DeFi セキュリティのベールを解く: DeFi プロトコルの究極のセキュリティ ガイド

原作者：イグナス

オリジナルコンピレーション: Crush、Biteye コアコントリビューター

FTXの大失敗は、自己監護とリスク管理の重要性を実証した。しかし、DeFiには依然として多くの抜け穴、ラグプル、契約のバグが存在しており、注意しないと損失を被ることになります。

今日の記事では、自分の資産を守るためにプロジェクトのセキュリティを評価する方法について説明します。

あなた自身が経験豊富なスマート コントラクト開発者であれば、プロジェクト コードのセキュリティを自分で検証できれば素晴らしいことですが、ほとんどの人はそうではないと思います。

したがって、ある程度の信頼を伴う他のデータに基づいてプロジェクトを評価することしかできません。

TVL が高いと必ずしも安全ですか?

ご存知のとおり、ほとんどの人はスマートコントラクトに預けられた資産の価値によってDeFiプロジェクトの品質を評価します。したがって、TVL はこのプロジェクトの安全性をある程度反映できると考える人が多い。

ロックされる資産が多いほど、プロトコルのセキュリティは高くなります。このように考えることができます。これほど多額の資金を閉じ込めることができる協定の場合、預金者は資金を投入する前に徹底的な調査を実施し、協定の安全性を確認したに違いありません。

残念ながら、TVL は誤った安心感を与えることがよくあります。 TVL が高いプロトコルの方が安全であると考える一方で、ハッカーはこれらのプロトコルに焦点を当てて攻撃することもあります。これらのプロトコルを攻撃するとより多くの利益が得られるためです。一方、TVL が低いからといって、必ずしもプロトコルが安全でないことを意味するわけではありません。

したがって、TVL だけでプロトコルの安全性を判断するのはやや疑わしいです。

TVL に従って既存の DeFi プロジェクトをランク付けします。

この写真を見た後

• TVL が高いということは安全性を表しているに違いないと今でも思っていますか?

• 写真の中のどの協定が信頼できないと思いますか?なぜ？

個人的に確認する

「信頼はせず、検証のみ」というのが、私たちがスマートコントラクトの監査を行う理由です。そうでない場合は、おそらく監査は必要ありません。コードはオープンソースであるため、コミュニティはコード内のすべての問題を見つけることができます。ただし、コミュニティにはコードを検証するための適切な動機、インセンティブ、または専門知識がない可能性があります。

したがって、監査人は十分な専門性を備えていなければなりませんが、さらに重要なことは、監査人自身が間違いを犯してはいけないということです。例えば、有名な監査会社であるCertikの監査対象となっているプロジェクトの多くは依然としてハッキングされており、これを防ぐことは不可能であると言えます。

同時に、監査法人は評判を高めています。自分たちが監査した（安全だと評価した）プロトコルがハッキングされた場合、専門家ではないという印象を与えます。実際、Certik は 3,422 件を超えるプロジェクトをレビューしているため、そのうちのいくつかがハッキングされたり、脆弱性が存在することは避けられません。

したがって、プロセスが監査されているというだけでは、プロトコルが安全であることを意味するわけではありません。プロジェクトが誇らしげに「監査済み」と宣言しているのに、監査レポートを読むと実際にはセキュリティ スコアが低いことが判明するのを見たことがあります。

このことから得られた教訓は、プロジェクト当事者の監査発表を盲目的に信じるのではなく、実際の監査報告書を読んで結果を検証することです。

監査レポートを読みたくない場合はどうすればよいですか?

実際、ほとんどの人は監査レポートを読みませんが、Certik には監査されたすべてのプロジェクトのデータ ダッシュボードがあり、このダッシュボードではプロジェクトの「信頼スコア」を確認でき、数値が高いほど安全であることを示します。

Hacken などの他の監査機関も同様のデータ ダッシュボードを導入する予定です。または、以下の Trader Joe の例など、Paladin 監査によって行われた監査概要を単に読むこともできます。

翻訳者注: Trader Joe は、Avalanche のワンストップ取引プラットフォームです。取引機能と融資機能を提供し、それらを組み合わせてレバレッジ取引を提供します。

ここのデータから、Trader Joe が中リスクおよび高リスクの問題をすべて修正したことはわかりますが、低リスクの問題はまだいくつか修正されていません。

監査は始まりにすぎません

プロジェクトのセキュリティを評価するには、さらに以下のことを考慮する必要があります。

• 総テスト

• 報奨金キャンペーン

• 文書の公開性と透明性

• マネジメント・コントロール

• オラクルのドキュメント

考慮すべき点が多すぎて、すべてを自分で検証すると、まず疲れ果ててしまうかもしれません。そういえば、DeFiの安全性についても言及しなければなりません。これらのプロトコルの検証を実行し、セキュリティ スコアを与えます。

それらが提供する結果に基づいて、Liquity Protocol、Synthetix、Angle Protocol がすべての実証済みの DeFi プロトコルの中で最も安全であることが明確にわかります。

Defi Safety では、より詳細なセクションを確認することもできます。たとえば、Liquidy プロトコルでは依然として正式な検証が必要です。

翻訳者注: コンピュータのハードウェアおよびソフトウェア システムの設計プロセスにおいて、形式的検証の意味は、数学的手法を使用して、1 つまたはいくつかの形式的な仕様または特性に従ってその正確性または不正確性を証明することです。

さらに、Exponential DeFi を通じてウォレット ポートフォリオのセキュリティ評価を実施することもできます。

「評価ウォレット」機能は、現在の投資のリスク分析を提供します。たとえば、Tetranode の資産のうち 450 万ドルは高リスク (グレード C) プロトコルに預けられています。

翻訳者注: テトラノードは匿名の古代巨大クジラです。彼には約 10 億米ドルの暗号化資産の価値があると噂されています。彼は 2009 年にビットコインと出会い、それ以来常にビットコインに高い関心を持ち続けています。 。

Elemental DeFiはプロジェクト評価に基づいてスコアを付与し、資産リスク、コード品質、資産ストレージを考慮したブロックチェーンのセキュリティを評価します。シンプルでわかりやすいリスクの説明が手放せません。

アブラカダブラのステーブルコイン MIM を例に挙げると、SPELL が担保として使用されると不良債権が発生する可能性があると直接警告します。

翻訳者注: アブラカダブラは利息を得る資産のステーブルコイン プロトコルであり、ユーザーは利息を得る証明書を使用して、プロトコルのネイティブ ステーブルコイン MIM を誓約および印刷できます。

分からなかったら聞いてください

最後に紹介する方法は、プロジェクト コミュニティに直接参加し、次の質問について考えることです。

• 彼らは保険基金を持っていますか？

• 彼らは質問を避けるのでしょうか？

• セキュリティを向上させるために彼らは何をしているのでしょうか?

たとえば、私は以前 Stargate チームに、プロジェクトをハッキングから守るための保険基金があるかどうか尋ねました。しかし、正確な答えを得るのはそれほど簡単ではない場合もあり、プロジェクト側はさまざまな方法で問題を回避することがよくあります。これは人々に警戒を促す危険信号のようです。

しかし、何が起こっても、DeFi はまだ誕生したばかりで、まだまだ先は長いため、すべての卵を 1 つのカゴに盛らないことが最善です。