過去幾個月來,DeFi生態經歷了巨大的動蕩,數次攻擊之下,許多未被利用過的缺陷也被報道出來。
雖然代碼中無可避免會有bug,但還是有很多方法能降低缺陷發生的頻率,以及降低缺陷帶來的負面影響。
作為一個審計員,我們想要幫助DeFi用戶問一些比較尖銳的問題;問這些問題的目的,一方面是讓開發人員認真去考慮系統安全性的優先級,另一方面,讓用戶能分辨出回答得好的協議,然后把錢投入這些協議。
以下問題能幫助用戶了解DeFi開發團隊對于安全性的立場,答案不一定有對錯之分,而且也不是每個團隊都有資源全盤顧及所有方面。但不論如何,用戶有權利知道這些信息,來決定自己愿意承受的風險。
我們希望通過以下提問,促使后續開展更多正面的討論。
1.管理員權限
大部分的主流DeFi協議都存在一些中心化的機制——允許特定的“管理員”地址以強硬的手段干預協議的運行。
觀點:預計加密礦企Marathon Q4收益將是Q3的三倍:金色財經報道,加密礦企Marathon在今日美國股市收盤后公布的第四季度收益。據分析師估計,第四季度收益將是其第三季度收益的三倍,預計將報告3840萬美元的收入,但仍低于去年同期的6030萬美元。
Marathon首席執行官Fred Thiel本月早些時候表示,因為能夠”解決德克薩斯州站點的維護和技術問題”,Marathon 1月份的比特幣產量環比增加了45%,在1月底達到了7.3 EH/s 的哈希率容量,并設定了到2023年中期達到23 EH/s的目標。[2023/3/1 12:35:23]
這樣做雖然在安全上有好處,但這意味著你必須相信這些“管理員”不會濫用他們的特權;而且但凡這些管理員遭到黑客攻擊,他們的私鑰泄露所帶來的后果會更加嚴重。
管理員賬戶可以是以下幾種形式:單一地址、多重簽名錢包,或是由DAO管理的投票過程。那么,
觀點:未來五年內山寨幣將有可能取代比特幣的領先地位:區塊鏈搜索和分析平臺Blockchair首席開發人員Nikita Zhavoronkov說,在未來五年內,山寨幣將有可能取代比特幣(BTC)成為領先的加密貨幣。在一系列的推文中,Zhavoronkov解釋了為什么他認為比特幣缺乏智能合約、新的隱私功能和縮放技術將最終給比特幣帶來麻煩。他說,以太幣目前是市值第二大的加密貨幣,很可能會超過比特幣,盡管其他數字資產也可能升至加密市場的首位。Zhavoronkov指出,以太坊2.0是一個潛在的轉折點,其設計目的是通過股權證明系統來顯著提高以太坊的交易速度和交易量。(The Daily Hodl)[2020/6/10]
管理員能采取哪些措施?
暫停整個系統?
修改賬戶余額?
設置代幣/用戶的白名單/黑名單?
觀點:BitClave很難拿出需要支付給SEC的2900萬美元:昨日消息,美國SEC下令去中心化搜索引擎BitClave返還2500萬美元的ICO收益。納斯達克前副總裁Manny Alicandro就此表示:“盡管BitClave同意支付大約2900萬美元(2550萬美元的退款,350萬美元的利息和40萬美元的罰金),但這并不意味著BitClave目前擁有這多么資金。在此類和解中,通常公司只會支付其所擁有的最高金額。”
注:美國SEC于5月28日發布公告稱,去中心化搜索引擎BitClave違反了聯邦證券法的注冊規定,現已同意將2017年通過出售其CAT代幣籌集的2500萬美元返還給9500名投資者。此外,BitClave還需支付300萬美元的判決前利息以及40萬美元的罰款。[2020/5/30]
升級某個子系統?
升級整個系統?
觀點:比特幣網絡活動再次增強,顯示出從持有比特幣向使用比特幣的轉變:Glassnode發布了一個關于比特幣網絡活動的圖表,該圖表顯示了整個網絡中移動的比特幣數量從去年8月開始迅速加速,直到上個月才穩定下來。自3月的急劇下跌之后,現在整個網絡活動也再次增加。從這些信息中得出的主要結論是,比特幣再次處于發展中。網絡上活動的變化可能相對較小,但仍顯示出從持有比特幣轉向使用比特幣的轉變。[2020/4/12]
其他權限?
如果采取上述行為,是否有延遲執行機制?
如果有延遲時間,那是多長?
多少人有管理員權限?
采取上述行為前,需要經過多少管理員同意?
有哪些權限是由鏈上治理程序來掌控的嗎?
我該去哪里了解提議更新協議的提案?
以上某些問題的回答已經可以通過?
DefiWatch?跟蹤了解。
2.外部依賴
因為是公開的網絡,以太坊上充斥著不懷好意的攻擊者,因此開發者不能假設本系統外的合約一定會采取什么樣的行為。但在許多DeFi應用中又不得不作出這樣的假設,因為服務本身就是在已有的一些合約上建構出來的。
這些問題能幫助用戶了解該項目在外部依賴上存在的風險。
你的系統依賴什么預言機?
你的系統依賴什么交易所?
你用什么第三方智能合約來建立系統?
你的系統支持哪些代幣,你對這些代幣的行為模式有怎樣的預期?
3.可靠的的披露系統和獎勵計劃
對于才華橫溢的黑客來說,攻擊DeFi協議對他們有著強大的金錢誘惑。制定獎勵計劃能激勵大家發現并揭露漏洞,而非鉆漏洞。對于白帽黑客來說,通過激勵系統揭露代碼漏洞也是提高自身聲譽的好方法——既有好處又不違法。
任何公司要運行DeFi協議,或是涉及在線托管金錢的業務,都應該設有獎勵系統。你可以就他們的獎勵計劃及披露流程提出以下問題:
你們的合約代碼能夠被所有人看到嗎?
從你們的網站和git代碼庫,能夠很容易找到安全的聯系方式嗎?
你們的合約有沒有設置獎勵計劃?
哪些合約在獎勵計劃內?
獎勵計劃具體金額是?
你們是否支付過獎勵計劃的獎金?
對于bug報告,你們是否曾拒絕支付過?
從你們的網站和git代碼庫,能夠很容易地找到獎勵計劃的詳細信息嗎?
理想情況下,這些信息應該放在“website.com/security”頁面下,而且能搭配Github的SECURITY.md功能使用。
4.應急預案
當面對某些安全突發狀況的時候,新消息如潮水般涌來,用戶持續在Twitter、Telegram、Discord上提出棘手的問題......,這時候開發者很難頭腦清楚地應對突發狀況。
所以如果有應急預案的話,就能證明項目正朝著安全方向發展。要求項目公開他們完整的計劃可能不太現實,但我們還是能提出以下基礎的問題去側面了解:
你們是否有處理突發安全事件的計劃提綱?
你們的應急預案適用于哪些緊急情況?
如果你們的系統是可升級的,這些升級步驟是否記錄在案?
如果你們發現某個系統漏洞可能讓資金面臨風險,你們是否能通過應急預案先發制人,保護資金安全?
5.審計與安全發展
審計并非萬靈丹,而且審計的內容總多多少少有點區別,但對于部署任何的DeFi合約之前,進行審計是至關重要的一步。
下面的問題不一定有“正確答案”,但學識淵博的社區群眾們,應該能從項目的回答中看出開發團隊對于安全性的立場。
你們最近一次審計是什么時候?
這次審計投入了多少精力?
哪個機構做的審計?
審計報告公開嗎?
你們系統中有任何部分是沒有被涵蓋在審計的范圍內嗎?
最近一次審計之后,你們有對合約進行更新嗎?如果有,更新了什么?
你們有和哪個安全團隊進行長期合作嗎?
在合并代碼之前,開發者會彼此做codereview嗎?
你們的合約代碼中,做過單元測試的比重是多少?
審計過程中,你們用過其他的安全分析工具嗎?
原文鏈接:?https://diligence.consensys.net/blog/2020/03/questions-defi-users-should-be-asking-defi-developers/作者:?JohnMardlin翻譯&校對:?IANLIU&阿劍
近期,加密貨幣市場遭遇重創,比特幣價格從最高10500美金狂泄至4500美金附近,跌幅達超過到55%,整個加密貨幣市場市值蒸發超過1千億美金.
1900/1/1 0:00:00文:棘輪比薩 來源:一本區塊鏈 今年2月,FCoin的暴雷,在數字貨幣理財行業引發了一場大地震。多個項目因FCoin陷入崩盤。數字貨幣理財也因此重回幣圈玩家視野.
1900/1/1 0:00:00本文來源:互鏈脈搏 作者:金走車 疫情當前,八方馳援,區塊鏈領域的公司也已早早投身到區塊鏈援助抗“疫”的戰斗中。而互鏈脈搏在其中發現一些值得關注的身影——上市公司的區塊鏈子公司.
1900/1/1 0:00:00北京時間3月16日凌晨5:00,美聯儲宣布再度緊急降息,送出“王炸”,降息為0,而且這是美聯儲半個月內第二次緊急降息,史無前例.
1900/1/1 0:00:00數字錢包初創公司Argent已經獲得由專注于加密貨幣的基金Paradigm領投的1200萬美元A輪融資.
1900/1/1 0:00:00比特幣要想取代法幣并成為未來最常用的貨幣,就需要在可擴展方面實施大的升級。到目前為止,比特幣的生態系統似乎已經證明了其作為一種長期投資工具的效用,但對許多投資者來說,由于這一加密貨幣龍頭老大所表.
1900/1/1 0:00:00