ยกระดับความปลอดภัยของ DeFi: คู่มือความปลอดภัยขั้นสูงสุดสำหรับโปรโตคอล DeFi

ผู้เขียนต้นฉบับ: อิกนัส

การรวบรวมต้นฉบับ: Crush ผู้สนับสนุนหลักของ Biteye

การล่มสลายของ FTX แสดงให้เห็นถึงความสำคัญของการดูแลตนเองและการจัดการความเสี่ยง แต่ใน DeFi นั้นยังมีช่องโหว่มากมาย Rug Pull และข้อบกพร่องของสัญญา และคุณจะสูญเสียเงินหากคุณไม่ระวัง

ในบทความวันนี้ ฉันจะพูดถึงวิธีการประเมินความปลอดภัยของโครงการเพื่อปกป้องทรัพย์สินของคุณเอง

หากคุณเป็นนักพัฒนา Smart Contract ที่มีประสบการณ์ด้วยตัวคุณเอง คงจะดีมากหากสามารถตรวจสอบความปลอดภัยของโค้ดโครงการได้ด้วยตัวเอง แต่ผมเชื่อว่าคนส่วนใหญ่ไม่เป็นเช่นนั้น

ดังนั้นจึงไม่มีทางทำได้ เราทำได้เพียงประเมินโครงการจากข้อมูลอื่นซึ่งเกี่ยวข้องกับความไว้วางใจในระดับหนึ่ง

TVL สูงจำเป็นต้องปลอดภัยหรือไม่?

อย่างที่เราทราบกันดีว่า คนส่วนใหญ่ประเมินคุณภาพของโครงการ DeFi จากมูลค่าของสินทรัพย์ที่ฝากไว้ในสัญญาอัจฉริยะ จึงทำให้หลายคนมองว่า TVL สามารถสะท้อนความปลอดภัยของโครงการนี้ได้ในระดับหนึ่ง

ยิ่งล็อคทรัพย์สินมากเท่าไหร่ ความปลอดภัยของโปรโตคอลก็จะยิ่งสูงขึ้นเท่านั้น คุณสามารถคิดแบบนี้ได้ สำหรับข้อตกลงที่สามารถล็อคเงินจำนวนมากได้ ผู้ฝากเงินเหล่านั้นต้องทำการสอบสวนอย่างเต็มที่และยืนยันความปลอดภัยของข้อตกลงก่อนที่จะกล้านำเงินเข้าไป

น่าเสียดายที่ TVL มักจะให้ความรู้สึกปลอดภัยที่ผิดๆ ในแง่หนึ่ง คุณคิดว่าโปรโตคอลที่มี TVL สูงนั้นปลอดภัยกว่า แต่แฮ็กเกอร์ก็จะมุ่งไปที่โปรโตคอลเหล่านี้เพื่อโจมตีเช่นกัน เพราะการโจมตีโปรโตคอลเหล่านี้สามารถทำกำไรได้มากกว่า ในทางกลับกัน ค่า TVL ต่ำไม่ได้แปลว่าโปรโตคอลไม่ปลอดภัยเสมอไป

ดังนั้นการตัดสินความปลอดภัยของโปรโตคอลโดย TVL เท่านั้นจึงค่อนข้างกว้าง

เราจัดอันดับโครงการ DeFi ที่มีอยู่ตาม TVL:

หลังจากดูภาพนี้แล้ว

• คุณยังคิดว่า TVL สูงต้องแสดงถึงความปลอดภัยหรือไม่?

• ข้อตกลงใดในภาพที่คุณคิดว่าไม่น่าไว้วางใจ ทำไม

ตรวจสอบเป็นการส่วนตัว

"ไม่มีความเชื่อถือ มีแต่การตรวจสอบเท่านั้น" คือเหตุผลที่เราทำการตรวจสอบสัญญาอัจฉริยะ ถ้าไม่ เราอาจไม่ต้องการการตรวจสอบ เนื่องจากรหัสเป็นโอเพ่นซอร์ส ชุมชนจึงสามารถค้นหาปัญหาทั้งหมดในรหัสได้ อย่างไรก็ตาม ชุมชนอาจไม่มีแรงจูงใจ สิ่งจูงใจ หรือความเชี่ยวชาญที่ถูกต้องในการตรวจสอบโค้ด

ดังนั้นผู้สอบบัญชีต้องมีความเป็นมืออาชีพพอสมควร แต่ที่สำคัญ ผู้สอบบัญชีเองจะผิดพลาดไม่ได้ ตัวอย่างเช่น หลายโครงการที่ตรวจสอบโดย Certik บริษัทตรวจสอบที่มีชื่อเสียงยังคงถูกแฮก ซึ่งอาจกล่าวได้ว่าไม่สามารถป้องกันได้

ในขณะเดียวกัน บริษัทตรวจสอบบัญชีกำลังสร้างชื่อเสียง ให้ความรู้สึกว่าไม่เป็นมืออาชีพหากโปรโตคอลที่พวกเขาตรวจสอบ (และประเมินว่าปลอดภัย) ถูกแฮ็ก ในความเป็นจริง Certik ได้ตรวจสอบโครงการมากกว่า 3422 โครงการ ดังนั้นจึงหลีกเลี่ยงไม่ได้ที่บางโครงการจะถูกแฮ็กหรือมีช่องโหว่

ดังนั้น เพียงแค่มีการตรวจสอบกระบวนการ ก็ไม่ได้หมายความว่าโปรโตคอลนั้นปลอดภัย ฉันเคยเห็นโครงการที่ประกาศอย่างภาคภูมิใจว่า "ตรวจสอบเสร็จแล้ว" เพียงเพื่อจะพบว่าคะแนนความปลอดภัยของพวกเขาต่ำจริง ๆ เมื่อคุณอ่านรายงานการตรวจสอบ

บทเรียนนี้สอนฉันว่าอย่าเชื่อคำประกาศการตรวจสอบของฝ่ายโครงการอย่างสุ่มสี่สุ่มห้า แต่ให้ตรวจสอบผลลัพธ์โดยการอ่านรายงานการตรวจสอบจริง

จะทำอย่างไรหากฉันไม่ต้องการอ่านรายงานการตรวจสอบ

ในความเป็นจริง คนส่วนใหญ่ไม่อ่านรายงานการตรวจสอบ แต่ Certik มีแดชบอร์ดข้อมูลของโครงการที่ผ่านการตรวจสอบทั้งหมด ในแดชบอร์ดนี้ คุณสามารถตรวจสอบ "คะแนนความน่าเชื่อถือ" ของโครงการ โดยตัวเลขที่สูงกว่าจะแสดงถึงความปลอดภัย

สถาบันตรวจสอบอื่นๆ เช่น Hacken จะมีแดชบอร์ดข้อมูลที่คล้ายคลึงกัน หรือคุณสามารถอ่านสรุปการตรวจสอบ เช่น ตัวอย่างของ Trader Joe ด้านล่าง ซึ่งดำเนินการโดยการตรวจสอบของ Paladin

หมายเหตุผู้แปล: Trader Joe เป็นแพลตฟอร์มการซื้อขายแบบครบวงจรบน Avalanche จัดเตรียมฟังก์ชันการซื้อขายและการให้ยืม และรวมเข้าด้วยกันเพื่อให้ธุรกรรมที่มีเลเวอเรจ

จากข้อมูลที่นี่ ไม่ใช่เรื่องยากที่จะเห็นว่า Trader Joe ได้แก้ไขปัญหาความเสี่ยงปานกลางและสูงทั้งหมดแล้ว แต่ก็ยังมีปัญหาความเสี่ยงต่ำบางรายการที่ยังไม่ได้รับการแก้ไข

การตรวจสอบเป็นเพียงจุดเริ่มต้น

ในการประเมินความปลอดภัยของโครงการ คุณต้องพิจารณาเพิ่มเติม:

• การทดสอบเต็มรูปแบบ

• แคมเปญเงินรางวัล

• ความเปิดเผยและความโปร่งใสของเอกสาร

• การควบคุมการจัดการ

• เอกสารประกอบของออราเคิล

มีหลายแง่มุมที่ต้องพิจารณา หากคุณตรวจสอบทั้งหมดด้วยตนเอง คุณอาจหมดแรงก่อน เมื่อพูดถึงเรื่องนี้เราต้องพูดถึง DeFi Safety ดำเนินการตรวจสอบโปรโตคอลเหล่านี้แล้วให้คะแนนความปลอดภัย

จากผลลัพธ์ที่ได้ เราจะเห็นได้อย่างชัดเจนว่า Liquity Protocol, Synthetix และ Angle Protocol มีความปลอดภัยมากที่สุดในบรรดาโปรโตคอล DeFi ที่ผ่านการพิสูจน์แล้วทั้งหมด

ใน Defi Safety คุณยังสามารถดูส่วนรายละเอียดเพิ่มเติมได้อีกด้วย ตัวอย่างเช่น โปรโตคอล Liquidy ยังคงต้องมีการตรวจสอบอย่างเป็นทางการ

หมายเหตุผู้แปล: ในกระบวนการออกแบบระบบฮาร์ดแวร์และซอฟต์แวร์คอมพิวเตอร์ ความหมายของการตรวจสอบอย่างเป็นทางการคือการใช้วิธีการทางคณิตศาสตร์เพื่อพิสูจน์ความถูกต้องหรือความไม่ถูกต้องตามข้อกำหนดหรือคุณสมบัติที่เป็นทางการอย่างใดอย่างหนึ่งหรือบางอย่าง

นอกจากนี้คุณยังสามารถดำเนินการประเมินความปลอดภัยของพอร์ตกระเป๋าเงินของคุณผ่าน Exponential DeFi

ฟังก์ชัน "Evaluation Wallet" จะให้คุณวิเคราะห์ความเสี่ยงของการลงทุนปัจจุบันของคุณ ตัวอย่างเช่น ทรัพย์สินของ Tetranode มูลค่า 4.5 ล้านดอลลาร์ถูกฝากไว้ในโปรโตคอลที่มีความเสี่ยงสูง (เกรด C)

หมายเหตุผู้แปล: Tetranode เป็นวาฬยักษ์โบราณที่ไม่ระบุตัวตน มีข่าวลือว่า Tetranode มีมูลค่าทรัพย์สินเข้ารหัสประมาณ 1 พันล้านดอลลาร์สหรัฐ เขาเข้ามาติดต่อกับ Bitcoin ในปี 2009 และยังคงรักษาความสนใจในระดับสูงมาตลอดตั้งแต่นั้นมา .

Elemental DeFi จะให้คะแนนตามการประเมินโครงการ ประเมินความปลอดภัยของบล็อกเชนที่พิจารณาความเสี่ยงของสินทรัพย์ คุณภาพของโค้ด และการจัดเก็บสินทรัพย์ คำอธิบายความเสี่ยงที่เรียบง่ายและเข้าใจง่ายนี้ทำให้ฉันวางไม่ลง

ยกตัวอย่าง MIM เหรียญ Stablecoin ของ Abracadabra ซึ่งจะเตือนโดยตรงว่าการใช้ SPELL เป็นหลักประกันอาจนำไปสู่หนี้เสียได้

หมายเหตุนักแปล: Abracadabra เป็นโปรโตคอล Stablecoin ที่ให้ผลตอบแทนที่น่าสนใจ ผู้ใช้สามารถใช้ใบรับรองการรับดอกเบี้ยเพื่อจำนำและพิมพ์ MIM ของ Stablecoin ดั้งเดิมของโปรโตคอล

ถามถ้าไม่เข้าใจ

วิธีสุดท้ายที่ฉันต้องการจะแนะนำคุณคือการเข้าร่วมชุมชนโครงการโดยตรง จากนั้นให้คิดถึงคำถามต่อไปนี้:

• พวกเขามีกองทุนประกันหรือไม่?

• พวกเขาหลีกเลี่ยงการถามคำถามหรือไม่?

• พวกเขากำลังทำอะไรเพื่อปรับปรุงความปลอดภัย

ตัวอย่างเช่น ก่อนหน้านี้ฉันถามทีมงาน Stargate ว่าพวกเขามีกองทุนประกันเพื่อป้องกันโปรเจกต์จากการถูกแฮ็กหรือไม่ แต่บางครั้งก็ไม่ง่ายนักที่จะได้คำตอบที่ถูกต้อง และฝ่ายโครงการมักจะหลีกเลี่ยงปัญหาด้วยวิธีต่างๆ นี่ดูเหมือนจะเป็นธงสีแดงที่ทำให้ผู้คนต้องระแวดระวัง

แต่ไม่ว่าจะเกิดอะไรขึ้น DeFi ยังอายุน้อยและมีหนทางอีกยาวไกล ดังนั้นจึงไม่ควรใส่ไข่ทั้งหมดลงในตะกร้าใบเดียว!