DeFi 보안의 베일을 벗기다: DeFi 프로토콜에 대한 궁극적인 보안 가이드
원작자: 이그나스
원곡: Crush, Biteye 핵심 기여자
FTX 사태는 자기 관리와 위험 관리의 중요성을 보여주었습니다. 그러나 DeFi에는 여전히 많은 허점, Rug Pull 및 계약 버그가 있으며 조심하지 않으면 돈을 잃을 것입니다.
오늘 기사에서는 자신의 자산을 보호하기 위해 프로젝트의 보안을 평가하는 방법에 대해 이야기하겠습니다.
경험이 풍부한 스마트 계약 개발자라면 프로젝트 코드의 보안을 직접 확인할 수 있으면 좋겠지만 대부분의 사람들은 그렇지 않다고 생각합니다.
따라서 일정 수준의 신뢰가 필요한 다른 데이터를 기반으로 프로젝트를 평가할 수밖에 없습니다.
높은 TVL은 반드시 안전한가요?
우리 모두 알다시피, 대부분의 사람들은 스마트 계약에 예치된 자산의 가치로 DeFi 프로젝트의 품질을 평가합니다. 따라서 많은 사람들은 TVL이 이 프로젝트의 안전성을 어느 정도 반영할 수 있다고 생각합니다.
잠긴 자산이 많을수록 프로토콜의 보안이 높아집니다. 그렇게 많은 자금을 잠글 수 있는 계약의 경우, 그 예금자들은 감히 돈을 넣기 전에 충분한 조사를 수행하고 계약의 보안을 확인했음에 틀림없습니다.
불행히도 TVL은 종종 잘못된 보안 감각을 제공합니다. 한편으로는 TVL이 높은 프로토콜이 더 안전하다고 생각하지만 해커는 이러한 프로토콜을 공격하여 더 많은 이익을 얻을 수 있기 때문에 공격에 집중할 것입니다. 반면에 TVL이 낮다고 해서 반드시 프로토콜이 안전하지 않다는 의미는 아닙니다.
따라서 프로토콜의 보안성을 TVL만으로 판단하는 것은 다소 그럴듯합니다.
TVL에 따라 기존 DeFi 프로젝트의 순위를 매깁니다.
이 사진을 본 후
여전히 높은 TVL이 안전을 나타내야 한다고 생각하십니까?
그림에서 어떤 계약이 신뢰할 수 없다고 생각합니까? 왜?
개인적으로 확인
"No trust, only validation"이 우리가 스마트 계약 감사를 수행하는 이유입니다. 그렇지 않다면 감사가 필요하지 않을 것입니다. 코드가 오픈 소스이기 때문에 커뮤니티는 코드에서 모든 문제를 찾을 수 있습니다. 그러나 커뮤니티에는 코드를 검증할 올바른 동기, 인센티브 또는 전문성이 없을 수 있습니다.
따라서 감사인은 충분히 전문적이어야 하지만 더 중요한 것은 감사인 자신이 실수할 수 없다는 것입니다. 예를 들어, 잘 알려진 감사 회사인 Certik이 감사하는 많은 프로젝트가 여전히 해킹을 당하고 있으며, 이는 예방이 불가능하다고 말할 수 있습니다.
동시에 감사 회사는 명성을 쌓고 있습니다. 감사하고 안전하다고 평가하는 프로토콜이 해킹되면 전문가답지 못한 인상을 줍니다. 실제로 Certik은 3422개 이상의 프로젝트를 검토했기 때문에 그 중 일부는 해킹되거나 취약성이 있을 수 있습니다.
따라서 프로세스가 감사된다고 해서 프로토콜이 안전하다는 의미는 아닙니다. 프로젝트가 자랑스럽게 "감사 완료"라고 선언했지만 감사 보고서를 읽을 때 실제로 보안 점수가 낮다는 것을 알게 된 프로젝트를 보았습니다.
이를 통해 배운 교훈은 프로젝트 당사자의 감사 공고를 맹목적으로 믿는 것이 아니라 실제 감사 보고서를 읽어 결과를 확인하는 것입니다.
감사 보고서를 읽고 싶지 않으면 어떻게 합니까?
실제로 대부분의 사람들은 감사 보고서를 읽지 않지만 Certik에는 감사된 모든 프로젝트의 데이터 대시보드가 있습니다. 이 대시보드에서 프로젝트의 "신뢰 점수"를 확인할 수 있으며 숫자가 높을수록 안전함을 나타냅니다.
Hacken과 같은 다른 감사 기관에도 유사한 데이터 대시보드가 있습니다. 또는 Paladin 감사에서 수행한 아래 Trader Joe의 예와 같은 감사 요약을 읽을 수 있습니다.
번역가의 메모: Trader Joe는 Avalanche의 원스톱 거래 플랫폼입니다. 거래 및 대출 기능을 제공하고 이를 결합하여 레버리지 거래를 제공합니다.
여기의 데이터에서 Trader Joe가 모든 중간 및 높은 위험 문제를 해결했음을 확인하는 것은 어렵지 않지만 여전히 해결되지 않은 몇 가지 낮은 위험 문제가 있습니다.
감사는 시작에 불과합니다
프로젝트의 보안을 평가하려면 다음을 더 고려해야 합니다.
전체 테스트
현상금 캠페인
문서의 개방성과 투명성
경영 통제
오라클 설명서
고려해야 할 부분이 너무 많아서 일일이 직접 확인하다 보면 먼저 지칠 수 있습니다. 말하자면 DeFi 안전을 언급해야 합니다. 이러한 프로토콜을 검증한 다음 보안 점수를 부여합니다.
그들이 제공한 결과를 바탕으로 우리는 Liquity Protocol, Synthetix 및 Angle Protocol이 모든 입증된 DeFi 프로토콜 중에서 가장 안전하다는 것을 분명히 알 수 있습니다.
Defi Safety에서 더 자세한 섹션을 확인할 수도 있습니다. 예를 들어, Liquidy 프로토콜은 여전히 공식적인 검증이 필요합니다.
번역자 주: 컴퓨터 하드웨어 및 소프트웨어 시스템의 설계 과정에서 공식 검증의 의미는 하나 또는 일부 공식 사양 또는 속성에 따라 정확성 또는 부정확성을 증명하기 위해 수학적 방법을 사용하는 것입니다.
또한 Exponential DeFi를 통해 지갑 포트폴리오의 보안 평가를 수행할 수도 있습니다.
"Evaluation Wallet" 기능은 현재 투자에 대한 위험 분석을 제공합니다. 예를 들어, Tetranode의 자산 중 450만 달러는 고위험(등급 C) 프로토콜에 예치됩니다.
역자 주: 테트라노드는 익명의 고대 대왕고래로 암호화 자산으로 약 10억 달러의 가치가 있다고 소문이 나 있다.그는 2009년에 비트코인을 접했고 그 이후로 항상 높은 관심을 유지해 왔다.믿음 .
Elemental DeFi는 자산 위험, 코드 품질 및 자산 저장을 고려한 블록체인의 보안을 평가하여 프로젝트 평가를 기반으로 점수를 부여합니다. 이 간단하고 이해하기 쉬운 위험 설명은 저를 내려놓을 수 없게 만듭니다.
Abracadabra의 스테이블코인 MIM을 예로 들면, 담보로 사용되는 SPELL이 불량 부채로 이어질 수 있음을 직접 경고합니다.
역자 주: Abracadabra는 이자 수익 자산 스테이블 코인 프로토콜입니다. 사용자는 이자 수익 인증서를 사용하여 프로토콜의 기본 스테이블 코인 MIM을 서약하고 인쇄할 수 있습니다.
이해가 안되면 물어보세요
마지막으로 소개하고 싶은 방법은 프로젝트 커뮤니티에 직접 가입한 후 다음 질문에 대해 생각해 보는 것입니다.
보험 기금이 있습니까?
그들은 질문을 피합니까?
보안을 개선하기 위해 무엇을 하고 있습니까?
예를 들어, 나는 이전에 Stargate 팀에 프로젝트가 해킹당하지 않도록 보호하기 위한 보험 기금이 있는지 물었습니다. 그러나 때로는 정확한 답을 얻는 것이 그렇게 간단하지 않고 프로젝트 측에서 다양한 방법으로 문제를 회피하는 경우가 많습니다. 이것은 사람들이 경계해야 하는 위험 신호인 것 같습니다.
그러나 무슨 일이 있어도 DeFi는 아직 어리고 갈 길이 멀기 때문에 모든 계란을 한 바구니에 담지 않는 것이 가장 좋습니다!
