去中心化金融一定安全嗎？這份DeFi安全指南奉上_DEF

原文：Ignas

編譯：Biteye核心貢獻者Crush

FTX的崩潰證明了自我托管和風險管理的重要性。但是在DeFi中，仍有許多漏洞、RugPull以及合約BUG，一不小心就會虧錢。

今天這篇文章，我就來說一下如何去評估一個項目的安全性，以保護好自己的資產。

如果你自己本身就是一個經驗豐富的智能合約開發者，能夠親自去驗證項目代碼的安全性，這再好不過了，但是我相信大多數人都不是。

所以沒辦法，我們只能根據其他數據去評估一個項目，這涉及到一定程度的信任。

TVL高就一定安全？

眾所周知，大多數人通過存入智能合約的資產價值來評估一個DeFi項目的好壞。因此，不少人認為TVL在一定程度上，是可以反映這個項目的安全性的。

如果鎖倉的資產越多，那么說明這個協議的安全性就越高。你可以這么想，能夠鎖倉這么多資金的協議，那這些存錢的人一定是進行了充分的調查，確認了協議的安全性才敢把錢放進去。

摩根大通：以太坊將繼續失去其在去中心化金融領域的主導地位:金色財經報道，在最近的一份研究報告中，摩根大通分析師Nikolaos Panigirtzoglou預測以太坊將繼續失去其在去中心化金融領域的主導地位。 為了增加網絡的可擴展性，它會被劃分成獨立的分片。分片無疑是備受期待的以太坊2.0升級的主要功能之一。然而，由于分片鏈階段預計僅在2023年開始。以太坊在去中心化金融市場的份額在過去一年中一直在穩步縮小。根據DefiLlama提供的數據，去年1月，以太坊的主導地位超過97%，但由于Terra、Binance Smart Chain 、Avalanche和Solana等競爭對手的快速增長，其在DeFi協議鎖定的總價值中的份額現已縮水至63% 。（U.Today）[2022/1/6 8:29:56]

不幸的是，TVL往往給人一種錯誤的安全感。一方面，你認為高TVL的協議更加安全，但同樣黑客也會盯著這些協議進行攻擊，因為攻擊這些協議能賺取更多的利潤。另一方面，低TVL也不一定就意味著協議就不安全。

Newland去中心化Staking將于9月17日正式上線:據官方消息，去中心化生態平臺Newland將于2021年9月17日正式上線去中心化Staking產品，用戶可通過Newland平臺一鍵參與項目鏈上質押，一鍵領取收益。去中心化Staking的鏈上資產質押及獎勵分發操作將通過智能合約執行，所有獎勵分發情況鏈上可查，手續費公開透明，能有效保障用戶的資產安全及相關權益。

Newland是一個聚合多鏈的去中心化生態平臺，支持一站式DeFi借貸、去中心化Staking、聚合挖礦、Polkadot/Kusama 卡槽拍賣、多元生態等服務。[2021/9/10 23:16:07]

因此，僅僅通過TVL去判斷一個協議的安全性，不免有些似是而非。

我們根據TVL對現有的DeFi項目進行一個排名：

Konomi與去中心化借貸協議bZx合作推動DeFi生態發展:2月24日消息，波卡生態貨幣市場協議 Konomi 宣布與去中心化借貸協議 bZx 達成合作，此次合作將允許所有 bZx 數字資產，包括使用其產品套件構建的項目中的加密貨幣通過 Konomi 在 DeFi 應用程序中使用，Konomi 用戶將能夠參與保證金交易。該合作將為雙方在未來提供更好的跨鏈流動性。

Konomi 基于 Substrate 底層技術框架，提供跨鏈資產管理解決方案，旨在讓以太坊上的金融應用無縫銜接到波卡生態。bZx 是以太坊區塊鏈上的一種協議，設計用于集成 0x 協議標準中間件以及鏈上去中心化交易所。[2021/2/24 17:48:13]

看完這張圖后

你還認為高TVL一定代表著安全嗎？

圖中有哪些協議你覺得是不可信的？為什么？

V神：特朗普與Twitter等社交媒體巨頭之爭將凸顯去中心化替代方案需求:周四，特朗普在Oval Office發表講話稱，他在Twitter上發布推文的事實核查標簽正在干擾2020年總統大選，并扼殺言論自由。他指出，Twitter、Facebook、Instagram和YouTube等巨頭權力過大。特朗普簽署的關于在網絡審查（Online Censorship）的行政命令將剝奪廣泛的法律保護，以為監管機構對社交媒體巨頭處理網絡內容的行為采取法律行動打開了大門，而這些法律保護曾使這些巨頭受益。

盡管特朗普的命令將引發一場法律風暴，但由于難以過濾內容，集中化的科技巨頭越來越多地卷入了斗爭。以太坊聯合創始人Vitalik Buterin（V神）表示，這種情況凸顯了去中心化替代方案的需求。盡管V神認為，對具有潛在危險的內容貼上警告標簽是比完全禁止它更好的選擇，但他擔心“選擇性憤怒”會被用來威脅Twitter的獨立性。（The Daily Hodl）[2020/5/29]

親自驗證

江卓爾發微博：顯卡礦機可以去中心化是個笑話:今日雙優礦池宣布停止了BTG礦池運營，江卓爾隨即在微博表示：BTG最大的礦池占了70%的算力，99%的算力是集中部署的大礦場，現在知道“顯卡礦機可以去中心化” 是多大的笑話了吧。[2018/1/26]

「不信任，只驗證」是我們進行智能合約審計的原因。如果不是這樣，我們可能不需要審計。因為代碼是開源的，社區可以找到代碼中的所有問題。然而，社區可能沒有正確的動機、激勵或專業知識來驗證代碼。

因此審計人員必須要足夠專業，但更加重要的是，審計人員自己不能出問題。例如，著名審計公司Certik經手審核的不少項目仍然被黑了，可以說是防不勝防。

同時，審計公司也在建立自己的聲譽。如果他們審核的協議被黑，則給人一種不專業的印象。事實上，Certik已經審核了超過3422個項目，所以其中一些項目遭到黑客攻擊或存在漏洞也是難以避免的。

所以僅僅進行是通過審計，并不意味著協議是安全的。我見過一些項目自豪地宣布「完成審計」，但當你閱讀審計報告時，卻發現他們的安全分數實際上很低。

這給我的教訓是，不要盲目相信項目方的審計公告，而是通過閱讀實際審計報告來驗證結果。

我不愛讀審計報告怎么辦？

事實上，大多數人都不會閱讀審計報告，不過Certik有一個包含所有已審項目的數據看板，在這個看板里面，你可以檢查項目的「信任分數」，數字越高表示安全。

其它審計機構，例如Hacken，也會有類似的數據看板。或者你可以簡單地閱讀一下審計摘要，例如下面這個TraderJoe的例子,它是由Paladin審計完成的。

通過這里的數據我們不難看出，TraderJoe修復了所有的中高風險問題，但是在低風險問題上，卻仍有部分未進行修復。

審計只是開始

評估一個項目的安全性，還需要考慮更多：

充分的測試

賞金活動

文檔的公開透明

管理控制

Oracle文檔

要考慮的方面那可太多了，要是全部都親自驗證，恐怕先得累死。說到這里，我們就不得不提到DeFiSafety。它會對這些協議進行一個驗證，然后給出安全評分。

根據它們提供的結果，我們可以很清楚地看到，LiquityProtocol、Synthetix以及AngleProtocol是所有經過驗證的DeFi協議中最安全的。

在DefiSafety上，你還可以查看更多細節部分的內容。例如，Liquidyprotocol仍然需要形式驗證。

此外，你還可以通過ExponentialDeFi，對錢包的投資組合進行一個安全性評估。

「評價錢包」功能會為你提供當前投資的風險分析。例如，在Tetranode的資產中，就有450萬美元的資產是被存入在風險較高的協議中。

ExponentialDeFi會根據項目評估給出評分，評估考慮了資產風險、代碼質量和資產存放的區塊鏈的安全性。這種簡單易懂的風險說明，讓我愛不釋手。

就拿Abracadabra的穩定幣MIM來舉例，它會直接給出警告：SPELL被用作抵押品可能會導致壞賬。

不懂就問

最后一個要給大家介紹的方法就是，直接加入項目的社區，然后思考一下下面幾個問題：

他們有保險基金嗎？

他們會回避提問嗎？

他們正在做什么來提高安全性？

例如我之前就曾問過Stargate團隊，他們是否擁擁有保險基金，以防止項目被黑客入侵。但是有時想要得到一個準確的答案，卻并不是那么簡單，項目方往往會各種拐彎抹角地回避問題。這似乎是一種危險信號，讓人不得不提高警惕。

但是無論發生什么，DeFi都還很年輕，還有很長的路要走，所以最好不要把所有的雞蛋都放在一個籃子里！

Tags：EFIDEFDEFI以太坊PEET DeFiXDEFI Wallet去中心化金融defi什么意思以太坊交易時間

幣安幣