無抵押借貸協議TrueFi已集成Chainlink喂價,進一步確保零擔保TUSD貸款的安全。[2021/3/13 18:40:48]
不幸的是,TVL往往給人一種錯誤的安全感。一方面,你認為高TVL的協議更加安全,但同樣黑客也會盯著這些協議進行攻擊,因為攻擊這些協議能賺取更多的利潤。另一方面,低TVL也不一定就意味著協議就不安全。
因此,僅僅通過TVL去判斷一個協議的安全性,不免有些似是而非。
我們根據TVL對現有的DeFi項目進行一個排名:
看完這張圖后
你還認為高TVL一定代表著安全嗎?
圖中有哪些協議你覺得是不可信的?為什么?
THBU基金合伙人Susan:BTC跨鏈工具是DeFi的剛需:金色財經報道,12月14日,THBU基金合伙人Susan老師在《金色路演》節目上表示:BTC跨鏈工具是DeFi的剛需,DeFi熱度起來至今,BTC的參與度一直不高。波卡的跨鏈愿景遠大,但是DeFi世界更需要一個專注的跨鏈協議項目,鏈接BTC和以太坊生態。它應該具備完成比特幣零確認、完全去中心化、極佳用戶體驗等一系列特點。[2020/12/14 15:09:11]
親自驗證
「不信任,只驗證」是我們進行智能合約審計的原因。如果不是這樣,我們可能不需要審計。因為代碼是開源的,社區可以找到代碼中的所有問題。然而,社區可能沒有正確的動機、激勵或專業知識來驗證代碼。
因此審計人員必須要足夠專業,但更加重要的是,審計人員自己不能出問題。例如,著名審計公司Certik經手審核的不少項目仍然被黑了,可以說是防不勝防。
DTC Capital負責人:Curve Finance(CRV)將開啟DeF新i熱潮:盡管DeFi熱潮在過去幾周逐漸平息,但DTC Capital負責人Spencer Noon表示,一種新興的加密資產可能會開啟DeFi熱潮的新階段。Noon最近在推特表示,他正密切關注Curve Finance(CRV),因為這種新加密貨幣可能會將DeFi行業推向更高的高度。
據悉,Curve Finance是基于以太坊的代幣的去中心化交易所(DEX),通過向流動性提供者提供激勵來促進流動性的創造。一個激勵措施是讓流動性池從平臺上進行的交易中收取費用。第二個激勵措施涉及將CRV(協議治理代幣)獨家授予自1月份以來一直提供流動性的資金池和用戶。官方稱,“CRV將被授予Curve.fi流動性提供者。不會有任何公開銷售或ICO。從第一天起,所有在Curve上提供流動性的用戶將根據他們向CRV提供流動性的時間和數量獲得CRV獎勵。”Curve Finance背后團隊尚未發行CRV(預計8月上旬),但Coinbase最近發布的上幣考察名單包括該代幣。(The Daily Hodl)[2020/8/9]
同時,審計公司也在建立自己的聲譽。如果他們審核的協議被黑,則給人一種不專業的印象。事實上,Certik已經審核了超過3422個項目,所以其中一些項目遭到黑客攻擊或存在漏洞也是難以避免的。
Coinbase錢包允許用戶在DeFi平臺借出加密貨幣:金色財經報道,Coinbase錢包已與去中心化金融(DeFi)應用程序集成,允許用戶借出加密資產,并直接在錢包上跟蹤利息。該功能將在本周向iOS用戶提供,并在未來幾周向安卓用戶提供。同時,Coinbase警告投資者,DeFi產品仍然是新產品,并且風險較高,投資者應謹慎行事。[2020/3/26]
所以僅僅進行是通過審計,并不意味著協議是安全的。我見過一些項目自豪地宣布「完成審計」,但當你閱讀審計報告時,卻發現他們的安全分數實際上很低。
這給我的教訓是,不要盲目相信項目方的審計公告,而是通過閱讀實際審計報告來驗證結果。
我不愛讀審計報告怎么辦?
事實上,大多數人都不會閱讀審計報告,不過?Certik有一個包含所有已審項目的數據看板,在這個看板里面,你可以檢查項目的「信任分數」,數字越高表示安全。
動態 | ConsenSys發布DeFi開源風險評估方案DeFi Score:ConsenSys在本周六推出一種評估DeFi借貸代碼和財務風險開源解決方案DeFi Score。在該公司對外發布公告中,ConsenSys表示,希望利用該解決方案提高透明度,并提升外界對DeFi貸款市場相關技術和財務風險理解。該模型按照智能合約風險和金融風險兩大類來捕獲加密市場風險屬性,包括技術、流動性和監管風險等,并使用10分制計算分數。此外,ConsenSys的DeFi評分也會在較小范圍內考慮到監管問題,但他們表示,未來會提升監管評分占比。不過,ConsenSys表示DeFi Score不是一個經過驗證的統計模型。(Ambcrypto)[2019/9/22]
其它審計機構,例如Hacken,也會有類似的數據看板。或者你可以簡單地閱讀一下審計摘要,例如下面這個TraderJoe的例子,它是由Paladin審計完成的。
譯者注:TraderJoe是?Avalanche?上的一站式交易平臺。提供交易和借貸功能,并將其結合能夠提供杠桿交易。
通過這里的數據我們不難看出,TraderJoe修復了所有的中高風險問題,但是在低風險問題上,卻仍有部分未進行修復。
審計只是開始
評估一個項目的安全性,還需要考慮更多:
充分的測試
賞金活動
文檔的公開透明
管理控制
Oracle文檔
要考慮的方面那可太多了,要是全部都親自驗證,恐怕先得累死。說到這里,我們就不得不提到DeFiSafety。它會對這些協議進行一個驗證,然后給出安全評分。
根據它們提供的結果,我們可以很清楚地看到,LiquityProtocol、Synthetix?以及AngleProtocol是所有經過驗證的DeFi協議中最安全的。
在DefiSafety上,你還可以查看更多細節部分的內容。例如,Liquidyprotocol仍然需要形式驗證。
譯者注:在計算機硬件和軟件系統的設計過程中,形式驗證的含義是根據某個或某些形式規范或屬性,使用數學的方法證明其正確性或非正確性。
此外,你還可以通過ExponentialDeFi,對錢包的投資組合進行一個安全性評估。
「評價錢包」功能會為你提供當前投資的風險分析。例如,在Tetranode的資產中,就有450萬美元的資產是被存入在風險較高的協議中。
譯者注:Tetranode是一位匿名遠古巨鯨,據傳他有價值約10億美元的加密資產,他在2009年的時候就接觸到了比特幣,并在此后的日子里始終對其保持高度的信仰。
ElementalDeFi會根據項目評估給出評分,評估考慮了資產風險、代碼質量和資產存放的區塊鏈的安全性。這種簡單易懂的風險說明,讓我愛不釋手。
就拿Abracadabra的穩定幣?MIM來舉例,它會直接給出警告:SPELL被用作抵押品可能會導致壞賬。
譯者注:Abracadabra是一個生息資產穩定幣協議,用戶可以使用用生息憑證進行質押并印鑄協議原生穩定幣MIM。
不懂就問
最后一個要給大家介紹的方法就是,直接加入項目的社區,然后思考一下下面幾個問題:
他們有保險基金嗎?
他們會回避提問嗎?
他們正在做什么來提高安全性?
例如我之前就曾問過Stargate團隊,他們是否擁擁有保險基金,以防止項目被黑客入侵。但是有時想要得到一個準確的答案,卻并不是那么簡單,項目方往往會各種拐彎抹角地回避問題。這似乎是一種危險信號,讓人不得不提高警惕。
但是無論發生什么,DeFi都還很年輕,還有很長的路要走,所以最好不要把所有的雞蛋都放在一個籃子里!
作者:AFFLUX? 2023年1月19日-1月20日,正值新春佳節來臨之際,AFFLUX預祝各位新春大吉,萬事如意.
1900/1/1 0:00:00JackDorsey旗下支付公司Block的比特幣錢包負責人MaxGuise在CES2023大會上表示,Block正在開發一種數字錢包,允許客戶自己持有比特幣.
1900/1/1 0:00:00Gitcoin宣布其去中心化贈款協議GrantsProtocol將在未來幾個月啟動五輪Alpha測試,此舉為GitcoinGrants過渡到GrantsProtocol的第一步.
1900/1/1 0:00:00原文標題:《Afewofthethingswe’reexcitedaboutincrypto》 撰文:a16z 編譯:餅干.
1900/1/1 0:00:00作者:flowie,ChainCatcher“上一輪加密牛市中,風險投資機構倉促完成交易,而缺乏盡調“,這是FTX發生大面積擠兌前一天.
1900/1/1 0:00:00聯合廣場風投USV合伙人FredWilson在其個人博客撰文《2022年發生了什么》,其中指出去年市場影響最大的領域是Web3,Crypto/Web3資產本身崩潰.
1900/1/1 0:00:00