去中心化金融一定安全嗎？這份DeFi安全指南奉上_區塊鏈

原文：Ignas

編譯：Biteye 核心貢獻者 Crush

FTX 的崩潰證明了自我托管和風險管理的重要性。但是在 DeFi 中，仍有許多漏洞、Rug Pull 以及合約 BUG，一不小心就會虧錢。

今天這篇文章，我就來說一下如何去評估一個項目的安全性，以保護好自己的資產。

如果你自己本身就是一個經驗豐富的智能合約開發者，能夠親自去驗證項目代碼的安全性，這再好不過了，但是我相信大多數人都不是。

所以沒辦法，我們只能根據其他數據去評估一個項目，這涉及到一定程度的信任。

眾所周知，大多數人通過存入智能合約的資產價值來評估一個 DeFi 項目的好壞。因此，不少人認為 TVL 在一定程度上，是可以反映這個項目的安全性的。

如果鎖倉的資產越多，那么說明這個協議的安全性就越高。你可以這么想，能夠鎖倉這么多資金的協議，那這些存錢的人一定是進行了充分的調查，確認了協議的安全性才敢把錢放進去。

去中心化社交網絡Bluesky完成800萬美元融資:7月6日消息，去中心化社交網絡Bluesky宣布完成800萬美元融資，Neo領投，Kubernetes聯合創始人Joe Beda、Red Hat的Bob Young和Protocol Labs等多個貢獻者參投。該公司計劃利用新資金擴大其團隊，并增強為Bluesky應用程序提供支持的去中心化AT協議等活動。

Bluesky還推出了付費服務，首先是與域名注冊商Namecheap合作提供的自定義域名。[2023/7/6 22:22:13]

不幸的是，TVL 往往給人一種錯誤的安全感。一方面，你認為高 TVL 的協議更加安全，但同樣黑客也會盯著這些協議進行攻擊，因為攻擊這些協議能賺取更多的利潤。另一方面，低 TVL 也不一定就意味著協議就不安全。

因此，僅僅通過 TVL 去判斷一個協議的安全性，不免有些似是而非。

EOS創始人BM提議在EOS推出去中心化的自治機構DAC，用于創建代幣和流動性:1月7日消息，EOS創始人BM（Daniel Larimer）發文提議使EOS成為DAC的DAC。據介紹，DAC為DAO的原語，即去中心化的自治機構（Company, Community, Country, Coop, Church, Corporation, Collective）。每個DAC都有一個或多個代幣以及管理這些代幣的治理流程。

BM提議更新eosio.token合約并部署新合約eosio.symbol，用于代幣符號名稱。將做市商構建到eosio.token合約中，可以讓代幣合約輕松地將其他代幣的費用轉換為 EOS。

BM表示，通過提議的更改，EOS將擁有一個原生的、社區管理的、去中心化的交易所，支持用戶發行的代幣，而無需部署任何合約，也無需編寫任何代碼。[2022/1/7 8:32:29]

我們根據TVL對現有的DeFi項目進行一個排名：

去中心化預測市場ECN代幣將從Tron區塊鏈遷移到ETH和Tezos區塊鏈:去中心化預測市場ECN代幣將從Tron區塊鏈遷移到ETH和Tezos區塊鏈。據悉，8月10日，800 萬個ECN代幣落入“狙擊機器人”手中，他們出售代幣并從ECN/TRX池中提取流動性。為了避免價格進一步下跌，ECN決定對以太坊和Tezos區塊鏈進行互換。（Be in Crypto）[2021/8/15 22:15:46]

看完這張圖后

你還認為高 TVL 一定代表著安全嗎？

圖中有哪些協議你覺得是不可信的？為什么？

「不信任，只驗證」是我們進行智能合約審計的原因。如果不是這樣，我們可能不需要審計。因為代碼是開源的，社區可以找到代碼中的所有問題。然而，社區可能沒有正確的動機、激勵或專業知識來驗證代碼。

觀點：未來區塊鏈去中心化趨勢將隨用戶基礎擴張逐步減弱:10月15日消息，世界經濟論壇學術撰稿人Stephanie Hurde撰文稱，從表面上看，區塊鏈技術支持者認為，區塊鏈是現代經濟的反壟斷趨勢的解藥。但實際上，區塊鏈應用當前不像大型科技公司那樣大肆行使經濟和權力，那是因為它們還沒有實現任何可與之媲美的用戶基礎。大規模的采用以及隨之而來的關注和資金，是積累權力的先決條件。萬維網從Tim Berners-Lee的去中心化發明發展到，成為像Facebook和Twitter這樣利潤豐厚、功能強大的社交媒體應用，花了幾十年的時間。關鍵問題在于，如果區塊鏈擁有了自己的殺手級應用，這些服務是否會比目前的選擇更加去中心化，而答案是不會。他稱，很有可能，再過一二十年，我們就會像今天抱怨大型科技公司一樣，抱怨區塊鏈大公司的邪惡本質。（CoinDesk）[2020/10/15]

因此審計人員必須要足夠專業，但更加重要的是，審計人員自己不能出問題。例如，著名審計公司 Certik 經手審核的不少項目仍然被黑了，可以說是防不勝防。

去中心化預測市場Augur REPv2遷移現已開啟:去中心化預測市場Augur官方宣布，當前其v2協議已經上線，所有的持幣者現已可以將自己的代幣REP遷移到新的Augur v2平臺。[2020/8/28]

同時，審計公司也在建立自己的聲譽。如果他們審核（并評估為安全）的協議被黑，則給人一種不專業的印象。事實上，Certik 已經審核了超過 3422 個項目，所以其中一些項目遭到黑客攻擊或存在漏洞也是難以避免的。

所以僅僅進行是通過審計，并不意味著協議是安全的。我見過一些項目自豪地宣布「完成審計」，但當你閱讀審計報告時，卻發現他們的安全分數實際上很低。

這給我的教訓是，不要盲目相信項目方的審計公告，而是通過閱讀實際審計報告來驗證結果。

事實上，大多數人都不會閱讀審計報告，不過Certik 有一個包含所有已審項目的數據看板，在這個看板里面，你可以檢查項目的「信任分數」，數字越高表示安全。

其它審計機構，例如 Hacken，也會有類似的數據看板。或者你可以簡單地閱讀一下審計摘要，例如下面這個 Trader Joe 的例子, 它是由 Paladin 審計完成的。

通過這里的數據我們不難看出，Trader Joe 修復了所有的中高風險問題，但是在低風險問題上，卻仍有部分未進行修復。

評估一個項目的安全性，還需要考慮更多：

充分的測試

賞金活動

文檔的公開透明

管理控制

Oracle 文檔

要考慮的方面那可太多了，要是全部都親自驗證，恐怕先得累死。說到這里，我們就不得不提到 DeFi Safety。它會對這些協議進行一個驗證，然后給出安全評分。

根據它們提供的結果，我們可以很清楚地看到，Liquity Protocol、Synthetix 以及 Angle Protocol 是所有經過驗證的 DeFi 協議中最安全的。

在 Defi Safety 上，你還可以查看更多細節部分的內容。例如，Liquidy protocol 仍然需要形式驗證。

此外，你還可以通過 Exponential DeFi，對錢包的投資組合進行一個安全性評估。

「評價錢包」功能會為你提供當前投資的風險分析。例如，在 Tetranode 的資產中，就有 450 萬美元的資產是被存入在風險較高（C 級）的協議中。

ExponentialDeFi 會根據項目評估給出評分，評估考慮了資產風險、代碼質量和資產存放的區塊鏈的安全性。這種簡單易懂的風險說明，讓我愛不釋手。

就拿 Abracadabra 的穩定幣 MIM 來舉例，它會直接給出警告：SPELL 被用作抵押品可能會導致壞賬。

最后一個要給大家介紹的方法就是，直接加入項目的社區，然后思考一下下面幾個問題：

他們有保險基金嗎？

他們會回避提問嗎？

他們正在做什么來提高安全性？

例如我之前就曾問過 Stargate 團隊，他們是否擁擁有保險基金，以防止項目被黑客入侵。但是有時想要得到一個準確的答案，卻并不是那么簡單，項目方往往會各種拐彎抹角地回避問題。這似乎是一種危險信號，讓人不得不提高警惕。

但是無論發生什么，DeFi 都還很年輕，還有很長的路要走，所以最好不要把所有的雞蛋都放在一個籃子里！

金色早8點

金色財經

去中心化金融社區

CertiK中文社區

虎嗅科技

區塊律動BlockBeats

念青

深潮TechFlow

Odaily星球日報

騰訊研究院

Tags：區塊鏈DEFEFIEOSaia幣區塊鏈xDEF2價格LendefiDEOS幣

Coinw