FTX的崩潰證明了自我托管和風險管理的重要性。但是在DeFi中,仍有許多漏洞、RugPull以及合約BUG,一不小心就會虧錢。今天這篇文章,我就來說一下如何去評估一個項目的安全性,以保護好自己的資產。
如果你自己本身就是一個經驗豐富的智能合約開發者,能夠親自去驗證項目代碼的安全性,這再好不過了,但是我相信大多數人都不是。
所以沒辦法,我們只能根據其他數據去評估一個項目,這涉及到一定程度的信任。
01TVL高就一定安全?
眾所周知,大多數人通過存入智能合約的資產價值來評估一個DeFi項目的好壞。因此,不少人認為TVL在一定程度上,是可以反映這個項目的安全性的。
如果鎖倉的資產越多,那么說明這個協議的安全性就越高。你可以這么想,能夠鎖倉這么多資金的協議,那這些存錢的人一定是進行了充分的調查,確認了協議的安全性才敢把錢放進去。
Safe正式原生支持Celo主網:金色財經報道,Celo 社區論壇顯示,數字資產管理平臺 Safe(原 Gnosis Safe)正式原生支持 Celo 主網,Safe 的分叉版本 Celo Safe 上所有的現有功能將繼續在 Safe Global 上運行,Celo Safe 用戶可繼續通過 Safe {wallet} 應用程序管理保險箱。不過,并非所有在 Celo Safe 上創建的保險箱都與通過官方 Safe {wallet} 應用程序提供的最新功能兼容,用戶可在 Safe Global 網站創建新的保險箱。
此外,Safe 并不打算停止分叉版本 Celo Safe,因為 Celo Safe 同時支持 Celo 主網與 Alfajores 測試網,Safe Global 僅支持 Celo 主網,但不支持 Alfajores 測試網。因此,Safe 建議在主網上使用保險箱應使用 Safe Global,若在 Alfajores 測試網上使用保險箱可繼續使用 Safe Celo。[2023/4/21 14:18:57]
不幸的是,TVL往往給人一種錯誤的安全感。一方面,你認為高TVL的協議更加安全,但同樣黑客也會盯著這些協議進行攻擊,因為攻擊這些協議能賺取更多的利潤。另一方面,低TVL也不一定就意味著協議就不安全。
LSDx Finance上線ETHx:4月6日消息,全LSD超流動性協議LSDx Finance宣布ETHx上線,該產品以ETHx的代幣形式覆蓋一籃子的LSD資產,旨在分散風險的同時提升收益率,現由ETH、stETH、fraxETH、rETH四個代幣資產組成。[2023/4/6 13:48:30]
因此,僅僅通過TVL去判斷一個協議的安全性,不免有些似是而非。
我們根據TVL對現有的DeFi項目進行一個排名:
看完這張圖后
你還認為高TVL一定代表著安全嗎?圖中有哪些協議你覺得是不可信的?為什么?02親自驗證
killabearsnft的Discord服務器遭到攻擊:金色財經消息,據CertiK監測,killabearsnft的Discord服務器遭到攻擊。請社區用戶在服務器修復之前不要點擊任何鏈接![2023/1/24 11:27:48]
「不信任,只驗證」是我們進行智能合約審計的原因。如果不是這樣,我們可能不需要審計。因為代碼是開源的,社區可以找到代碼中的所有問題。然而,社區可能沒有正確的動機、激勵或專業知識來驗證代碼。
因此審計人員必須要足夠專業,但更加重要的是,審計人員自己不能出問題。例如,著名審計公司Certik經手審核的不少項目仍然被黑了,可以說是防不勝防。
Pantera Capital CEO:Web3用戶將達到10億人:9月28日消息,Pantera Capital CEO Dan Morehead 在新加坡 Token2049 的主題演講中表示,非常看好 DeFi、Web3、NFT 和元宇宙項目。他也談到,與傳統金融系統的3萬億美元相比,DeFi目前擁有200億美元的市值,這意味著該行業還有很大的增長空間。目前約有2億人使用基于區塊鏈的平臺和加密貨幣,未來三年可能會增加到10億人。
Pantera 是一家專注于區塊鏈的投資基金,管理著 45 億美元的資產。[2022/9/28 5:56:53]
同時,審計公司也在建立自己的聲譽。如果他們審核的協議被黑,則給人一種不專業的印象。事實上,Certik已經審核了超過3422個項目,所以其中一些項目遭到黑客攻擊或存在漏洞也是難以避免的。
早期風投公司Ansible Ventures完成800萬美元募資,將重點投資Web3領域:11月10日消息,總部位于越南胡志明市的早期風險投資公司 Ansible Ventures 宣布完成 800 萬美元募資,計劃在 pre-seed 和種子輪階段投資大約 15 家初創公司,重點關注的核心投資領域為 Web3 應用、消費互聯網和 SME/MSME。[2022/11/10 12:44:27]
所以僅僅進行是通過審計,并不意味著協議是安全的。我見過一些項目自豪地宣布「完成審計」,但當你閱讀審計報告時,卻發現他們的安全分數實際上很低。
這給我的教訓是,不要盲目相信項目方的審計公告,而是通過閱讀實際審計報告來驗證結果。
03我不愛讀審計報告怎么辦?
事實上,大多數人都不會閱讀審計報告,不過?Certik有一個包含所有已審項目的數據看板,在這個看板里面,你可以檢查項目的「信任分數」,數字越高表示安全。
其它審計機構,例如Hacken,也會有類似的數據看板。或者你可以簡單地閱讀一下審計摘要,例如下面這個TraderJoe的例子,它是由Paladin審計完成的。
通過這里的數據我們不難看出,TraderJoe修復了所有的中高風險問題,但是在低風險問題上,卻仍有部分未進行修復。
04審計只是開始
評估一個項目的安全性,還需要考慮更多:
充分的測試賞金活動文檔的公開透明管理控制Oracle文檔要考慮的方面那可太多了,要是全部都親自驗證,恐怕先得累死。說到這里,我們就不得不提到DeFiSafety。它會對這些協議進行一個驗證,然后給出安全評分。
根據它們提供的結果,我們可以很清楚地看到,LiquityProtocol、Synthetix以及AngleProtocol是所有經過驗證的DeFi協議中最安全的。
在DefiSafety上,你還可以查看更多細節部分的內容。例如,Liquidyprotocol仍然需要形式驗證。
此外,你還可以通過ExponentialDeFi,對錢包的投資組合進行一個安全性評估。
「評價錢包」功能會為你提供當前投資的風險分析。例如,在Tetranode的資產中,就有450萬美元的資產是被存入在風險較高的協議中。
Exponential?DeFi會根據項目評估給出評分,評估考慮了資產風險、代碼質量和資產存放的區塊鏈的安全性。這種簡單易懂的風險說明,讓我愛不釋手。
就拿Abracadabra的穩定幣MIM來舉例,它會直接給出警告:SPELL被用作抵押品可能會導致壞賬。
05不懂就問
最后一個要給大家介紹的方法就是,直接加入項目的社區,然后思考一下下面幾個問題:
他們有保險基金嗎?他們會回避提問嗎?他們正在做什么來提高安全性?
例如我之前就曾問過Stargate團隊,他們是否擁擁有保險基金,以防止項目被黑客入侵。但是有時想要得到一個準確的答案,卻并不是那么簡單,項目方往往會各種拐彎抹角地回避問題。這似乎是一種危險信號,讓人不得不提高警惕。
但是無論發生什么,DeFi都還很年輕,還有很長的路要走,所以最好不要把所有的雞蛋都放在一個籃子里!
責任編輯:Kate
雖然維塔利克·Vitalik(VitalikButerin)最為人所知的身份是以太坊(Ethereum)的共同創造者,但他開始加密貨幣之旅的角色并沒有那么精彩,他曾經是一名雜志記者.
1900/1/1 0:00:00之前?,我們已經聊到了Web3音樂行業所面臨的幾個問題,并探討了Web3技術解決這些問題的一些方法。隨著行業開始試驗,我們看到它分散到了不同的重點領域.
1900/1/1 0:00:0012月7日,全球領先的區塊鏈研究機構火必研究院發布《2022-2023全球區塊鏈產業全景與趨勢》年度報告.
1900/1/1 0:00:00過去幾年,空投熱潮吸引了加密社區大量的注意力。原因不言而喻,空投本質上是免費的,有時卻能帶來一筆相當可觀的收入,誰不喜歡免費的錢呢?空投被吹捧為一種殺手級的Web3營銷策略,這是一種宣傳項目的良.
1900/1/1 0:00:00寫在前面 在前文web3通行證:一文讀懂去中心化錢包的過去、現在和未來中,我們詳細闡述了Web3錢包的源起、分類和優缺點對比,以及最前沿的ERC-4337賬戶抽象和MPC多方計算的背景介紹.
1900/1/1 0:00:00多簽錢包,顧名思義,指需要多把私鑰簽名才能控制的錢包。作為一種更安全的資產保管方案,多簽錢包誕生已久。但由于流程復雜,目前多簽主要被企業/交易所等機構用于管理大量資產.
1900/1/1 0:00:00