以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

DEF:DeFi 用戶應該向開發者提出的質詢

Author:

Time:1900/1/1 0:00:00

過去幾個月來,DeFi 生態經歷了巨大的動蕩,數次攻擊之下,許多未被利用過的缺陷也被報道出來。

雖然代碼中無可避免會有 bug,但還是有很多方法能降低缺陷發生的頻率,以及降低缺陷帶來的負面影響。

作為一個審計員,我們想要幫助 DeFi 用戶問一些比較尖銳的問題;問這些問題的目的,一方面是讓開發人員認真去考慮系統安全性的優先級,另一方面,讓用戶能分辨出回答得好的協議,然后把錢投入這些協議。

以下問題能幫助用戶了解 DeFi 開發團隊對于安全性的立場,答案不一定有對錯之分,而且也不是每個團隊(or 獨立開發者)都有資源全盤顧及所有方面。但不論如何,用戶有權利知道這些信息,來決定自己愿意承受的風險。

安全團隊:以太坊上PEAKDEFI遭攻擊,黑客獲利約6.6萬美元:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin?EagleEye 安全風險監控、預警與阻斷平臺監測顯示,ETH鏈上的PEAKDEFI項目遭受攻擊,攻擊者利用合約中sellLeftoverToken()函數未進行權限校驗。導致黑客合約中轉走29832 BAT,5083 SUSHI,32508 matic,831 link,總價值66659美元。[2022/11/5 12:19:47]

我們希望通過以下提問,促使后續開展更多正面的討論。

管理員權限

大部分的主流 DeFi 協議都存在一些中心化的機制——允許特定的 “管理員” 地址以強硬的手段干預協議的運行。

這樣做雖然在安全上有好處,但這意味著你必須相信這些 “管理員” 不會濫用他們的特權;而且但凡這些管理員遭到黑客攻擊,他們的私鑰泄露所帶來的后果會更加嚴重。

美SEC專員:由于DeFi的去中心化,很難對其進行監管:SEC專員Hester Peirce表示,到目前為止,由于DeFi的去中心化,很難對其進行監管。這將對我們構成挑戰,因為我們監管的大部分方式都是通過中介進行的,而當真正構建去中心化的東西時,就沒有中介。這對于系統的彈性非常重要。但是,當我們試圖進入并進行監管以弄清楚如何做到這一點時,對我們來說要困難得多。(Forkast)[2021/2/1 18:37:06]

管理員賬戶可以是以下幾種形式:單一地址、多重簽名錢包,或是由 DAO 管理的投票過程。那么,

1.管理員能采取哪些措施?

暫停整個系統?

修改賬戶余額?

設置 代幣/用戶 的 白名單/黑名單 ?

升級某個子系統?

升級整個系統?(等同于萬能...)

水橋服務聯盟首席咨詢顧問應俊:鏈接實體產生可信數據是DeFi金融體系的必要條件:?金色財經現場報道,9月20日,由金色財經主辦,水橋區塊鏈總冠名的“共為·創業者大會”在廈門舉辦。水橋服務聯盟首席咨詢顧問應俊做了主題為《從概念DeFi到價值DeFi,新一波頭礦的價值幾何》的演講。應俊表示,鏈接實體資產產生可信數據價值是DeFi金融體系的必要條件,作為形成價值互聯網的基礎設施,區塊鏈可以成為數字資產與實體價值資產之間的鏈接橋梁。DeFi是更高層級的金融組合,相較于CeFi,DeFi有公開的資金管理,透明的金融邏輯,平衡的價值收益,不可變更的透明設計。[2020/9/20]

其他權限?

2.如果采取上述行為,是否有延遲執行機制?

3.如果有延遲時間,那是多長?

4.多少人有管理員權限?

5.采取上述行為前,需要經過多少管理員同意?

摩根溪創始人:多數DeFi機制都將建立在比特幣鏈上:2月29日,摩根溪創始人Anthony Pompliano發推與YouTuber Brad Laurie進行討論時表示,有四個開發團隊向其介紹了不同的DeFi構想,而這些構想都將在比特幣鏈上實施。他稱,大多數DeFi機制都將建立在比特幣鏈上。且Anthony Pompliano強調稱,這與部落主義無關。是與ETH不是貨幣這一事實有關,因此,沒有健全的貨幣,你就不能構建DeFi產品。[2020/2/29]

6.有哪些權限是由鏈上治理程序(即 DAO)來掌控的嗎?

7.我該去哪里了解提議更新協議的提案?

以上某些問題的回答已經可以通過 DefiWatch 跟蹤了解。

外部依賴

因為是公開的網絡,以太坊上充斥著不懷好意的攻擊者,因此開發者不能假設本系統外的合約一定會采取什么樣的行為。但在許多 DeFi 應用中又不得不作出這樣的假設,因為服務本身就是在已有的一些合約上建構出來的。

這些問題能幫助用戶了解該項目在外部依賴上存在的風險。

1.你的系統依賴什么預言機(Oracle)?

2.你的系統依賴什么交易所?

3.你用什么第三方智能合約(如,OpenZeppelin)來建立系統?

4.你的系統支持哪些代幣,你對這些代幣(合約)的行為模式有怎樣的預期?

可靠的的披露系統和獎勵計劃

對于才華橫溢的黑客來說,攻擊 DeFi 協議對他們有著強大的金錢誘惑。制定獎勵計劃能激勵大家發現并揭露漏洞,而非鉆漏洞。對于白帽黑客來說,通過激勵系統揭露代碼漏洞也是提高自身聲譽的好方法 —— 既有好處又不違法。

任何公司要運行 DeFi 協議,或是涉及在線托管金錢的業務,都應該設有獎勵系統。你可以就他們的獎勵計劃及披露流程提出以下問題:

1.你們的合約代碼能夠被所有人看到嗎?

2.從你們的網站和 git 代碼庫,能夠很容易找到安全的聯系方式嗎?

3.你們的合約有沒有設置獎勵計劃?

4.哪些合約在獎勵計劃內?

5.獎勵計劃具體金額是?

6.你們是否支付過獎勵計劃的獎金?

7.對于 bug 報告,你們是否曾拒絕支付過?

8.從你們的網站和 git 代碼庫,能夠很容易地找到獎勵計劃的詳細信息嗎?

理想情況下,這些信息應該放在 “website.com/security” 頁面下,而且能搭配 Github 的 SECURITY.md 功能使用。

應急預案

當面對某些安全突發狀況的時候,新消息如潮水般涌來,用戶持續在 Twitter、Telegram、Discord 上提出棘手的問題......,這時候開發者很難頭腦清楚地應對突發狀況。

所以如果有應急預案的話,就能證明項目正朝著安全方向發展。要求項目公開他們完整的計劃可能不太現實,但我們還是能提出以下基礎的問題去側面了解:

1.你們是否有處理突發安全事件的計劃提綱?

2.你們的應急預案適用于哪些緊急情況?

3.如果你們的系統是可升級的,這些升級步驟是否記錄在案?

4.如果你們發現某個系統漏洞可能讓資金面臨風險,你們是否能通過應急預案先發制人,保護資金安全?

審計與安全發展

審計并非萬靈丹,而且審計的內容總多多少少有點區別,但對于部署任何的 DeFi 合約之前,進行審計是至關重要的一步。

下面的問題不一定有 “正確答案”,但學識淵博的社區群眾們,應該能從項目的回答中看出開發團隊對于安全性的立場。

1.你們最近一次審計是什么時候?

2.這次審計投入了多少精力(以標準開發者的一小時來做單位)?

3.哪個機構做的審計?

4.審計報告公開嗎?

5.你們系統中有任何部分是沒有被涵蓋在審計的范圍內嗎?

6.最近一次審計之后,你們有對合約進行更新嗎?如果有,更新了什么?

7.你們有和哪個安全團隊進行長期合作嗎?

8.在合并代碼之前,開發者會彼此做 code review 嗎(至少檢查 Solidity 文件)?

9.你們的合約代碼中,做過單元測試的比重是多少?

10.審計過程中,你們用過其他的安全分析工具嗎?

Tags:EFIDEFIDEFSECBlaze DeFiNRGY DefiDefPacegliesecoin

狗狗幣價格
MAC:金色趨勢丨近期聯動美股的BTC 是否失去了避險屬性?

上圖為近期BTC走勢和標普500走勢,可以發現,最近BTC和美股走勢聯動性較強,兩者近期整體出現了同漲同跌的相關走勢,基本維持震蕩下行的局面.

1900/1/1 0:00:00
BTC:美股本月第四次熔斷 比特幣依然走收斂態勢

美股出現本月第四次熔斷,比特幣并沒有受到明顯拖累。在大跌企穩之后,近期主流幣呈縮量收斂趨勢,短時變盤的可能性較大。觀察各資產間表現出的不同,這給市場走勢帶來較大不確定性.

1900/1/1 0:00:00
人工智能:區塊鏈“戰疫”——區塊鏈行業抗疫調研報告

摘要 新冠肺炎疫情對區塊鏈企業主要造成短期的負面影響,中長期影響有限;超八成企業認為疫情為企業帶來的負面影響主要集中于工作進度拖延、固定成本開支較大、與合作機構開展業務受阻等方面;區塊鏈企業應對.

1900/1/1 0:00:00
PAY:印度交易所Zebpay表示去年曾遭政府調查并被罰款

印度加密貨幣交易所Zebpay表示去年印度政府曾對其進行調查。據TheBlock報道,本周早些時候印度當地媒體報道該國公司事務部對ZEB IT Services Pvt Ltd(又名Zebpay.

1900/1/1 0:00:00
TET:抄底的時機到了嗎?Tether已新增6000萬個USDT庫存

比特幣在過去兩天內的價格下跌了17.16%,震撼了整個市場,但是,加密貨幣市場下跌的同時,股票市場也出現了大幅下跌.

1900/1/1 0:00:00
TER:20億美元的交易過后 區塊鏈大牛杰克?多爾西繼續擔任推特CEO

投資管理公司Elliott Management與推特達成協議,杰克?多爾西(Jack Dorsey)得以繼續擔任社交媒體網絡首席執行官.

1900/1/1 0:00:00
ads