DEFI:DeFi 用戶應該向開發者提出的質詢_COI

過去幾個月來，DeFi 生態經歷了巨大的動蕩，數次攻擊之下，許多未被利用過的缺陷也被報道出來。

雖然代碼中無可避免會有 bug，但還是有很多方法能降低缺陷發生的頻率，以及降低缺陷帶來的負面影響。

作為一個審計員，我們想要幫助 DeFi 用戶問一些比較尖銳的問題；問這些問題的目的，一方面是讓開發人員認真去考慮系統安全性的優先級，另一方面，讓用戶能分辨出回答得好的協議，然后把錢投入這些協議。

以下問題能幫助用戶了解 DeFi 開發團隊對于安全性的立場，答案不一定有對錯之分，而且也不是每個團隊（or 獨立開發者）都有資源全盤顧及所有方面。但不論如何，用戶有權利知道這些信息，來決定自己愿意承受的風險。

CoinDCX推出DeFi移動應用程序Okto:金色財經報道，印度加密貨幣交易所CoinDCX于周五推出了去中心化金融(DeFi)移動應用程序Okto，旨在緩解加密消費者向DeFi的過渡。Okto的目標是幫助用戶“通過其內置錢包安全地導航DeFi并從多個DEX跨鏈訪問數千個代幣”，并“隨時隨地交換加密貨幣，并通過訪問DeFi中最好的流動性池來最大化其收益。”該產品是無密鑰的，因為用戶只需要一個基本的電子郵件和電話號碼，這些號碼由多方計算(MPC)技術保護，用戶可以避免管理冗長的私鑰。（coindesk）[2022/8/26 12:50:30]

我們希望通過以下提問，促使后續開展更多正面的討論。

管理員權限

大部分的主流 DeFi 協議都存在一些中心化的機制——允許特定的 “管理員” 地址以強硬的手段干預協議的運行。

這樣做雖然在安全上有好處，但這意味著你必須相信這些 “管理員” 不會濫用他們的特權；而且但凡這些管理員遭到黑客攻擊，他們的私鑰泄露所帶來的后果會更加嚴重。

香港金管局總裁：DeFi未來或成為金融領域創新的重要技術:7月18日消息，香港金融管理局總裁余偉文在G20金融官員會議上表示，對Stablecoin進行更嚴格的審查有助于防止DeFi領域的災難，因為Stablecoin通常用于購買其他加密貨幣，然后用于去中心化金融活動。余偉文認為監管Stablecoin比監管DeFi、及其相關產品要好。

同時他也表示DeFi不會很快消失，并且可能會成為關注金融領域未來創新的重要技術。在私營Token監管方面，余偉文認為私營發行的Token需要得到監管，這對于解決去中心化金融帶來的風險至關重要。（beincrypto）[2022/7/18 2:19:56]

管理員賬戶可以是以下幾種形式：單一地址、多重簽名錢包，或是由 DAO 管理的投票過程。那么，

1.管理員能采取哪些措施？

暫停整個系統？

幣贏CoinW將于12月01日14:00在DeFi專區上線XVS:據官方消息，幣贏CoinW將于12月01日14:00在DeFi專區上線XVS/USDT交易對。據悉，Venus（XVS），一個基于幣安智能鏈（BSC）的借貸與穩定幣發行平臺。Venus旨在建立一個幣安智能鏈上的去中心化金融(DeFi) 借貸市場，并允許通過一系列BEP-20抵押資產發行合成穩定幣資產。

XVS是平臺的原生BEP-20治理代幣，主要被用于參與平臺治理，譬如對于產品升級，添加新抵押物類型，調整平臺參數等進行投票。詳情點擊鏈接：[2020/12/1 22:42:25]

修改賬戶余額？

設置 代幣/用戶 的 白名單/黑名單 ？

升級某個子系統？

升級整個系統？（等同于萬能...）

其他權限？

2.如果采取上述行為，是否有延遲執行機制？

獨家 | DeFi總鎖倉金額突破36億美元:據DappBirds DeFi Data專題數據顯示，DeFi總鎖倉金額突破36億美元，DeFi中鎖定資產總價值達36.71億美元，較昨日上漲8.77%，其中Maker，Compound，Aave，Synthetix，Curve分別以6.44億美元，5.71億美元，4.78億美元，4.37億美元，2.88億美元位列前五名[2020/7/22]

3.如果有延遲時間，那是多長？

4.多少人有管理員權限？

5.采取上述行為前，需要經過多少管理員同意？

6.有哪些權限是由鏈上治理程序（即 DAO）來掌控的嗎？

7.我該去哪里了解提議更新協議的提案？

以上某些問題的回答已經可以通過 DefiWatch 跟蹤了解。

外部依賴

因為是公開的網絡，以太坊上充斥著不懷好意的攻擊者，因此開發者不能假設本系統外的合約一定會采取什么樣的行為。但在許多 DeFi 應用中又不得不作出這樣的假設，因為服務本身就是在已有的一些合約上建構出來的。

這些問題能幫助用戶了解該項目在外部依賴上存在的風險。

1.你的系統依賴什么預言機（Oracle）？

2.你的系統依賴什么交易所？

3.你用什么第三方智能合約（如，OpenZeppelin）來建立系統？

4.你的系統支持哪些代幣，你對這些代幣（合約）的行為模式有怎樣的預期？

可靠的的披露系統和獎勵計劃

對于才華橫溢的黑客來說，攻擊 DeFi 協議對他們有著強大的金錢誘惑。制定獎勵計劃能激勵大家發現并揭露漏洞，而非鉆漏洞。對于白帽黑客來說，通過激勵系統揭露代碼漏洞也是提高自身聲譽的好方法 —— 既有好處又不違法。

任何公司要運行 DeFi 協議，或是涉及在線托管金錢的業務，都應該設有獎勵系統。你可以就他們的獎勵計劃及披露流程提出以下問題：

1.你們的合約代碼能夠被所有人看到嗎？

2.從你們的網站和 git 代碼庫，能夠很容易找到安全的聯系方式嗎？

3.你們的合約有沒有設置獎勵計劃？

4.哪些合約在獎勵計劃內？

5.獎勵計劃具體金額是？

6.你們是否支付過獎勵計劃的獎金？

7.對于 bug 報告，你們是否曾拒絕支付過？

8.從你們的網站和 git 代碼庫，能夠很容易地找到獎勵計劃的詳細信息嗎？

理想情況下，這些信息應該放在 “website.com/security” 頁面下，而且能搭配 Github 的 SECURITY.md 功能使用。

應急預案

當面對某些安全突發狀況的時候，新消息如潮水般涌來，用戶持續在 Twitter、Telegram、Discord 上提出棘手的問題......，這時候開發者很難頭腦清楚地應對突發狀況。

所以如果有應急預案的話，就能證明項目正朝著安全方向發展。要求項目公開他們完整的計劃可能不太現實，但我們還是能提出以下基礎的問題去側面了解：

1.你們是否有處理突發安全事件的計劃提綱？

2.你們的應急預案適用于哪些緊急情況？

3.如果你們的系統是可升級的，這些升級步驟是否記錄在案？

4.如果你們發現某個系統漏洞可能讓資金面臨風險，你們是否能通過應急預案先發制人，保護資金安全？

審計與安全發展

審計并非萬靈丹，而且審計的內容總多多少少有點區別，但對于部署任何的 DeFi 合約之前，進行審計是至關重要的一步。

下面的問題不一定有 “正確答案”，但學識淵博的社區群眾們，應該能從項目的回答中看出開發團隊對于安全性的立場。

1.你們最近一次審計是什么時候？

2.這次審計投入了多少精力（以標準開發者的一小時來做單位）？

3.哪個機構做的審計？

4.審計報告公開嗎？

5.你們系統中有任何部分是沒有被涵蓋在審計的范圍內嗎？

6.最近一次審計之后，你們有對合約進行更新嗎？如果有，更新了什么？

7.你們有和哪個安全團隊進行長期合作嗎？

8.在合并代碼之前，開發者會彼此做 code review 嗎（至少檢查 Solidity 文件）？

9.你們的合約代碼中，做過單元測試的比重是多少？

10.審計過程中，你們用過其他的安全分析工具嗎？

Tags：DEFDEFIEFICOIHyperDeflateDefilancer tokenDeFineBitcoin Adult

比特幣價格實時行情