บทนำ: OKX Web3 Wallet วางแผนคอลัมน์ "ปัญหาพิเศษด้านความปลอดภัย" เป็นพิเศษเพื่อให้คำตอบพิเศษสำหรับปัญหาด้านความปลอดภัยออนไลน์ประเภทต่างๆ ผ่านกรณีจริงที่สุดที่เกิดขึ้นกับผู้ใช้ เราทำงานร่วมกับผู้เชี่ยวชาญหรือสถาบันในด้านการรักษาความปลอดภัยเพื่อแบ่งปันและตอบคำถามจากมุมมองที่แตกต่างกัน จึงแยกแยะและสรุปกฎการทำธุรกรรมที่ปลอดภัยจากตื้นไปยังลึก โดยมีจุดมุ่งหมายเพื่อเสริมสร้างความปลอดภัยของผู้ใช้ การศึกษาและช่วยให้ผู้ใช้เรียนรู้ที่จะปกป้องความปลอดภัยของคีย์ส่วนตัวและทรัพย์สินกระเป๋าเงินจากตนเอง

เสน่ห์ที่ยิ่งใหญ่ที่สุดของโลก DeFi คือทุกคนมีศักยภาพที่จะกลายเป็น “วาฬยักษ์”

แต่แม้แต่ "วาฬยักษ์" ก็ไม่กล้าแม้จะกินเนื้อ แต่บางครั้งเขาก็ "ถูกทุบตี"

ดังนั้นเมื่อเล่นบนโซ่ความปลอดภัยต้องมาก่อน

ไม่อย่างนั้นเราจะต้องเริ่มต้นใหม่อีกครั้ง~

ฉบับนี้เป็นฉบับที่ 05 ของฉบับพิเศษด้านความปลอดภัย ผู้บุกเบิกการรักษาความปลอดภัยของบล็อคเชน BlockSec และทีมรักษาความปลอดภัยกระเป๋าเงิน OKX Web3 ได้รับเชิญเป็นพิเศษให้แบ่งปันสิ่งนี้จากมุมมองของแนวทางปฏิบัติสำหรับผู้ใช้และฝ่ายโครงการทั้งหมดที่กำลังจะเป็นหรือกลายเป็น "วาฬยักษ์" คู่มือการป้องกันความเสี่ยง DeFi ตัวอย่างเช่น วิธีอ่านรายงานการตรวจสอบ ตัวชี้วัดและพารามิเตอร์ที่ใช้กันทั่วไปสำหรับการประเมินเบื้องต้นของความเสี่ยงของโครงการ DeFi ฝ่ายของโครงการหรือผู้ใช้วาฬ วิธีสร้างความสามารถในการรับรู้ในการตรวจสอบ กฎการป้องกันความปลอดภัยของ DeFi ฯลฯ... อย่าพลาด!

ทีมรักษาความปลอดภัยของ BlockSec: BlockSec เป็นผู้ให้บริการรักษาความปลอดภัยบล็อกเชน "เต็มรูปแบบ" ชั้นนำของโลก ปัจจุบันบริษัทให้บริการลูกค้ามากกว่า 300 ราย รวมถึงฝ่ายโครงการที่มีชื่อเสียง เช่น MetaMask, Compound, Uniswap Foundation, Forta, PancakeSwap, Puffer, ฯลฯ ผ่านทางหมวกขาว การช่วยเหลือดังกล่าวสามารถกู้คืนความเสียหายทางการเงินได้มากกว่า 20 ล้านดอลลาร์

Zhou Yajin ซีอีโอและผู้ร่วมก่อตั้ง BlockSec เป็นศาสตราจารย์ด้านคอมพิวเตอร์ที่มหาวิทยาลัยเจ้อเจียง และเป็นนักวิชาการที่มีอิทธิพลมากที่สุดในโลกที่ Aminer เลือก เขาได้ตีพิมพ์บทความชั้นนำมากกว่า 50 เรื่องและได้รับการอ้างอิงมากกว่า 10,000 ครั้ง CTO และผู้ร่วมก่อตั้ง Wu Lei เป็นศาสตราจารย์ด้านคอมพิวเตอร์ที่มหาวิทยาลัย Zhejiang และอดีตผู้ร่วมก่อตั้ง Paidun เขานำทีมค้นพบช่องโหว่แบบ Zero-day หลายสิบรายการในโครงการที่มีชื่อเสียงหลายแห่ง ผู้อำนวยการผลิตภัณฑ์ Raymond รับผิดชอบผลิตภัณฑ์รักษาความปลอดภัยที่ Tencent และ 360

ทีมรักษาความปลอดภัย OKX Web3 Wallet: สวัสดีทุกคน ฉันมีความสุขมากที่จะแบ่งปันสิ่งนี้ ทีม OKX Web3 Security มีหน้าที่รับผิดชอบหลักในการสร้างความสามารถด้านความปลอดภัยต่างๆ ของ OKX ในด้าน Web3 เช่น การตรวจสอบความปลอดภัยของสัญญาอัจฉริยะ การสร้างความสามารถด้านความปลอดภัยของกระเป๋าเงิน การตรวจสอบความปลอดภัยของโครงการแบบออนไลน์ ฯลฯ เพื่อให้ผู้ใช้ได้รับแง่มุมต่างๆ มากมาย เช่นความปลอดภัยของผลิตภัณฑ์ ความปลอดภัยของกองทุน และความปลอดภัยของธุรกรรม มีส่วนช่วยในการรักษาระบบนิเวศด้านความปลอดภัยของบล็อคเชนทั้งหมด

คำถามที่ 1: แบ่งปันกรณีความเสี่ยง DeFi หลายประการที่ผู้ใช้พบจริง

ทีมรักษาความปลอดภัยของ BlockSec: DeFi ดึงดูดนักลงทุนรายใหญ่จำนวนมากให้เข้าร่วม เนื่องจากให้ผลตอบแทนแก่สินทรัพย์ค่อนข้างคงที่และให้ผลตอบแทนสูง เพื่อปรับปรุงสภาพคล่อง ฝ่ายโครงการหลายฝ่ายจะเชิญนักลงทุนรายใหญ่เข้ามาตั้งถิ่นฐานด้วย ตัวอย่างเช่น เรามักจะเห็นรายงานข่าวว่านักลงทุนรายใหญ่บางรายฝากสินทรัพย์จำนวนมากเข้าสู่ DeFi แน่นอนว่านอกเหนือจากการได้รับผลตอบแทนที่มั่นคงแล้ว วาฬยักษ์เหล่านี้ยังต้องเผชิญกับความเสี่ยงเมื่อเข้าร่วมในโครงการ DeFi ต่อไป เราจะแบ่งปันกรณีความเสี่ยง DeFi สาธารณะบางส่วนในอุตสาหกรรม:

กรณีที่ 1: ในเหตุการณ์ด้านความปลอดภัยของ PolyNetwork ในปี 2022 มีทรัพย์สินรวมกว่า 600 ล้านดอลลาร์ถูกโจมตี ว่ากันว่า Shenyu มีเงินจำนวน 100 ล้านเหรียญสหรัฐอยู่ในนั้น แม้ว่าผู้โจมตีจะจ่ายเงินคืนในภายหลังและเหตุการณ์ดังกล่าวคลี่คลายได้สำเร็จ แต่ Shenyu ยังประกาศว่าจะสร้างอนุสาวรีย์บนห่วงโซ่เพื่อรำลึกถึงเหตุการณ์ดังกล่าว แต่กระบวนการนี้จะต้อง เจ็บปวดมาก แม้ว่าเหตุการณ์ด้านความปลอดภัยในปัจจุบันจำนวนเล็กน้อยจะให้ผลลัพธ์ที่ดี แต่เหตุการณ์ส่วนใหญ่กลับไม่โชคดีนัก

กรณีที่ 2: DEX SushiSwap ที่รู้จักกันดีถูกโจมตีในปี 2023 ผู้ใช้รายใหญ่ 0x Sifu สูญเสียเงินมากกว่า 3.3 ล้านดอลลาร์สหรัฐ การสูญเสียของเขาเพียงอย่างเดียวคิดเป็นประมาณ 90% ของการสูญเสียทั้งหมด

กรณีที่ 3: ในเหตุการณ์ด้านความปลอดภัยของ Prisma ในเดือนมีนาคมปีนี้ ความสูญเสียทั้งหมดอยู่ที่ 14 ล้านเหรียญสหรัฐ ความสูญเสียเหล่านี้มาจากที่อยู่กระเป๋าสตางค์ 17 แห่ง โดยสูญเสียโดยเฉลี่ย 820,000 เหรียญสหรัฐต่อกระเป๋าเงิน แต่มีผู้ใช้ 4 รายคิดเป็น 80% ของการสูญเสีย ทรัพย์สินที่ถูกขโมยเหล่านี้ส่วนใหญ่ยังไม่ได้รับการกู้คืน

ในการวิเคราะห์ขั้นสุดท้าย DeFi โดยเฉพาะ DeFi บนเครือข่ายหลัก เนื่องจากค่าธรรมเนียม Gas ไม่สามารถละเลยได้ เฉพาะเมื่อสินทรัพย์ถึงระดับหนึ่งเท่านั้นที่คุณจะได้รับผลประโยชน์อย่างแท้จริง (ยกเว้นรางวัล Airdrop) ดังนั้น TVL หลักของโครงการ DeFi โดยทั่วไปมีส่วนสนับสนุนโดยวาฬยักษ์ และแม้แต่ในบางโครงการ วาฬ 2% มีส่วนสนับสนุน 80% ของ TVL เมื่อเกิดเหตุการณ์ด้านความปลอดภัย วาฬยักษ์เหล่านี้จะต้องแบกรับความสูญเสียส่วนใหญ่อย่างหลีกเลี่ยงไม่ได้ “คุณไม่สามารถเห็นวาฬยักษ์กินเนื้อได้ แต่บางครั้งก็ถูกทุบตีด้วย”

ทีมรักษาความปลอดภัย OKX Web3 Wallet: ด้วยความเจริญรุ่งเรืองและการพัฒนาของโลกออนไลน์ กรณีความเสี่ยงของ DeFi ที่ผู้ใช้พบก็เพิ่มขึ้นทุกวันเช่นกัน การรักษาความปลอดภัยออนไลน์จะเป็นความต้องการพื้นฐานและสำคัญที่สุดสำหรับผู้ใช้เสมอ

กรณีที่ 1: เหตุการณ์การรั่วไหลของคีย์ส่วนตัวของบัญชีสิทธิพิเศษของ PlayDapp ตั้งแต่วันที่ 9 ถึง 12 กุมภาพันธ์ 2024 แพลตฟอร์มเกม PlayDapp ที่ใช้ Ethereum ถูกโจมตีเนื่องจากการรั่วไหลของคีย์ส่วนตัว ผู้โจมตีสร้างและขโมยโทเค็น PLA 1.79 พันล้านโดยไม่ได้รับอนุญาต ส่งผลให้เกิดการสูญเสียประมาณ 32.35 ล้านดอลลาร์สหรัฐ ผู้โจมตีได้เพิ่ม minter ใหม่ให้กับโทเค็น PLA และสร้าง PLA จำนวนมาก โดยกระจายไปยังที่อยู่และการแลกเปลี่ยนออนไลน์หลายแห่ง

กรณีที่ 2: การโจมตี Hedgey Finance เมื่อวันที่ 19 เมษายน 2024 Hedgey Finance ประสบกับการละเมิดความปลอดภัยครั้งใหญ่บน Ethereum และ Arbitrum ส่งผลให้สูญเสียเงินประมาณ 44.7 ล้านดอลลาร์ ผู้โจมตีใช้ประโยชน์จากสัญญาที่ไม่มีการตรวจสอบความถูกต้องอินพุตของผู้ใช้เพื่อขออนุญาตสัญญาที่มีช่องโหว่ จึงเป็นการขโมยทรัพย์สินจากสัญญา

คำถามที่ 2: คุณสามารถสรุปประเภทความเสี่ยงหลักที่มีอยู่ในฟิลด์ DeFi ในปัจจุบันได้หรือไม่

ทีมรักษาความปลอดภัย OKX Web3 Wallet: จากกรณีจริง เราได้แยกประเภทความเสี่ยงทั่วไป 4 ประเภทในฟิลด์ DeFi ปัจจุบัน

หมวดที่ 1: การโจมตีแบบฟิชชิ่ง การโจมตีแบบฟิชชิ่งเป็นการโจมตีทางไซเบอร์ประเภทหนึ่งที่หลอกล่อเหยื่อให้ให้ข้อมูลที่ละเอียดอ่อน เช่น คีย์ส่วนตัว รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่น ๆ โดยการแกล้งทำเป็นนิติบุคคลหรือบุคคลที่ถูกต้องตามกฎหมาย ในพื้นที่ DeFi การโจมตีแบบฟิชชิ่งมักดำเนินการด้วยวิธีต่อไปนี้:

1) เว็บไซต์ปลอม: ผู้โจมตีสร้างเว็บไซต์ฟิชชิ่งที่คล้ายกับโครงการ DeFi จริงเพื่อหลอกให้ผู้ใช้ลงนามการอนุญาตหรือโอนธุรกรรม

2) การโจมตีทางวิศวกรรมสังคม: บน Twitter ผู้โจมตีใช้บัญชีที่มีการเลียนแบบสูงหรือจี้บัญชี Twitter หรือบัญชี Discord ของทีมโปรเจ็กต์เพื่อเผยแพร่การส่งเสริมการขายที่เป็นเท็จหรือข้อมูลการแจกอากาศ (จริงๆ แล้วคือลิงก์ฟิชชิ่ง) เพื่อดำเนินการโจมตีแบบฟิชชิ่งกับผู้ใช้

3) สัญญาอัจฉริยะที่เป็นอันตราย: ผู้โจมตีเผยแพร่สัญญาอัจฉริยะหรือโปรเจ็กต์ DeFi ที่ดูเหมือนจะน่าดึงดูดเพื่อหลอกผู้ใช้ให้อนุญาตสิทธิ์การเข้าถึงของตน และเป็นการขโมยเงิน

หมวดที่ 2: รักพูล Rugpull เป็นการหลอกลวงที่ไม่เหมือนใครในสาขา DeFi มันหมายถึงผู้พัฒนาโครงการถอนเงินออกกะทันหันและหายไปหลังจากดึงดูดการลงทุนจำนวนมาก ทำให้เงินทุนของนักลงทุนทั้งหมดถูกกวาดออกไป Rugpull มักเกิดขึ้นในการแลกเปลี่ยนแบบกระจายอำนาจ (DEX) และโครงการขุดสภาพคล่อง อาการหลัก ได้แก่ :

1) การถอนสภาพคล่อง: นักพัฒนาซอฟต์แวร์จัดเตรียมสภาพคล่องจำนวนมากในแหล่งรวมสภาพคล่องเพื่อดึงดูดผู้ใช้ให้ลงทุน จากนั้นจึงถอนสภาพคล่องทั้งหมดออกอย่างกะทันหัน ทำให้ราคาโทเค็นดิ่งลงและผู้ลงทุนต้องประสบกับความสูญเสียอย่างหนัก

2) โปรเจ็กต์ปลอม: นักพัฒนาสร้างโปรเจ็กต์ DeFi ที่ดูเหมือนถูกต้องตามกฎหมายเพื่อหลอกล่อผู้ใช้ให้ลงทุนผ่านคำสัญญาที่ผิด ๆ และผลตอบแทนสูง แต่ในความเป็นจริงแล้ว ไม่มีผลิตภัณฑ์หรือบริการจริง ๆ

3) เปลี่ยนการอนุญาตสัญญา: นักพัฒนาสามารถใช้แบ็คดอร์หรือการอนุญาตในสัญญาอัจฉริยะเพื่อเปลี่ยนกฎของสัญญาหรือถอนเงินได้ตลอดเวลา

หมวดที่ 3: ช่องโหว่ของสัญญาอัจฉริยะ สัญญาอัจฉริยะคือโค้ดที่ดำเนินการเองซึ่งทำงานบนบล็อกเชน และไม่สามารถเปลี่ยนแปลงได้เมื่อปรับใช้แล้ว หากมีช่องโหว่ในสัญญาอัจฉริยะ จะนำไปสู่ปัญหาด้านความปลอดภัยที่ร้ายแรง ช่องโหว่ของสัญญาอัจฉริยะทั่วไป ได้แก่:

1) ช่องโหว่ Reentrancy: ผู้โจมตีเรียกสัญญาที่มีช่องโหว่ซ้ำๆ ก่อนที่การโทรครั้งสุดท้ายจะเสร็จสิ้น ทำให้เกิดปัญหากับสถานะภายในของสัญญา

2) ข้อผิดพลาดทางลอจิก: ข้อผิดพลาดลอจิกในการออกแบบสัญญาหรือการดำเนินการ นำไปสู่พฤติกรรมหรือช่องโหว่ที่ไม่คาดคิด

3) จำนวนเต็มล้น: สัญญาไม่จัดการการดำเนินการจำนวนเต็มอย่างถูกต้อง ส่งผลให้เกิดล้นหรือน้อยเกินไป

4) การควบคุมราคา: ผู้โจมตีจะทำการโจมตีโดยการควบคุมราคาของออราเคิลแมชชีน

5) การสูญเสียความแม่นยำ: ข้อผิดพลาดในการคำนวณเนื่องจากปัญหาจุดลอยตัวหรือความแม่นยำของจำนวนเต็ม

6) ขาดการตรวจสอบอินพุต: การป้อนข้อมูลของผู้ใช้ไม่ได้รับการตรวจสอบอย่างสมบูรณ์ นำไปสู่ปัญหาด้านความปลอดภัยที่อาจเกิดขึ้น

หมวดที่ 4: ความเสี่ยงด้านการกำกับดูแล ความเสี่ยงด้านการกำกับดูแลเกี่ยวข้องกับกลไกการตัดสินใจและการควบคุมหลักของโครงการ หากนำไปใช้ในทางที่ผิด อาจทำให้โครงการเบี่ยงเบนไปจากเป้าหมายที่คาดหวัง และอาจนำไปสู่ความสูญเสียทางเศรษฐกิจอย่างร้ายแรงและวิกฤตการณ์ด้านความไว้วางใจ ประเภทของความเสี่ยงทั่วไป ได้แก่:

1) การรั่วไหลของคีย์ส่วนตัว

บัญชีสิทธิพิเศษของโครงการ DeFi บางโครงการถูกควบคุมโดย EOA (บัญชีภายนอก) หรือกระเป๋าเงินหลายลายเซ็น หากคีย์ส่วนตัวเหล่านี้รั่วไหลหรือถูกขโมย ผู้โจมตีสามารถจัดการสัญญาหรือเงินทุนได้ตามต้องการ

2) การโจมตีการกำกับดูแล

แม้ว่าโครงการ DeFi บางโครงการจะใช้โซลูชันการกำกับดูแลแบบกระจายอำนาจ แต่ก็ยังมีความเสี่ยงดังต่อไปนี้:

·การยืมโทเค็นการกำกับดูแล: ผู้โจมตีบิดเบือนผลการลงคะแนนในช่วงเวลาสั้น ๆ โดยการยืมโทเค็นการกำกับดูแลจำนวนมาก

·ควบคุมอำนาจการลงคะแนนเสียงข้างมาก: หากโทเค็นการกำกับดูแลกระจุกตัวอยู่ในมือของคนเพียงไม่กี่คน คนเหล่านี้จะสามารถควบคุมการตัดสินใจของโครงการทั้งหมดผ่านอำนาจการลงคะแนนแบบรวมศูนย์

คำถามที่ 3: มิติข้อมูลหรือพารามิเตอร์ใดบ้างที่สามารถใช้เพื่อประเมินความปลอดภัยและระดับความเสี่ยงของโครงการ DeFi ในขั้นต้น

ทีมรักษาความปลอดภัย BlockSec: ก่อนที่จะเข้าร่วมโครงการ DeFi จำเป็นอย่างยิ่งที่ต้องทำการประเมินความปลอดภัยโดยรวมของโครงการ โดยเฉพาะอย่างยิ่งสำหรับผู้เข้าร่วมที่มีเงินทุนค่อนข้างมาก การตรวจสอบสถานะด้านความปลอดภัยที่จำเป็นสามารถรับรองความปลอดภัยของกองทุนได้ในระดับสูงสุด

ขั้นแรก ขอแนะนำให้ดำเนินการประเมินความปลอดภัยของโค้ดของโครงการอย่างครอบคลุม รวมถึงดูว่าฝ่ายของโครงการได้รับการตรวจสอบหรือไม่ และได้รับการตรวจสอบโดยบริษัทตรวจสอบที่มีชื่อเสียงด้านความปลอดภัยที่ดีหรือไม่ มีบริษัทตรวจสอบหลายแห่งเกี่ยวข้องหรือไม่ รหัสล่าสุดได้รับการตรวจสอบแล้ว ฯลฯ โดยทั่วไป หากโค้ดที่ทำงานออนไลน์ได้รับการตรวจสอบโดยบริษัทรักษาความปลอดภัยหลายแห่งและมีชื่อเสียงด้านความปลอดภัยที่ดี ความเสี่ยงของการโจมตีด้านความปลอดภัยจะลดลงอย่างมาก

ประการที่สอง ขึ้นอยู่กับว่าฝ่ายโครงการปรับใช้ระบบตรวจสอบความปลอดภัยแบบเรียลไทม์หรือไม่ การรักษาความปลอดภัยที่รับประกันโดยการตรวจสอบความปลอดภัยเป็นแบบคงที่และไม่สามารถแก้ไขปัญหาด้านความปลอดภัยแบบไดนามิกที่เกิดขึ้นหลังจากที่โปรเจ็กต์ออนไลน์ได้ ตัวอย่างเช่น ฝ่ายโครงการปรับพารามิเตอร์การดำเนินงานหลักของโครงการอย่างไม่เหมาะสม เพิ่มพูลใหม่ เป็นต้น หากฝ่ายโครงการใช้ระบบตรวจสอบความปลอดภัยแบบเรียลไทม์ ปัจจัยด้านความปลอดภัยระหว่างการดำเนินงานจะสูงกว่าโปรโตคอลที่ไม่ได้ใช้โซลูชันดังกล่าว

ประการที่สาม ขึ้นอยู่กับว่าฝ่ายของโครงการมีความสามารถในการตอบสนองโดยอัตโนมัติในสถานการณ์ฉุกเฉินหรือไม่ ความสามารถนี้ถูกละเลยจากชุมชนมานานแล้ว เราพบว่าในเหตุการณ์ด้านความปลอดภัยหลายครั้ง ฝั่งโปรเจ็กต์ล้มเหลวในการใช้เบรกเกอร์ฟังก์ชันอัตโนมัติ (หรือเซอร์กิตเบรกเกอร์สำหรับการดำเนินการที่คำนึงถึงเงินทุน) ฝ่ายโครงการส่วนใหญ่ใช้วิธีการด้วยตนเองเพื่อจัดการกับเหตุการณ์ด้านความปลอดภัยในกรณีฉุกเฉิน และวิธีนี้ได้รับการพิสูจน์แล้วว่าไม่มีประสิทธิภาพหรือแม้กระทั่งไม่ได้ผล

ประการที่สี่ ขึ้นอยู่กับการพึ่งพาภายนอกของฝ่ายโครงการและความสมบูรณ์ของการพึ่งพาภายนอก โปรเจ็กต์ DeFi จะขึ้นอยู่กับข้อมูลที่ให้โดยโปรเจ็กต์บุคคลที่สาม เช่น ราคา สภาพคล่อง ฯลฯ ดังนั้นจึงจำเป็นต้องประเมินความปลอดภัยของโปรเจ็กต์จากมุมมองของจำนวนการขึ้นต่อกันภายนอก ความปลอดภัยของโปรเจ็กต์ที่ต้องพึ่งพาภายนอก และดูว่ามีการตรวจสอบและการประมวลผลข้อมูลที่ผิดปกติของการขึ้นต่อกันภายนอกแบบเรียลไทม์หรือไม่ โดยทั่วไปแล้ว โปรเจ็กต์ที่มีฝ่ายโปรเจ็กต์ที่ขึ้นอยู่กับภายนอกเป็นฝ่ายโปรเจ็กต์หลักและมีความทนทานต่อข้อผิดพลาดและการประมวลผลข้อมูลที่ผิดปกติแบบเรียลไทม์จากโปรเจ็กต์ภายนอกจะปลอดภัยกว่า

ประการที่ห้า ฝ่ายโครงการมีโครงสร้างการกำกับดูแลชุมชนที่ค่อนข้างดีหรือไม่ ซึ่งรวมถึงว่าฝ่ายโครงการมีกลไกการลงคะแนนเสียงของชุมชนสำหรับกิจกรรมสำคัญหรือไม่ การดำเนินงานที่มีความละเอียดอ่อนเสร็จสิ้นโดยใช้ลายเซ็นหลายลายเซ็นหรือไม่ กระเป๋าเงินหลายลายเซ็นแนะนำการมีส่วนร่วมที่เป็นกลางของชุมชนหรือไม่ และมีคณะกรรมการความปลอดภัยของชุมชนหรือไม่ เป็นต้น โครงสร้างการกำกับดูแลเหล่านี้สามารถปรับปรุงความโปร่งใสของโครงการและลดความเป็นไปได้ที่เงินทุนของผู้ใช้ในโครงการจะถูกดึงออกมา

สุดท้ายนี้ประวัติความเป็นมาของพรรคโครงการที่ผ่านมาก็มีความสำคัญมากเช่นกัน จำเป็นต้องมีการตรวจสอบประวัติสำหรับทีมงานโครงการและสมาชิกโครงการหลัก หากสมาชิกหลักของทีมโปรเจ็กต์ถูกโจมตีหลายครั้งหรือมีประวัติที่ไม่ดี เช่น รัคพูลในโปรเจ็กต์ที่ผ่านมา ความเสี่ยงด้านความปลอดภัยของโปรเจ็กต์ดังกล่าวก็จะค่อนข้างสูง

กล่าวโดยย่อ ก่อนที่จะเข้าร่วมในโครงการ DeFi ผู้ใช้โดยเฉพาะผู้เข้าร่วมที่มีเงินทุนขนาดใหญ่จะต้องทำงานวิจัยให้ดี ตั้งแต่การตรวจสอบความปลอดภัยของรหัสก่อนที่โครงการจะออนไลน์ไปจนถึงการตรวจสอบความปลอดภัยแบบเรียลไทม์และการสร้างความสามารถในการตอบสนองอัตโนมัติหลังจากโครงการดำเนินไป ออนไลน์เพื่อตรวจสอบความปลอดภัยของการลงทุนและความมั่นคงฝั่งโครงการและงานปรับเปลี่ยนจะต้องทำจากมุมมองของการพึ่งพาภายนอก โครงสร้างการกำกับดูแลและประวัติที่ผ่านมาของฝ่ายโครงการเพื่อให้มั่นใจถึงความปลอดภัยของกองทุนที่ลงทุนในโครงการ

ทีมรักษาความปลอดภัย OKX Web3 Wallet: แม้ว่าความปลอดภัยของโปรเจ็กต์ DeFi จะไม่สามารถรับประกันได้ 100% แต่ผู้ใช้สามารถประเมินระดับความปลอดภัยและความเสี่ยงของโปรเจ็กต์ DeFi ได้ในเบื้องต้นผ่านการผสานรวมของมิติต่อไปนี้

1. โครงการความปลอดภัยทางเทคนิค

1. การตรวจสอบสัญญาอัจฉริยะ:

1) ตรวจสอบว่าโครงการได้รับการตรวจสอบจากบริษัทตรวจสอบบัญชีหลายแห่งหรือไม่ และบริษัทตรวจสอบบัญชีมีชื่อเสียงและประสบการณ์ที่ดีหรือไม่

2) ตรวจสอบจำนวนและความรุนแรงของปัญหาที่รายงานในรายงานการตรวจสอบเพื่อให้แน่ใจว่าปัญหาทั้งหมดได้รับการแก้ไข

3) ตรวจสอบว่าโค้ดที่โครงการปรับใช้นั้นสอดคล้องกับเวอร์ชันโค้ดที่ได้รับการตรวจสอบหรือไม่

2. โค้ดโอเพ่นซอร์ส:

1) ตรวจสอบว่าโค้ดของโครงการเป็นโอเพ่นซอร์สหรือไม่ โค้ดโอเพ่นซอร์สช่วยให้ชุมชนและผู้เชี่ยวชาญด้านความปลอดภัยสามารถตรวจสอบได้ ซึ่งจะช่วยค้นหาปัญหาด้านความปลอดภัยที่อาจเกิดขึ้น

2) พื้นหลังของทีมพัฒนา: เข้าใจภูมิหลังและประสบการณ์ของทีมพัฒนาโครงการ โดยเฉพาะอย่างยิ่งประสบการณ์ในด้านบล็อกเชนและความปลอดภัย รวมถึงระดับความโปร่งใสและข้อมูลเปิดของทีม

3) โปรแกรม Bug Bounty: โครงการมีโปรแกรม Bug Bounty เพื่อจูงใจให้นักวิจัยด้านความปลอดภัยรายงานช่องโหว่หรือไม่?

3. ความมั่นคงทางการเงินและเศรษฐกิจ

1) จำนวนเงินทุนที่ถูกล็อค: ตรวจสอบจำนวนเงินที่ถูกล็อคในสัญญาอัจฉริยะ การล็อคที่สูงขึ้นอาจหมายความว่าโครงการมีระดับความไว้วางใจที่สูงกว่า

2) ปริมาณการซื้อขายและสภาพคล่อง: ประเมินปริมาณการซื้อขายและสภาพคล่องของโครงการ สภาพคล่องต่ำอาจเพิ่มความเสี่ยงจากการปั่นราคา

3) โมเดลเศรษฐกิจโทเค็น: ประเมินโมเดลเศรษฐกิจโทเค็นของโครงการ รวมถึงการแจกจ่ายโทเค็น กลไกแรงจูงใจ และแบบจำลองเงินเฟ้อ เช่น มีการกระจุกตัวของการถือครองโทเค็นมากเกินไปหรือไม่ เป็นต้น

4. การรักษาความปลอดภัยการดำเนินงานและการจัดการ

1) กลไกการกำกับดูแล: ทำความเข้าใจกลไกการกำกับดูแลของโครงการว่ามีกลไกการกำกับดูแลแบบกระจายอำนาจหรือไม่ และชุมชนสามารถลงคะแนนในการตัดสินใจที่สำคัญหรือไม่ และวิเคราะห์การกระจายโทเค็นการกำกับดูแลและการกระจุกตัวของสิทธิในการลงคะแนนเสียง เป็นต้น

2) มาตรการบริหารความเสี่ยง: โครงการมีมาตรการบริหารความเสี่ยงและแผนฉุกเฉิน และวิธีการจัดการกับภัยคุกคามด้านความปลอดภัยและการโจมตีทางเศรษฐกิจที่อาจเกิดขึ้นหรือไม่ นอกจากนี้ ในแง่ของความโปร่งใสของโครงการและการสื่อสารในชุมชน คุณสามารถดูได้ว่าฝ่ายของโครงการเผยแพร่รายงานความคืบหน้าของโครงการและการอัปเดตด้านความปลอดภัยเป็นประจำหรือไม่ และจะสื่อสารกับชุมชนอย่างแข็งขันและแก้ไขปัญหาของผู้ใช้หรือไม่ เป็นต้น

5. การประเมินตลาดและชุมชน

1) กิจกรรมชุมชน: ประเมินกิจกรรมชุมชนและฐานผู้ใช้ของโครงการ ชุมชนที่กระตือรือร้นมักจะหมายความว่าโครงการได้รับการสนับสนุนอย่างกว้างขวาง

2) การประเมินสื่อและโซเชียลมีเดีย: วิเคราะห์การประเมินโครงการในสื่อและโซเชียลมีเดียเพื่อทำความเข้าใจความคิดเห็นของผู้ใช้และผู้เชี่ยวชาญในอุตสาหกรรมเกี่ยวกับโครงการ

3) พันธมิตรและนักลงทุน: ตรวจสอบว่าโครงการได้รับการสนับสนุนจากพันธมิตรและนักลงทุนที่มีชื่อเสียงหรือไม่ พันธมิตรและนักลงทุนที่มีชื่อเสียงสามารถเพิ่มความน่าเชื่อถือของโครงการได้ แต่ไม่สามารถเป็นปัจจัยชี้ขาดในการตัดสินความปลอดภัยได้

คำถามที่ 4: ผู้ใช้ควรดูรายงานการตรวจสอบ สถานะโอเพ่นซอร์ส ฯลฯ อย่างไร

ทีมรักษาความปลอดภัย BlockSec: สำหรับโครงการที่ได้รับการตรวจสอบแล้ว ทีมงานโครงการมักจะริเริ่มเผยแพร่รายงานการตรวจสอบไปยังชุมชนผ่านช่องทางอย่างเป็นทางการ รายงานการตรวจสอบเหล่านี้มักจะอยู่ในเอกสารของทีมโครงการ ที่เก็บโค้ด Github และช่องทางอื่นๆ นอกจากนี้ ยังจำเป็นต้องระบุความถูกต้องของรายงานการตรวจสอบด้วย วิธีการระบุตัวตน ได้แก่ การตรวจสอบลายเซ็นดิจิทัลของรายงานการตรวจสอบ การติดต่อบริษัทตรวจสอบเพื่อยืนยันรอง เป็นต้น

แล้วนักลงทุนจะศึกษารายงานการตรวจสอบดังกล่าวอย่างไรหลังจากได้รับแล้ว?

ประการแรก ขึ้นอยู่กับว่ารายงานการตรวจสอบได้รับการตรวจสอบโดยบริษัทรักษาความปลอดภัยบางแห่งที่มีชื่อเสียงด้านความปลอดภัยค่อนข้างสูง เช่น Open Zeppelin, Trail of Bits, BlockSec และบริษัทตรวจสอบชั้นนำอื่นๆ หรือไม่

ประการที่สอง ขึ้นอยู่กับว่าปัญหาที่กล่าวถึงในรายงานการตรวจสอบได้รับการซ่อมแซมหรือไม่ ถ้าไม่ก็ขึ้นอยู่กับว่าฝ่ายโครงการมีเหตุผลที่ไม่ซ่อมแซมเพียงพอหรือไม่ นอกจากนี้ยังจำเป็นต้องแยกแยะระหว่างรายงานช่องโหว่ที่ถูกต้องและรายงานช่องโหว่ที่ไม่ถูกต้องในรายงานการตรวจสอบ เนื่องจากไม่มีมาตรฐานอุตสาหกรรมที่เป็นหนึ่งเดียวกันสำหรับรายงานการตรวจสอบ บริษัทตรวจสอบความปลอดภัยจะดำเนินการจัดอันดับความเสี่ยงและรายงานช่องโหว่ของโครงการตามการรับรู้ด้านความปลอดภัยของตนเอง ดังนั้นจึงให้ความสำคัญกับการรายงานช่องโหว่ที่มีประสิทธิภาพสำหรับช่องโหว่ที่พบในรายงานการตรวจสอบ วิธีที่ดีที่สุดคือนำทีมที่ปรึกษาด้านความปลอดภัยของคุณเข้ามาทำการประเมินโดยบุคคลที่สามโดยอิสระในระหว่างกระบวนการนี้

ประการที่สาม ขึ้นอยู่กับว่าเวลาการตรวจสอบในรายงานการตรวจสอบที่เผยแพร่โดยฝ่ายโครงการนั้นสอดคล้องกับ (หรือใกล้เคียงกับ) เวลาอัปเกรดและอัปเดตโครงการล่าสุด นอกจากนี้ ยังจำเป็นต้องใส่ใจด้วยว่ารหัสฝ่ายของโครงการหรือไม่ ในรายงานการตรวจสอบครอบคลุมโค้ดออนไลน์ของฝ่ายโครงการทั้งหมด เพื่อประโยชน์ของต้นทุนทางเศรษฐกิจและต้นทุนเวลา ฝ่ายโครงการมักจะดำเนินการตรวจสอบโค้ดบางส่วน ดังนั้นในกรณีนี้ จำเป็นต้องพิจารณาว่ารหัสที่ตรวจสอบแล้วนั้นเป็นรหัสโปรโตคอลหลักหรือไม่

ประการที่สี่ ขึ้นอยู่กับว่าโค้ดที่รันออนไลน์โดยฝั่งโปรเจ็กต์ได้รับการตรวจสอบแล้ว (โอเพ่นซอร์ส) หรือไม่ และโค้ดที่ตรวจสอบแล้วนั้นสอดคล้องกับรายงานการตรวจสอบหรือไม่ โดยปกติการตรวจสอบจะขึ้นอยู่กับโค้ดของโครงการบน Github (แทนที่จะเป็นโค้ดที่ใช้งานออนไลน์) หากโค้ดที่โปรเจ็กต์นำไปใช้กับเชนในที่สุดไม่ใช่โอเพ่นซอร์ส หรือแตกต่างอย่างมากจากโค้ดที่กำลังตรวจสอบ นี่เป็นประเด็นที่ต้องให้ความสนใจ

กล่าวโดยสรุป การอ่านรายงานการตรวจสอบนั้นค่อนข้างจะเป็นมืออาชีพ และขอแนะนำให้แนะนำผู้เชี่ยวชาญด้านความปลอดภัยจากบุคคลที่สามที่เป็นอิสระเพื่อให้ความเห็นคำปรึกษาในระหว่างกระบวนการ

ทีมรักษาความปลอดภัย OKX Web3 Wallet: ผู้ใช้สามารถตรวจสอบรายงานการตรวจสอบและสถานะโอเพ่นซอร์สของสัญญาอัจฉริยะผ่านเว็บไซต์อย่างเป็นทางการของโครงการ DeFi หรือเว็บไซต์บุคคลที่สาม เช่น OKLink ข้อมูลต่อไปนี้จะอธิบายขั้นตอนทั่วไปในการตรวจสอบการตรวจสอบโครงการ รายงานและสถานะโอเพ่นซอร์ส:

ขั้นแรก ให้มองหาประกาศอย่างเป็นทางการหรือเว็บไซต์ โปรเจ็กต์ DeFi ที่น่าเชื่อถือส่วนใหญ่จะแสดงข้อมูลเอกสารที่เกี่ยวข้องบนเว็บไซต์อย่างเป็นทางการ ในหน้าเอกสารโปรเจ็กต์ โดยปกติจะมีหน้า "ความปลอดภัย" "การตรวจสอบ" หรือ "ที่อยู่สัญญา" ที่ลิงก์ไปยังรายงานการตรวจสอบและสัญญาการใช้งานของทีมโปรเจ็กต์ ที่อยู่. นอกเหนือจากเว็บไซต์อย่างเป็นทางการของโครงการแล้ว โดยปกติแล้วยังแสดงรายงานการตรวจสอบและข้อมูลที่อยู่สัญญาที่ปรับใช้บนโซเชียลมีเดียอย่างเป็นทางการ เช่น สื่อและ Twitter

ประการที่สอง หลังจากอ่านเว็บไซต์อย่างเป็นทางการของฝ่ายโครงการแล้ว คุณสามารถค้นหาข้อมูลที่อยู่สัญญาที่ปรับใช้ซึ่งมอบให้โดยฝ่ายโครงการผ่านเบราว์เซอร์ OKLink และดูข้อมูลโค้ดโอเพ่นซอร์สของสัญญาที่ใช้งานตามที่อยู่นี้ในคอลัมน์ "สัญญา" .

ประการที่สาม หลังจากได้รับรายงานการตรวจสอบของฝ่ายโปรเจ็กต์และข้อมูลโค้ดโอเพ่นซอร์สของสัญญาการใช้งานแล้ว คุณสามารถเริ่มอ่านรายงานการตรวจสอบของฝ่ายโปรเจ็กต์ได้ เมื่ออ่านรายงานการตรวจสอบ คุณควรคำนึงถึงประเด็นต่อไปนี้:

1) ทำความเข้าใจโครงสร้างของรายงานการตรวจสอบ และมีแนวคิดโดยรวมเกี่ยวกับเนื้อหาของรายงานการตรวจสอบ โดยแบ่งคร่าวๆ เป็น บทนำ ปัญหาที่พบ วิธีแก้ไขและข้อเสนอแนะ และผลการตรวจสอบ

2) เมื่ออ่านบทนำ เราต้องใส่ใจกับขอบเขตและวัตถุประสงค์ของรายงานการตรวจสอบ โดยปกติแล้ว รายงานการตรวจสอบจะทำเครื่องหมาย Github Commit ID ของการส่งไฟล์การตรวจสอบ เราจำเป็นต้องเปรียบเทียบว่าไฟล์ที่ได้รับการตรวจสอบในรายงานการตรวจสอบหรือไม่ สอดคล้องกับโค้ดโอเพ่นซอร์สที่ใช้งานบนเชน

3) เมื่ออ่านปัญหาที่ค้นพบ วิธีแก้ไขและข้อเสนอแนะ และผลการตรวจสอบ เราจำเป็นต้องมุ่งเน้นไปที่ว่าทีมงานโครงการได้แก้ไขช่องโหว่ที่ค้นพบตามที่แนะนำหรือไม่ และฝ่ายโครงการได้ดำเนินการตรวจสอบติดตามผลเกี่ยวกับเนื้อหาที่แก้ไขเพื่อให้แน่ใจหรือไม่ ว่าปัญหาทั้งหมดได้รับการจัดการอย่างเหมาะสม

4) เปรียบเทียบรายงานหลายฉบับ หากโครงการได้รับการตรวจสอบหลายครั้ง ให้ตรวจสอบความแตกต่างระหว่างรายงานการตรวจสอบแต่ละฉบับเพื่อทำความเข้าใจการปรับปรุงความปลอดภัยของโครงการ

คำถามที่ 5: ค่าอ้างอิงของประวัติการโจมตีของแฮ็กเกอร์และโปรแกรมค่าหัวสำหรับความปลอดภัยของโครงการ DeFi คืออะไร

ทีมรักษาความปลอดภัย OKX Web3 Wallet: ประวัติการโจมตีของแฮ็กเกอร์และโปรแกรมค่าหัวจะให้ค่าอ้างอิงที่แน่นอนสำหรับการประเมินความปลอดภัยของโครงการ DeFi โดยส่วนใหญ่จะสะท้อนให้เห็นในด้านต่อไปนี้:

ประการแรก ประวัติความเป็นมาของการโจมตีของแฮกเกอร์

1) เปิดเผยช่องโหว่ในอดีต: ประวัติการโจมตีสามารถแสดงช่องโหว่ด้านความปลอดภัยเฉพาะที่มีอยู่ในโปรเจ็กต์ ทำให้ผู้ใช้สามารถเข้าใจว่าปัญหาด้านความปลอดภัยใดบ้างที่ถูกนำไปใช้ในอดีต และปัญหาเหล่านี้ได้รับการแก้ไขอย่างสมบูรณ์แล้วหรือไม่

2) ประเมินความสามารถในการบริหารความเสี่ยง: วิธีที่โครงการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยในอดีตสามารถสะท้อนถึงความสามารถในการบริหารความเสี่ยงและการจัดการวิกฤติ โปรเจ็กต์ที่ตอบสนองในเชิงรุก แก้ไขจุดอ่อนในเวลาที่เหมาะสม และชดเชยผู้ใช้ที่ได้รับผลกระทบ โดยทั่วไปถูกมองว่าเป็นตัวเลือกการลงทุนที่น่าเชื่อถือและเติบโตเต็มที่

3) ความน่าเชื่อถือของโครงการ: ปัญหาด้านความปลอดภัยบ่อยครั้งอาจบ่อนทำลายความไว้วางใจของผู้ใช้ในโครงการ แต่หากโครงการสามารถแสดงให้เห็นถึงความสามารถในการเรียนรู้จากข้อผิดพลาดและเสริมสร้างมาตรการรักษาความปลอดภัย สิ่งนี้จะสามารถสร้างความน่าเชื่อถือในระยะยาวได้เช่นกัน

ประการที่สอง โปรแกรมค่าหัว

การใช้โปรแกรมค่าหัวใน DeFi และโครงการซอฟต์แวร์อื่นๆ ถือเป็นกลยุทธ์สำคัญในการปรับปรุงความปลอดภัยและเปิดเผยช่องโหว่ที่อาจเกิดขึ้น แผนเหล่านี้นำค่าอ้างอิงต่างๆ มาสู่การประเมินความปลอดภัยของโครงการ:

1) ปรับปรุงการตรวจสอบภายนอก: โปรแกรมค่าหัวสนับสนุนให้นักวิจัยด้านความปลอดภัยทั่วโลกเข้าร่วมในการตรวจสอบความปลอดภัยของโครงการ วิธีการทดสอบความปลอดภัยแบบ "ระดมมวลชน" นี้สามารถเปิดเผยปัญหาที่การตรวจสอบภายในอาจมองข้ามได้ ซึ่งจะเป็นการเพิ่มโอกาสในการค้นพบและแก้ไขช่องโหว่ที่อาจเกิดขึ้น

2) ตรวจสอบประสิทธิผลของมาตรการรักษาความปลอดภัย: โครงการสามารถทดสอบประสิทธิภาพของมาตรการรักษาความปลอดภัยในการต่อสู้จริงผ่านโปรแกรมค่าหัวจริง หากโครงการมีโปรแกรมค่าหัวที่ยาวกว่า แต่มีการรายงานช่องโหว่ร้ายแรงน้อยกว่า นี่อาจเป็นตัวบ่งชี้ว่าโครงการค่อนข้างสมบูรณ์และปลอดภัย

3) การปรับปรุงความปลอดภัยอย่างต่อเนื่อง: โปรแกรมรางวัลมอบกลไกในการปรับปรุงอย่างต่อเนื่อง เมื่อมีเทคโนโลยีใหม่และวิธีการโจมตีใหม่ๆ เกิดขึ้น โปรแกรมค่าหัวจะช่วยให้ทีมงานโครงการอัปเดตและเสริมความแข็งแกร่งให้กับมาตรการรักษาความปลอดภัยได้ทันท่วงที เพื่อให้แน่ใจว่าโครงการสามารถตอบสนองต่อความท้าทายด้านความปลอดภัยล่าสุดได้

4) สร้างวัฒนธรรมด้านความปลอดภัย: ไม่ว่าโครงการจะมีโครงการค่าหัวหรือไม่ เช่นเดียวกับความจริงจังและกิจกรรมของโครงการ ก็สามารถสะท้อนถึงทัศนคติของทีมงานโครงการต่อความปลอดภัยได้หรือไม่ โปรแกรมค่าหัวที่ใช้งานอยู่แสดงให้เห็นถึงความมุ่งมั่นของโครงการในการสร้างวัฒนธรรมความปลอดภัยที่แข็งแกร่ง

5) ปรับปรุงความเชื่อมั่นของชุมชนและนักลงทุน: การมีอยู่และประสิทธิผลของโครงการเงินรางวัลสามารถพิสูจน์ให้ชุมชนและผู้ลงทุนที่มีศักยภาพเห็นว่าโครงการให้ความสำคัญอย่างยิ่งต่อความปลอดภัย สิ่งนี้ไม่เพียงแต่จะช่วยเพิ่มความไว้วางใจของผู้ใช้เท่านั้น แต่ยังอาจดึงดูดการลงทุนได้มากขึ้น เนื่องจากนักลงทุนมักจะเลือกโครงการที่แสดงถึงความรับผิดชอบด้านความปลอดภัยในระดับสูง

คำถามที่ 6: ผู้ใช้จะสร้างความสามารถในการติดตามและการรับรู้เมื่อเข้าร่วมใน DeFi ได้อย่างไร

ทีมรักษาความปลอดภัย BlockSec: ยกตัวอย่างผู้ใช้ Whale วาฬยักษ์หมายถึงนักลงทุนรายบุคคลหรือสถาบันการลงทุนที่มีทีมขนาดเล็ก ดังนั้น จนถึงขณะนี้ วาฬยักษ์ส่วนใหญ่ยังไม่มีการรับรู้ความเสี่ยงที่เพียงพอ ไม่เช่นนั้น วาฬยักษ์จะไม่ประสบกับความสูญเสียครั้งใหญ่เช่นนี้

เมื่อต้องเผชิญกับความเสี่ยงที่จะสูญเสียครั้งใหญ่ ผู้ใช้วาฬบางรายจึงเริ่มพึ่งพาเครื่องมือรักษาความปลอดภัยสาธารณะอย่างมีสติเพื่อติดตามและรับรู้ถึงความเสี่ยง ปัจจุบันมีทีมงานจำนวนมากที่ทำการตรวจสอบผลิตภัณฑ์ แต่วิธีการเลือกมีความสำคัญมาก นี่คือประเด็นสำคัญบางประการ:

ประการแรกมีค่าใช้จ่ายในการใช้เครื่องมือ เครื่องมือหลายอย่างถึงแม้จะทรงพลังมาก แต่ก็จำเป็นต้องมีการเขียนโปรแกรมและใช้งานได้ไม่คุ้มค่า ไม่ใช่เรื่องง่ายสำหรับผู้ใช้ในการทราบโครงสร้างของสัญญาและรวบรวมที่อยู่

ประการที่สองคือความถูกต้อง ไม่มีใครอยากได้รับการเตือนหลายครั้งติดต่อกันขณะนอนหลับตอนกลางคืน เพียงแต่พบว่ามันเป็นสัญญาณเตือนที่ผิดพลาด ซึ่งอาจทำให้คุณหงุดหงิดได้ ดังนั้นความถูกต้องจึงเป็นสิ่งสำคัญมากเช่นกัน

ในที่สุดก็มีความปลอดภัย โดยเฉพาะอย่างยิ่งในการระดมทุนขนาดนี้ ความเสี่ยงด้านความปลอดภัยต่างๆ ของการพัฒนาเครื่องมือและทีมงานไม่สามารถละเลยได้ เหตุการณ์การโจมตีเกม Gala Game เมื่อเร็ว ๆ นี้กล่าวกันว่ามีสาเหตุมาจากการแนะนำผู้ให้บริการบุคคลที่สามที่ไม่ปลอดภัย ดังนั้นทีมงานที่เชื่อถือได้และผลิตภัณฑ์ที่เชื่อถือได้จึงมีความสำคัญ

ถึงตอนนี้ มีวาฬจำนวนมากมาหาเรา และเราจะแนะนำโซลูชันการจัดการสินทรัพย์ระดับมืออาชีพให้กับพวกเขา เพื่อให้ผู้ใช้วาฬไม่เพียงแต่สามารถมั่นใจในความปลอดภัยของกองทุนเท่านั้น แต่ยังคำนึงถึงการจัดการกองทุนรายวัน เช่น "การขุด การเลี้ยง และ ขาย" และรับรู้ถึงความเสี่ยง แม้กระทั่งการถอนเงินในช่วงสถานการณ์ฉุกเฉิน

คำถามที่ 7: คำแนะนำด้านความปลอดภัยสำหรับการเข้าร่วม DeFi และวิธีจัดการกับความเสี่ยงด้านความปลอดภัย

ทีมรักษาความปลอดภัย BlockSec: สำหรับผู้เข้าร่วมที่มีเงินจำนวนมาก สิ่งแรกที่ต้องเข้าร่วมในโปรโตคอล DeFi คือการรับรองความปลอดภัยของเงินต้น และทำการลงทุนหลังจากดำเนินการศึกษาความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นอย่างละเอียดถี่ถ้วน โดยปกติแล้วความปลอดภัยของกองทุนสามารถมั่นใจได้จากประเด็นต่อไปนี้

ประการแรก จำเป็นต้องตัดสินความปลอดภัยและระดับการลงทุนของฝ่ายโครงการจากหลายแง่มุม รวมถึงที่กล่าวมาข้างต้นว่าได้ผ่านการตรวจสอบความปลอดภัยที่ค่อนข้างละเอียดหรือไม่, ฝ่ายโครงการมีการตรวจสอบความเสี่ยงด้านความปลอดภัยของโครงการและความสามารถในการตอบสนองอัตโนมัติ, มีกลไกการกำกับดูแลชุมชนที่ค่อนข้างดีหรือไม่ เป็นต้น ทั้งหมดนี้สามารถสะท้อนให้เห็นว่าฝ่ายโครงการให้ความสำคัญอย่างยิ่งต่อความปลอดภัยของเงินทุนของผู้ใช้หรือไม่ และมีทัศนคติที่มีความรับผิดชอบสูงต่อความปลอดภัยของเงินทุนของผู้ใช้หรือไม่

ประการที่สอง ผู้เข้าร่วมที่มีเงินทุนจำนวนมากยังต้องสร้างระบบตรวจสอบความปลอดภัยและระบบตอบกลับอัตโนมัติของตนเองอีกด้วย หลังจากเหตุการณ์ด้านความปลอดภัยเกิดขึ้นในข้อตกลงการลงทุน ผู้ลงทุนที่มีเงินจำนวนมากควรจะสามารถรับรู้ได้ทันทีและถอนเงินเพื่อกู้คืนผลขาดทุนให้มากที่สุด แทนที่จะฝากความหวังไว้กับฝ่ายโครงการ ในปี 2023 เราจะเห็นได้ว่าโปรเจ็กต์ชื่อดังหลายโปรเจ็กต์ถูกโจมตี เช่น Curve, KyberSwap, Euler Finance เป็นต้น น่าเสียดายที่เราพบว่าเมื่อมีการโจมตีเกิดขึ้น นักลงทุนรายใหญ่มักจะขาดข่าวกรองที่ทันท่วงทีและมีประสิทธิภาพ และไม่มีระบบตรวจสอบความปลอดภัยและการอพยพฉุกเฉินของตนเอง

นอกจากนี้ผู้ลงทุนจำเป็นต้องเลือกพันธมิตรด้านความปลอดภัยที่ดีกว่าเพื่อให้ความสนใจกับความปลอดภัยของเป้าหมายโครงการลงทุนอย่างต่อเนื่อง ไม่ว่าจะเป็นการอัพเกรดโค้ดของทีมโปรเจ็กต์ การเปลี่ยนแปลงพารามิเตอร์ที่สำคัญ ฯลฯ จำเป็นต้องรับรู้และประเมินความเสี่ยงอย่างทันท่วงที เป็นเรื่องยากที่จะทำสิ่งนั้นให้สำเร็จโดยปราศจากการมีส่วนร่วมของทีมรักษาความปลอดภัยและเครื่องมือระดับมืออาชีพ

สุดท้ายนี้ คีย์ส่วนตัวจำเป็นต้องได้รับการปกป้อง สำหรับบัญชีที่ต้องมีการทำธุรกรรมบ่อยครั้ง วิธีที่ดีที่สุดคือใช้โซลูชันการรักษาความปลอดภัยคีย์ส่วนตัวแบบหลายลายเซ็นและออฟไลน์ร่วมกัน เพื่อลดความเสี่ยงจุดเดียวหลังจากสูญเสียที่อยู่เดียวและคีย์ส่วนตัวตัวเดียว

คุณควรทำอย่างไรหากโครงการลงทุนของคุณเผชิญกับความเสี่ยงด้านความปลอดภัย?

ผมเชื่อว่าสำหรับวาฬยักษ์และนักลงทุน ปฏิกิริยาแรกเมื่อเผชิญกับเหตุการณ์ด้านความปลอดภัยจะต้องปกป้องเงินทุนก่อน และการขายหุ้นโดยเร็วที่สุดคือสิ่งสำคัญที่สุด แต่ผู้โจมตีมักจะดำเนินการอย่างรวดเร็วและการดำเนินการด้วยตนเองมักจะสายเกินไป ดังนั้นจึงเป็นการดีที่สุดที่จะสามารถถอนเงินโดยอัตโนมัติตามความเสี่ยง ปัจจุบัน เรามีเครื่องมือที่เกี่ยวข้องซึ่งสามารถถอนเงินได้โดยอัตโนมัติหลังจากค้นพบธุรกรรมการโจมตี โดยช่วยเหลือผู้ใช้ให้อพยพก่อน

ประการที่สอง หากเกิดความสูญเสียจริงๆ นอกเหนือจากบทเรียนการเรียนรู้แล้ว ฝ่ายโครงการควรสนับสนุนให้ฝ่ายโครงการขอความช่วยเหลือจากบริษัทรักษาความปลอดภัยเพื่อติดตามและติดตามกองทุนที่เสียหาย เนื่องจากอุตสาหกรรม Crypto ทั้งหมดให้ความสำคัญกับความปลอดภัยเป็นอย่างมาก สัดส่วนของเงินทุนที่ได้รับคืนจึงค่อยๆ เพิ่มขึ้น

สุดท้าย หากคุณเป็นนักลงทุนรายใหญ่ คุณสามารถขอให้บริษัทรักษาความปลอดภัยพิจารณาว่าโครงการอื่นๆ ที่คุณลงทุนมีปัญหาคล้ายกันหรือไม่ สาเหตุของการโจมตีหลายครั้งยังคงเหมือนเดิม เช่น ปัญหาการสูญเสียความแม่นยำของ Compound V2 เมื่อปีที่แล้ว หลายโครงการประสบปัญหาคล้ายกันและถูกโจมตีอย่างต่อเนื่อง ดังนั้นคุณสามารถขอให้บริษัทรักษาความปลอดภัยวิเคราะห์ความเสี่ยงของโครงการอื่น ๆ ในพอร์ตการลงทุนได้ หากพบความเสี่ยง ควรสื่อสารกับฝ่ายโครงการหรือถอนตัวโดยเร็วที่สุด

ทีมรักษาความปลอดภัย OKX Web3 Wallet: เมื่อเข้าร่วมในโครงการ DeFi ผู้ใช้สามารถใช้มาตรการที่หลากหลายเพื่อเข้าร่วมในโครงการ DeFi ได้อย่างปลอดภัยยิ่งขึ้น ลดความเสี่ยงในการสูญเสียเงินทุน และเพลิดเพลินไปกับผลประโยชน์ของการเงินแบบกระจายอำนาจ เราเริ่มต้นจากสองระดับ: ระดับผู้ใช้และกระเป๋าเงิน OKX Web3

ประการแรก สำหรับผู้ใช้:

1) เลือกโครงการที่ได้รับการตรวจสอบ: จัดลำดับความสำคัญของโครงการที่ได้รับการตรวจสอบโดยบริษัทตรวจสอบบุคคลที่สามที่มีชื่อเสียง (เช่น ConsenSys Diligence, Trail of Bits, OpenZeppelin, Quantstamp, ABDK) ตรวจสอบรายงานการตรวจสอบสาธารณะ และทำความเข้าใจความเสี่ยงและช่องโหว่ที่อาจเกิดขึ้น การซ่อมแซม

2) ทำความเข้าใจความเป็นมาของโครงการและทีมงาน: ตรวจสอบให้แน่ใจว่าโครงการมีความโปร่งใสและน่าเชื่อถือโดยการศึกษาเอกสารทางเทคนิคของโครงการ เว็บไซต์อย่างเป็นทางการ และภูมิหลังของทีมพัฒนา ติดตามกิจกรรมของทีมบนโซเชียลมีเดียและในชุมชนการพัฒนาเพื่อเรียนรู้เกี่ยวกับความสามารถด้านเทคนิคและการสนับสนุนของชุมชน

3) การลงทุนที่หลากหลาย: อย่าลงทุนเงินทุนทั้งหมดของคุณในโครงการ DeFi หรือสินทรัพย์เดียว การลงทุนที่หลากหลายสามารถลดความเสี่ยงได้ เลือกโครงการ DeFi หลายประเภท เช่น การให้กู้ยืม DEX การทำฟาร์ม ฯลฯ เพื่อกระจายความเสี่ยงของคุณ

4) การทดสอบจำนวนน้อย: ก่อนที่จะทำธุรกรรมจำนวนมาก ให้ดำเนินการทดสอบธุรกรรมจำนวนน้อยเพื่อให้มั่นใจในความปลอดภัยของการดำเนินงานและแพลตฟอร์ม

5) ตรวจสอบบัญชีและการตอบสนองฉุกเฉินเป็นประจำ: ตรวจสอบบัญชี DeFi และสินทรัพย์ของคุณเป็นประจำเพื่อค้นหาธุรกรรมหรือกิจกรรมที่ผิดปกติในเวลาที่เหมาะสม ใช้เครื่องมือ (เช่น Etherscan) เพื่อตรวจสอบบันทึกธุรกรรมออนไลน์เพื่อรับรองความปลอดภัยของสินทรัพย์ หลังจากตรวจพบความผิดปกติแล้ว ให้ดำเนินมาตรการฉุกเฉินในเวลาที่เหมาะสม เช่น เพิกถอนการอนุญาตทั้งหมดในบัญชี ติดต่อทีมรักษาความปลอดภัยกระเป๋าเงินเพื่อขอความช่วยเหลือ เป็นต้น

6) ใช้โครงการใหม่ด้วยความระมัดระวัง: ควรระมัดระวังโครงการใหม่ที่เพิ่งเปิดตัวหรือยังไม่ได้รับการตรวจสอบ คุณสามารถลงทุนเงินจำนวนเล็กน้อยเพื่อทดสอบก่อนเพื่อดูการทำงานและความปลอดภัย

7) ใช้กระเป๋าเงิน Web3 หลักสำหรับการทำธุรกรรม: ใช้กระเป๋าเงินหลัก Web3 เท่านั้นเพื่อโต้ตอบกับโครงการ DeFi กระเป๋าเงิน Mainstream Web3 ให้การป้องกันความปลอดภัยที่ดีกว่า

8) ป้องกันการโจมตีแบบฟิชชิ่ง: โปรดใช้ความระมัดระวังเมื่อคลิกลิงก์และอีเมลที่ไม่คุ้นเคยจากแหล่งที่ไม่รู้จัก อย่าป้อนคีย์ส่วนตัวหรือวลีช่วยจำบนเว็บไซต์ที่ไม่น่าเชื่อถือ และตรวจสอบให้แน่ใจว่าลิงก์ที่คุณเยี่ยมชมเป็นเว็บไซต์อย่างเป็นทางการ ใช้ช่องทางอย่างเป็นทางการในการดาวน์โหลดกระเป๋าสตางค์และแอปพลิเคชันเพื่อรับรองความถูกต้องของซอฟต์แวร์

ประการที่สอง จากมุมมองของกระเป๋าเงิน OKX Web3:

เรามีกลไกการรักษาความปลอดภัยมากมายเพื่อปกป้องเงินทุนของผู้ใช้:

1) การตรวจจับชื่อโดเมนความเสี่ยง: เมื่อผู้ใช้เข้าถึง DAPP แล้ว OKX Web3 Wallet จะทำการตรวจจับและวิเคราะห์ในระดับชื่อโดเมน หากผู้ใช้เข้าถึง DAPP ที่เป็นอันตราย มันจะดักจับหรือเตือนผู้ใช้เพื่อป้องกันไม่ให้ผู้ใช้ถูกหลอกลวง .

2) การตรวจจับโทเค็น Pixiu Pan: กระเป๋าเงิน OKX Web3 รองรับความสามารถในการตรวจจับโทเค็น Pixiu Pan อย่างสมบูรณ์ และบล็อกโทเค็น Pixiu Pan ในกระเป๋าเงินเพื่อป้องกันไม่ให้ผู้ใช้พยายามโต้ตอบกับโทเค็น Pixiu Pan

3) ไลบรารีแท็กที่อยู่: กระเป๋าเงิน OKX Web3 มีไลบรารีแท็กที่อยู่ที่สมบูรณ์และครบถ้วน เมื่อผู้ใช้โต้ตอบกับที่อยู่ที่น่าสงสัย กระเป๋าเงิน OKX Web3 จะให้การแจ้งเตือนอย่างทันท่วงที

4) การดำเนินการธุรกรรมล่วงหน้า: ก่อนที่ผู้ใช้จะส่งธุรกรรมใด ๆ กระเป๋าเงิน OKX Web3 จะจำลองการดำเนินการของธุรกรรมและแสดงผลลัพธ์ของสินทรัพย์และการอนุญาตการเปลี่ยนแปลงให้กับผู้ใช้เพื่อใช้อ้างอิง ผู้ใช้สามารถตัดสินได้ว่าผลลัพธ์เป็นไปตามความคาดหวังหรือไม่ และตัดสินใจว่าจะส่งธุรกรรมต่อไปหรือไม่

5) แอปพลิเคชัน DeFi ในตัว: กระเป๋าเงิน OKX Web3 ได้รวมบริการของโครงการ DeFi กระแสหลักต่างๆ ผู้ใช้สามารถโต้ตอบกับโครงการ DeFi ที่ผสานรวมได้อย่างปลอดภัยผ่านกระเป๋าเงิน OKX Web3 นอกจากนี้ OKX Web3 Wallet ยังแนะนำเส้นทางสำหรับบริการ DeFi เช่น DEX และสะพานข้ามสายโซ่ เพื่อให้ผู้ใช้ได้รับบริการ DeFi ที่ดีที่สุดและโซลูชัน Gas ที่เหมาะสมที่สุด

6) บริการรักษาความปลอดภัยเพิ่มเติม: กระเป๋าเงิน OKX Web3 กำลังค่อยๆ เพิ่มฟังก์ชันการรักษาความปลอดภัยมากขึ้น และสร้างบริการรักษาความปลอดภัยขั้นสูงมากขึ้น ซึ่งจะปกป้องความปลอดภัยของผู้ใช้กระเป๋าเงิน OKX ได้ดีขึ้นและมีประสิทธิภาพมากขึ้น

คำถามที่ 8: ไม่เพียงแต่ผู้ใช้เท่านั้น แต่ยังรวมถึงความเสี่ยงประเภทใดบ้างที่โครงการ DeFi เผชิญ และจะปกป้องพวกเขาได้อย่างไร

ทีมรักษาความปลอดภัย BlockSec: ประเภทของความเสี่ยงที่โครงการ DeFi เผชิญ ได้แก่ ความเสี่ยงด้านความปลอดภัยของโค้ด ความเสี่ยงด้านความปลอดภัยในการปฏิบัติงาน และความเสี่ยงจากการพึ่งพาภายนอก

ประการแรก ความเสี่ยงด้านความปลอดภัยของโค้ด นั่นคือความเสี่ยงด้านความปลอดภัยที่โครงการ DeFi อาจมีในระดับโค้ด สำหรับโครงการ DeFi สัญญาอัจฉริยะคือตรรกะทางธุรกิจหลัก (ตรรกะการประมวลผลส่วนหน้าและส่วนหลัง และธุรกิจการพัฒนาซอฟต์แวร์แบบดั้งเดิมอื่นๆ ค่อนข้างจะเติบโต) และยังเป็นจุดสนใจและการอภิปรายของเราอีกด้วย ซึ่งรวมถึง:

1) ประการแรก จากมุมมองของการพัฒนา จำเป็นต้องปฏิบัติตามแนวทางปฏิบัติในการพัฒนาความปลอดภัยของสัญญาอัจฉริยะที่เป็นที่ยอมรับในอุตสาหกรรม เช่น โหมดตรวจสอบผลกระทบ-การโต้ตอบ เพื่อป้องกันช่องโหว่ในการกลับเข้ามาใหม่ ฯลฯ นอกจากนี้ ให้ลองเลือก เครื่องมือของบุคคลที่สามที่เชื่อถือได้สำหรับฟังก์ชั่นที่ใช้กันทั่วไป ใช้งานโดยใช้ไลบรารีของบุคคลที่สามเพื่อหลีกเลี่ยงความเสี่ยงที่ไม่ทราบสาเหตุที่เกิดจากการสร้างวงล้อใหม่

2) ขั้นตอนที่สองคือการดำเนินการทดสอบภายใน การทดสอบเป็นส่วนสำคัญของการพัฒนาซอฟต์แวร์และสามารถช่วยค้นหาปัญหาได้มากมาย แต่สำหรับโปรเจ็กต์ DeFI การทดสอบในพื้นที่เพียงอย่างเดียวไม่เพียงพอที่จะเปิดเผยปัญหา จำเป็นต้องทำการทดสอบเพิ่มเติมในสภาพแวดล้อมการใช้งานที่ใกล้เคียงกับสายการผลิตจริง ซึ่งสามารถทำได้โดยใช้เครื่องมืออย่าง Phalcon Fork เพื่อช่วยให้บรรลุเป้าหมายนี้

3) สุดท้าย หลังจากการทดสอบเสร็จสิ้น ให้เชื่อมต่อกับบริการตรวจสอบจากบุคคลที่สามที่มีชื่อเสียง แม้ว่าการตรวจสอบจะไม่สามารถรับประกันได้ 100% ว่าจะไม่มีปัญหาเกิดขึ้น แต่การตรวจสอบอย่างเป็นระบบสามารถช่วยทีมงานโครงการในระดับสูงในการค้นหาปัญหาด้านความปลอดภัยต่างๆ ที่ทราบและทั่วไป ซึ่งมักเกิดจากนักพัฒนาที่ไม่คุ้นเคยหรือมีวิธีคิดที่แตกต่างกัน ยิ่งเข้าถึงชิ้นส่วนได้ยากขึ้น แน่นอนว่า เนื่องจากสำนักงานตรวจสอบบัญชีแต่ละแห่งมีความเชี่ยวชาญและทิศทางที่แตกต่างกัน หากงบประมาณเอื้ออำนวย ในทางปฏิบัติก็แนะนำให้มีสำนักงานตรวจสอบบัญชีตั้งแต่ 2 แห่งขึ้นไปเข้าร่วมด้วย

ประการที่สอง ความเสี่ยงด้านความปลอดภัยในการปฏิบัติงาน นั่นคือความเสี่ยงด้านความปลอดภัยที่เกิดขึ้นระหว่างการดำเนินงานของโครงการหลังจากที่ออนไลน์แล้ว ในด้านหนึ่ง อาจยังมีช่องโหว่ที่ไม่รู้จักในโค้ด แม้ว่าโค้ดจะได้รับการพัฒนา ทดสอบ และตรวจสอบอย่างดีแล้ว แต่ก็ยังอาจมีความเสี่ยงด้านความปลอดภัยที่ยังไม่ถูกค้นพบ สิ่งนี้ได้รับการพิสูจน์อย่างกว้างขวางในช่วงหลายทศวรรษของแนวทางปฏิบัติด้านความปลอดภัยในการพัฒนาซอฟต์แวร์ ในทางกลับกัน นอกเหนือจากปัญหาระดับโค้ดแล้ว โปรเจ็กต์ยังเผชิญปัญหามากกว่านี้ ความท้าทายหลังจากที่ออนไลน์ เช่น คีย์ส่วนตัวรั่ว การตั้งค่าพารามิเตอร์ระบบที่สำคัญไม่ถูกต้อง ฯลฯ ซึ่งอาจก่อให้เกิดผลกระทบร้ายแรงและการสูญเสียครั้งใหญ่ กลยุทธ์ที่แนะนำในการจัดการกับความเสี่ยงด้านความปลอดภัยในการปฏิบัติงาน ได้แก่:

1) สร้างและปรับปรุงการจัดการคีย์ส่วนตัว: ใช้วิธีการจัดการคีย์ส่วนตัวที่เชื่อถือได้ เช่น กระเป๋าเงินฮาร์ดแวร์ที่เชื่อถือได้หรือโซลูชันกระเป๋าเงินที่ใช้ MPC

2) ทำงานได้ดีในการติดตามสถานะการดำเนินงาน: ระบบติดตามจะรับรู้การดำเนินงานที่มีสิทธิพิเศษและสถานะความปลอดภัยของโครงการแบบเรียลไทม์

3) สร้างกลไกตอบสนองอัตโนมัติสำหรับความเสี่ยง: ตัวอย่างเช่น การใช้ BlockSec Phalcon จะสามารถบล็อกโดยอัตโนมัติเมื่อพบการโจมตีเพื่อหลีกเลี่ยงการสูญเสีย (เพิ่มเติม)

4) หลีกเลี่ยงความเสี่ยงจุดเดียวของการดำเนินการที่มีสิทธิพิเศษ: เช่น การใช้กระเป๋าสตางค์หลายลายเซ็นของ Safe เพื่อดำเนินการที่มีสิทธิพิเศษ

ประการที่สาม ความเสี่ยงจากการพึ่งพาภายนอกหมายถึงความเสี่ยงที่เกิดจากการพึ่งพาภายนอกของโปรเจ็กต์ เช่น การพึ่งพา price oracle ที่ได้รับจากโปรโตคอล DeFi อื่นๆ แต่ปัญหากับ oracle ทำให้การคำนวณราคาให้ผลลัพธ์ที่ผิดพลาด คำแนะนำสำหรับความเสี่ยงจากการพึ่งพาภายนอก ได้แก่:

1) เลือกพันธมิตรภายนอกที่เชื่อถือได้ เช่น โปรโตคอลหลักที่เชื่อถือได้ซึ่งได้รับการยอมรับจากอุตสาหกรรม เป็นต้น

2) ทำงานได้ดีในการตรวจสอบสถานะการปฏิบัติงาน: คล้ายกับความเสี่ยงด้านความปลอดภัยในการปฏิบัติงาน แต่วัตถุการตรวจสอบที่นี่เป็นการพึ่งพาภายนอก

3) สร้างกลไกตอบสนองอัตโนมัติสำหรับความเสี่ยง: คล้ายกับความเสี่ยงด้านความปลอดภัยในการปฏิบัติงาน แต่วิธีการจัดการอาจแตกต่างกัน เช่น การสลับการพึ่งพาการสำรองข้อมูล แทนที่จะหยุดโปรโตคอลทั้งหมดโดยตรง

นอกจากนี้ เรายังให้คำแนะนำในการติดตามสำหรับฝ่ายโครงการที่ต้องการสร้างความสามารถในการติดตามด้วย

1) กำหนดจุดตรวจสอบอย่างแม่นยำ: การกำหนดสถานะหลัก (ตัวแปร) ที่มีอยู่ในโปรโตคอลและตำแหน่งที่ต้องตรวจสอบเป็นขั้นตอนแรกในการสร้างความสามารถในการตรวจสอบ อย่างไรก็ตาม เป็นการยากที่จะตั้งค่าจุดตรวจสอบให้ครอบคลุมทุกด้าน โดยเฉพาะอย่างยิ่งในแง่ของการติดตามการโจมตี ขอแนะนำให้ใช้เครื่องมือตรวจจับการโจมตีภายนอกระดับมืออาชีพที่ได้รับการทดสอบในการต่อสู้จริง

2) ตรวจสอบความถูกต้องและทันเวลาของการตรวจสอบ: ความถูกต้องของการตรวจสอบหมายความว่าไม่ควรมีผลบวกลวง (FP) และผลลบลวง (FN) มากเกินไป ระบบตรวจสอบที่ขาดความแม่นยำนั้นใช้ไม่ได้เป็นหลัก (เช่น สามารถตรวจพบสัญญาที่น่าสงสัยได้หรือไม่หลังจากการปรับใช้สัญญาที่น่าสงสัยและก่อนที่ธุรกรรมการโจมตีจะถูกอัพโหลดไปยังลูกโซ่) ไม่เช่นนั้นจะใช้ได้เฉพาะสำหรับการวิเคราะห์หลังเหตุการณ์เท่านั้น ซึ่งวางข้อกำหนดที่สูงมากในด้านประสิทธิภาพและ ความเสถียรของระบบติดตาม

3) จำเป็นต้องมีความสามารถในการตอบสนองอัตโนมัติ: ขึ้นอยู่กับการตรวจสอบที่แม่นยำและเรียลไทม์ สามารถสร้างการตอบสนองอัตโนมัติได้ รวมถึงโปรโตคอลหยุดชั่วคราวเพื่อป้องกันการโจมตี ฯลฯ สิ่งนี้ต้องการการสนับสนุนของกรอบงานการตอบสนองอัตโนมัติที่ปรับแต่งได้และเชื่อถือได้ ซึ่งสามารถปรับแต่งกลยุทธ์การตอบสนองได้อย่างยืดหยุ่น และทริกเกอร์การดำเนินการโดยอัตโนมัติตามความต้องการของฝ่ายโครงการ

โดยทั่วไป การสร้างความสามารถในการติดตามต้องอาศัยการมีส่วนร่วมของผู้จำหน่ายความปลอดภัยภายนอกที่เป็นมืออาชีพ

ทีมรักษาความปลอดภัย OKX Web3 Wallet: โปรเจ็กต์ DeFi เผชิญกับความเสี่ยงที่หลากหลาย ซึ่งส่วนใหญ่ประกอบด้วยประเภทต่อไปนี้:

1) ความเสี่ยงทางเทคนิค: ส่วนใหญ่รวมถึงช่องโหว่ของสัญญาอัจฉริยะและการโจมตีเครือข่าย มาตรการป้องกัน ได้แก่ การใช้แนวทางปฏิบัติในการพัฒนาที่ปลอดภัย การจ้างบริษัทตรวจสอบบุคคลที่สามมืออาชีพเพื่อดำเนินการตรวจสอบสัญญาอัจฉริยะอย่างครอบคลุม การจัดตั้งโปรแกรมรางวัลจุดบกพร่องเพื่อสนับสนุนให้แฮกเกอร์หมวกขาวค้นพบช่องโหว่ และการแยกสินทรัพย์เพื่อปรับปรุงความปลอดภัยของกองทุน

2) ความเสี่ยงด้านตลาด: ส่วนใหญ่ประกอบด้วยความผันผวนของราคา ความเสี่ยงด้านสภาพคล่อง การปั่นป่วนตลาด และความเสี่ยงแบบรวม มาตรการป้องกันรวมถึงการใช้เหรียญที่มีเสถียรภาพและการป้องกันความเสี่ยงเพื่อป้องกันความผันผวนของราคา การใช้การขุดสภาพคล่องและกลไกค่าธรรมเนียมแบบไดนามิกเพื่อจัดการกับความเสี่ยงด้านสภาพคล่อง การตรวจสอบประเภทสินทรัพย์ที่รองรับโดยโปรโตคอล DeFi อย่างเคร่งครัด และใช้ออราเคิลแบบกระจายอำนาจเพื่อป้องกันการปั่นป่วนของตลาด และผ่านการคิดค้นและเพิ่มประสิทธิภาพอย่างต่อเนื่อง คุณสมบัติโปรโตคอลเพื่อจัดการกับความเสี่ยงทางการแข่งขัน

3) ความเสี่ยงด้านปฏิบัติการ: ส่วนใหญ่ประกอบด้วยข้อผิดพลาดของมนุษย์และความเสี่ยงด้านกลไกการกำกับดูแล มาตรการป้องกันรวมถึงการสร้างการควบคุมภายในที่เข้มงวดและขั้นตอนการปฏิบัติงานเพื่อลดการเกิดข้อผิดพลาดของมนุษย์ การใช้เครื่องมืออัตโนมัติเพื่อปรับปรุงประสิทธิภาพการดำเนินงาน และการออกแบบกลไกการกำกับดูแลที่สมเหตุสมผลเพื่อให้แน่ใจว่ามีความสมดุลระหว่างการกระจายอำนาจและความปลอดภัย เช่น การแนะนำความล่าช้าในการลงคะแนนและกลไกหลายลายเซ็น . นอกจากนี้เรายังจะจัดทำแผนการติดตามและเหตุฉุกเฉินสำหรับโครงการออนไลน์ ดังนั้นหากเกิดความผิดปกติขึ้น เราจะสามารถใช้มาตรการทันทีเพื่อลดการสูญเสียให้เหลือน้อยที่สุด

4) ความเสี่ยงด้านกฎระเบียบ: ข้อกำหนดการปฏิบัติตามกฎหมายและการป้องกันการฟอกเงิน (AML) / รู้จักภาระผูกพันของลูกค้า (KYC) การป้องกันรวมถึงการจ้างที่ปรึกษาทางกฎหมายเพื่อให้แน่ใจว่าโครงการเป็นไปตามข้อกำหนดทางกฎหมายและข้อบังคับ การสร้างนโยบายการปฏิบัติตามข้อกำหนดที่โปร่งใส และการใช้มาตรการ AML และ KYC ในเชิงรุกเพื่อเพิ่มความไว้วางใจระหว่างผู้ใช้และหน่วยงานกำกับดูแล

คำถามที่ 9: ฝ่ายโครงการ DeFi ตัดสินและเลือกบริษัทตรวจสอบที่ดีอย่างไร

ทีมรักษาความปลอดภัยของ BlockSec: ฝ่ายโครงการ DeFi ตัดสินและเลือกบริษัทตรวจสอบที่ดีอย่างไร ต่อไปนี้เป็นมาตรฐานง่ายๆ สำหรับการอ้างอิง:

1) ไม่ว่าจะมีการตรวจสอบโครงการที่มีชื่อเสียงหรือไม่: นี่แสดงว่าบริษัทตรวจสอบได้รับการยอมรับจากโครงการที่มีชื่อเสียงเหล่านี้

2) โครงการที่ได้รับการตรวจสอบถูกโจมตีหรือไม่: แม้ว่าในทางทฤษฎีแล้ว การตรวจสอบไม่สามารถรับประกันความปลอดภัยได้ 100% แต่จากประสบการณ์จริงแสดงให้เห็นว่าโครงการส่วนใหญ่ที่ได้รับการตรวจสอบโดยบริษัทตรวจสอบบัญชีที่มีชื่อเสียงดีไม่เคยถูกโจมตีเลย

3) การตัดสินคุณภาพการตรวจสอบผ่านรายงานการตรวจสอบที่ผ่านมา: รายงานการตรวจสอบเป็นตัวบ่งชี้สำคัญของความเป็นมืออาชีพของสำนักงานตรวจสอบบัญชี โดยเฉพาะอย่างยิ่งเมื่อสามารถเปรียบเทียบโครงการตรวจสอบเดียวกันและขอบเขตการตรวจสอบเดียวกันได้ คุณสามารถมุ่งเน้นไปที่คุณภาพของการค้นพบช่องโหว่ ( อันตราย) ระดับ) และปริมาณ ฯลฯ และพิจารณาว่าการค้นพบช่องโหว่โดยทั่วไปจะถูกนำมาใช้โดยฝ่ายต่างๆ ของโครงการหรือไม่

4) ผู้ประกอบวิชาชีพ: องค์ประกอบบุคลากรของบริษัทตรวจสอบประกอบด้วยคุณวุฒิทางวิชาการและภูมิหลังทางวิชาชีพ การศึกษาอย่างเป็นระบบและประสบการณ์ทางวิชาชีพมีส่วนช่วยอย่างมากในการรับรองคุณภาพการตรวจสอบ

สุดท้ายนี้ ขอขอบคุณทุกท่านที่อ่านคอลัมน์ "ปัญหาพิเศษด้านความปลอดภัย" ของ OKX Web3 Wallet ฉบับที่ 5 ขณะนี้เรากำลังยุ่งอยู่กับการเตรียมฉบับที่ 6 ซึ่งไม่เพียงแต่ประกอบด้วยกรณีจริง การระบุความเสี่ยง และเคล็ดลับการดำเนินงานที่ปลอดภัย ดังนั้นโปรดติดตาม!

ข้อสงวนสิทธิ์

บทความนี้มีวัตถุประสงค์เพื่อให้ข้อมูลเท่านั้นและไม่ได้มีวัตถุประสงค์เพื่อให้ (i) คำแนะนำในการลงทุนหรือคำแนะนำในการลงทุน (ii) ข้อเสนอที่หรือการชักชวนให้ซื้อ ขาย หรือถือครองสินทรัพย์ดิจิทัล หรือ (iii) คำแนะนำทางการเงิน การบัญชี กฎหมาย หรือภาษี . การถือครองสินทรัพย์ดิจิทัล รวมถึงเหรียญเสถียรและ NFT มีความเสี่ยงสูง และอาจผันผวนอย่างมีนัยสำคัญหรือไร้ค่าด้วยซ้ำ คุณควรพิจารณาอย่างรอบคอบว่าการซื้อขายหรือการถือครองสินทรัพย์ดิจิทัลนั้นเหมาะสมกับคุณหรือไม่ โดยพิจารณาจากสถานการณ์ทางการเงินของคุณ โปรดรับผิดชอบในการทำความเข้าใจและปฏิบัติตามกฎหมายและข้อบังคับท้องถิ่นที่เกี่ยวข้อง