DeFi項目：安全風險豈止于審計_PEN

DeFi項目無論處于怎樣的市場環境，做好安全審計工作都十分重要。那么，DeFi項目安全審計的主要內容，以及審計報告的作用究竟是什么？同時，DeFi項目通過完全審計后，是否就能保證萬無一失？在安全審計之外，DeFi項目還存在哪些風險？希望本文能夠提供些許啟示。在過去幾個月，DeFi項目層出不窮，創造了一波又一波的熱度，成為了互聯網金融科技的關注焦點。從DeFi生態系統來看，流動性挖礦，去中心化交易所，信用借貸等協議產品市場反響強烈，其過山車式的價值波瀾牽引著無數投資者奔走入場。作為質押資產，大量ETH鎖定在了各類DeFi協議產品中。知名數據分析平臺DeFiPulse顯示，目前DeFi中鎖定的資產總價值已突破90億美元，距離百億大關近在咫尺。

基于Pendle的DeFi產品Penpie將在Camelot上進行代幣PNP的IDO計劃:5月18日消息，由跨鏈交易基礎設施 Magpie 與 DeFi 收益率協議 Pendle 合作推出的 DeFi 產品 Penpie 將在 Camelot 上推出其治理和收入分享代幣 PNP 的 IDO 計劃，此次參與 IDO 的 PNP 代幣數量占總供應量的 20%，硬頂為 60 萬美元，IDO 計劃代幣的 30% 將于 TGE 結束后立即解鎖，剩下將在一年內線性解鎖。其中 xGRAIL 持有者將有資格分配 IDO 計劃中 PNP 代幣銷售總額的 35%，mPENDLE 持有者占比 30%，vlMGP 持有者占比 25%，Penpie 流動性提供者 占比 10%，具體配額在以上類別中對應的份額。[2023/5/18 15:10:23]

就在7月初，這一數據僅為20億美元上下。短短兩個月，鎖倉總值上漲幅度到達了驚人的350%，投資者參與熱情之狂熱由此可見一斑。DeFi江湖，風云詭譎

DeFi跨鏈永續合約平臺YFX公布代幣發行計劃:據官方最新消息，5月6日-5月9日，去中心化永續合約交易平臺YFX.COM將開展代幣發行，YFX代幣發行整體分為三個部分：IDO—LBP—DEX，采用多平臺、多鏈、多形式的發布方式。

YFX此前已獲得NGC、SNZ、DFG等機構的戰略投資。YFX.COM自2021年1月份以來，目前已經完成ETH（layer2）、BSC、Heco、Tron主網以及OKExChain測試網的上線，能提供高達100倍永續合約交易BTC、ETH等資產,多次通過CertiK 智能合約安全審計,實現了衍生品交易的去中心化部署。[2021/4/28 21:07:50]

然而，投資火爆的的背后，各種DeFi安全事件卻頻繁發生。伴隨黑客對合約各部分漏洞的瘋狂攻擊，多個DeFi項目平臺遭到了巨額損失。

Bitget vp Jos：在DeFi、波卡和NFT的熱潮席卷之際，幣記逆流而上:3月25日，Cointelegraph中文在成都舉辦“瞰見熱潮|2021?HOT TRENDS牛年話牛市”峰會。本次大會旨在探索2021年區塊鏈行業新趨勢，挖掘行業中不同領域的發展潛力，共同推動區塊鏈行業的發展。

幣記Bitget副總裁Josephine發表了主題演講《幣記Bitget 2.0新展望》。她表示，幣記Bitget致力于成為全球領先的衍生品交易平臺，注重產品研發和合約功能的迭代，在DeFi、波卡和NFT的熱潮席卷之際，幣記Bitget實際上是逆流而上，始終遵從客戶至上、誠信向善和合作分享的原則，對自己的目標堅定不移，為用戶提供專業、高效、安全的金融服務。[2021/3/25 19:17:00]

DeFi 概念板塊今日平均漲幅為8.68%:金色財經行情顯示，DeFi 概念板塊今日平均漲幅為8.68%。47個幣種中45個上漲，2個下跌，其中領漲幣種為：PEARL(+24.50%)、YFI(+24.18%)、SUSHI(+20.74%)。領跌幣種為：HDAO(-5.34%)。[2020/12/25 16:27:01]

一般而言，DeFi項目的安全隱患中，最常見的是由代碼邏輯錯誤引發的安全問題。8月，DeFi項目YamFinance推文稱，其Rebase函數出現漏洞。這導致代幣彈性供應失衡，YAM巨量超發，正常治理無法進行。此外，DeFi項目YFValue也發表聲明稱，其YFV質押池中存在漏洞，YFV計時器可能被惡意重置。其實，類似代碼級別技術規范問題，如在項目上線前，能夠接受第三方安全審計，應該是可以將問題扼殺在搖籃之中。或許正是出于這樣的考慮，許多DeFi項目逐漸開始認識到安全審計的重要性，并選擇資質過硬的安全公司加以執行。不論是對DeFi，還是其它區塊鏈數字資產項目，造成投資風險的因素多種多樣。如黑客攻擊類，包括公鏈漏洞攻擊、合約漏洞攻擊、錢包漏洞攻擊、項目方系統攻擊等；規則鉆空取巧類，包括利用業務邏輯空隙套利、利用系統漏洞擾亂應用環境、操控預言機喂價機制等；病投放類，包括制造并定向釋放蠕蟲、木馬以及攻擊性病；欺詐類，包括項目方套利跑路等不一而足。風險規避的利器：安全審計

DeFi協議Yield Protocol宣布啟動質押計劃和治理DApp:金色財經報道，DeFi協議Yield Protocol宣布啟動質押計劃和治理DApp。至此，用戶可參與為資金池提供流動性以獲得代幣收益；與此同時，協議用戶還可以通過代幣投票參與未來協議升級與決策。（u.today）[2020/12/21 15:57:34]

從投資者的角度看，要選擇投資DeFi項目，如果候選項目自身加持“已審計”標簽，其受信程度自然會提高不少。畢竟，類似Uniswap這樣的頭部DeFi項目也無法幸免黑客利用合約漏洞盜取資產的宿命。投資者單靠熱度進行投資判斷，其中泡沫不知深淺，很容易導致投資失敗。有投資者甚至表示，安全審計與否，是他對一個DeFi項目的可信度和風險評估最重要的參考指標。

誠然，要評估DeFi項目是否存在風險，從整體上講，是否接受過安全審計是判斷DeFi項目安全性的重要分水嶺。這是由于，智能合約尚處于技術早期應用階段，各方面，各階段的技術漏洞難以避免。因此，作為前置風險規避措施，通過整體性安全審計是評價項目安全可信度的剛性指標。作為全球領先的區塊鏈安全企業，成都鏈安根據完全自主研發的“Beosin-VaaS”智能合約自動形式化驗證系統，并基于大量第三方合約安全審計經驗，能夠快速、準確地對合約代碼規范性進行全局檢查，從而排除溢出、重入等安全漏洞。通過形式化驗證，黑客攻擊類風險大大降低，同時，由于代碼問題導致的規則鉆空取巧問題可以基本杜絕。在審計報告中，受檢DeFi項目的業務邏輯和功能描述將根據核查的真實情況進行披露。投資者通過審計報告，能夠對項目方是否存在業務、功能等方面的虛假宣傳進行比對檢查。同時，項目概況、技術結構等方面也能被充分掌握和分析，并形成項目權限描述。此外，投資者還可根據審計報告考察項目方是否存在對合約資產進行“一鍵轉款”的高風險性操作權限，以及是否存在背離去中心化思想的關鍵參數設置可能性，以此在最大程度上避免墜落人為操控投資者資金的風險情況。其實，安全審計并非“法力無邊”總體而言，整數溢出等漏洞導致被動增發；不同ERC標準的代碼融合產生結合性漏洞；管理者權限AdminKey的配置不合理導致中心化操控痕跡明顯；平臺遷移、新增流動性挖礦池誘發代幣配置錯誤等問題，在安全審計和服務支持下能在最大范圍內實現規避。

然而，市場行情的變化導致資產損失、流動性受阻；項目團隊業務設計、運營邏輯不合理；發起者動機不良，不考慮項目長久發展，甚至卷款跑路；用戶私鑰管理不當，或是錯誤操作導致資產損失等諸多方面，僅靠安全審計顯然是無法做到前置規避和徹底防范的。初心難守，慎心為上

技術信仰，價值共識，成就了DeFi項目空前火爆。面對來勢兇猛的資金流，無論是技術高深的程序員，還是心懷壯志的項目創業者，初心難守亦是無奈現實。與此同時，對DeFi合約等項目的安全審計，即便恪盡職守、兢兢業業也無法預估結果，洞察人心異變。或許這本身就是技術永遠無法超越的真實。

從古到今，圍繞資產的博弈，從來就沒有停止，只要有人參與，就永遠不會停止。成都鏈安鄭重提醒，DeFi項目的創業者，寧可技術落后不可人心腐敗，安全審計絕不可避。同時，作為參與投資者，請務必慎重選擇項目，時刻懷揣理性，數字資產高回報率的背后永遠是無法預見的高風險。一轉念，網絡黑客可能存在身份的“黑白”之分，但黑與白的界限豈限于黎明，而安全風險又豈止于審計。

Tags：DEFEFIDEFIPENDEFI幣MarhabaDeFidefi幣價格漲跌原理Stipend

萊特幣