Vén bức màn bảo mật DeFi: Hướng dẫn bảo mật cơ bản cho các giao thức DeFi

Tác giả gốc: Ignas

Biên soạn gốc: Crush, cộng tác viên chính của Biteye

Sự thất bại của FTX đã chứng minh tầm quan trọng của việc tự quản lý và quản lý rủi ro. Nhưng trong DeFi, vẫn còn nhiều sơ hở, lỗi Rug Pull và hợp đồng, và bạn sẽ mất tiền nếu không cẩn thận.

Trong bài viết hôm nay, tôi sẽ nói về cách đánh giá mức độ an toàn của một dự án để bảo vệ tài sản của chính bạn.

Nếu bản thân bạn là một nhà phát triển hợp đồng thông minh có kinh nghiệm, sẽ rất tuyệt nếu bạn có thể tự mình xác minh tính bảo mật của mã dự án, nhưng tôi tin rằng hầu hết mọi người đều không như vậy.

Vì vậy, không có cách nào, chúng tôi chỉ có thể đánh giá một dự án dựa trên các dữ liệu khác, bao gồm một mức độ tin cậy nhất định.

TVL cao có nhất thiết phải an toàn không?

Như chúng ta đã biết, hầu hết mọi người đánh giá chất lượng của dự án DeFi bằng giá trị tài sản được ký gửi trong hợp đồng thông minh. Do đó, nhiều người cho rằng TVL có thể phản ánh mức độ an toàn của dự án này ở một mức độ nhất định.

Càng nhiều tài sản bị khóa, tính bảo mật của giao thức càng cao. Bạn có thể nghĩ theo cách này, đối với một thỏa thuận có thể khóa nhiều tiền như vậy, những người gửi tiền đó phải tiến hành một cuộc điều tra đầy đủ và xác nhận tính bảo mật của thỏa thuận trước khi họ dám bỏ tiền vào.

Thật không may, TVL thường mang lại cảm giác an toàn sai lầm. Một mặt, bạn nghĩ rằng các giao thức có TVL cao sẽ an toàn hơn, nhưng tin tặc cũng sẽ tập trung vào các giao thức này để tấn công, bởi vì tấn công các giao thức này có thể kiếm được nhiều lợi nhuận hơn. Mặt khác, TVL thấp không nhất thiết có nghĩa là giao thức không an toàn.

Do đó, việc đánh giá tính bảo mật của một giao thức chỉ bằng TVL là hơi suy đoán.

Chúng tôi xếp hạng các dự án DeFi hiện tại theo TVL:

Sau khi xem bức ảnh này

• Bạn vẫn nghĩ rằng TVL cao phải thể hiện sự an toàn?

• Những thỏa thuận trong hình mà bạn nghĩ là không đáng tin cậy? Tại sao?

xác minh cá nhân

"Không tin tưởng, chỉ xác minh" là lý do tại sao chúng tôi tiến hành kiểm toán hợp đồng thông minh. Nếu không, có lẽ chúng ta không cần kiểm toán. Vì mã này là mã nguồn mở nên cộng đồng có thể tìm thấy tất cả các vấn đề trong mã. Tuy nhiên, cộng đồng có thể không có động lực, khuyến khích hoặc chuyên môn phù hợp để xác thực mã.

Vì vậy, kiểm toán viên phải đủ chuyên nghiệp nhưng quan trọng hơn là bản thân kiểm toán viên không được mắc sai sót. Ví dụ, nhiều dự án được kiểm toán bởi công ty kiểm toán nổi tiếng Certik vẫn bị hack, có thể nói là không thể ngăn chặn.

Đồng thời, các công ty kiểm toán đang xây dựng danh tiếng của họ. Tạo ấn tượng là không chuyên nghiệp nếu một giao thức mà họ kiểm tra (và đánh giá là an toàn) bị tấn công. Trên thực tế, Certik đã xem xét hơn 3422 dự án nên việc một số dự án bị hack hoặc có lỗ hổng là điều khó tránh khỏi.

Vì vậy, chỉ cần quá trình được kiểm tra, điều đó không có nghĩa là giao thức được an toàn. Tôi đã thấy các dự án tự hào tuyên bố "đã kiểm tra xong", chỉ để biết rằng điểm bảo mật của chúng thực sự thấp khi bạn đọc báo cáo kiểm toán.

Bài học này đã dạy cho tôi là đừng mù quáng tin vào thông báo kiểm toán của bên dự án, mà hãy xác minh kết quả bằng cách đọc báo cáo kiểm toán thực tế.

Nếu tôi không thích đọc báo cáo kiểm toán thì sao?

Trên thực tế, hầu hết mọi người không đọc báo cáo kiểm toán, nhưng Certik có bảng điều khiển dữ liệu của tất cả các dự án được kiểm toán. Trong bảng điều khiển này, bạn có thể kiểm tra "điểm tin cậy" của dự án, với số càng cao cho thấy mức độ an toàn.

Các tổ chức kiểm toán khác, chẳng hạn như Hacken, sẽ có bảng điều khiển dữ liệu tương tự. Hoặc bạn có thể chỉ cần đọc bản tóm tắt kiểm toán, chẳng hạn như ví dụ của Trader Joe bên dưới, được thực hiện bởi kiểm toán Paladin.

Ghi chú của người dịch: Trader Joe là nền tảng giao dịch một cửa trên Avalanche. Cung cấp các chức năng giao dịch và cho vay, đồng thời kết hợp chúng để cung cấp các giao dịch có đòn bẩy.

Từ dữ liệu ở đây, không khó để thấy rằng Trader Joe đã khắc phục tất cả các vấn đề rủi ro trung bình và cao, nhưng vẫn còn một số vấn đề rủi ro thấp chưa được khắc phục.

Kiểm toán chỉ là sự khởi đầu

Để đánh giá tính bảo mật của một dự án, bạn cần xem xét thêm:

• kiểm tra đầy đủ

• chiến dịch tiền thưởng

• Tính công khai, minh bạch của tài liệu

• kiểm soát quản lý

• tài liệu Oracle

Có quá nhiều khía cạnh để xem xét, nếu bạn tự mình xác minh tất cả chúng, bạn có thể sẽ kiệt sức trước. Nói đến đây, chúng ta phải nhắc đến DeFi Safety. Nó tiến hành xác minh các giao thức này và sau đó cho điểm bảo mật.

Dựa trên kết quả họ cung cấp, chúng ta có thể thấy rõ rằng Giao thức Liquity, Synthetix và Angle là giao thức an toàn nhất trong số tất cả các giao thức DeFi đã được chứng minh.

Trên Defi Safety, bạn cũng có thể xem phần chi tiết hơn. Ví dụ: giao thức Liquidy vẫn yêu cầu xác minh chính thức.

Ghi chú của người dịch: Trong quá trình thiết kế hệ thống phần cứng và phần mềm máy tính, ý nghĩa của xác minh hình thức là sử dụng các phương pháp toán học để chứng minh tính đúng hoặc sai của nó theo một hoặc một số thông số kỹ thuật hoặc thuộc tính hình thức.

Ngoài ra, bạn cũng có thể tiến hành đánh giá bảo mật cho danh mục ví của mình thông qua Exponential DeFi.

Chức năng "Ví đánh giá" sẽ cung cấp cho bạn bản phân tích rủi ro đối với khoản đầu tư hiện tại của bạn. Ví dụ: 4,5 triệu đô la tài sản của Tetranode được gửi vào các giao thức có rủi ro cao hơn (cấp C).

Ghi chú của người dịch: Tetranode là một con cá voi khổng lồ cổ đại ẩn danh, có tin đồn rằng anh ta có tài sản mã hóa trị giá khoảng 1 tỷ đô la Mỹ, anh ta đã tiếp xúc với Bitcoin vào năm 2009 và luôn duy trì mức độ quan tâm cao đối với nó kể từ đó. .

Elemental DeFi sẽ cho điểm dựa trên đánh giá dự án, đánh giá tính bảo mật của chuỗi khối có xem xét rủi ro tài sản, chất lượng mã và lưu trữ tài sản. Mô tả rủi ro đơn giản và dễ hiểu này khiến tôi không thể đặt nó xuống.

Lấy MIM stablecoin của Abracadabra làm ví dụ, nó sẽ cảnh báo trực tiếp rằng SPELL được sử dụng làm tài sản thế chấp có thể dẫn đến các khoản nợ khó đòi.

Lưu ý của người dịch: Abracadabra là một giao thức stablecoin tài sản kiếm lãi. Người dùng có thể sử dụng chứng chỉ kiếm lãi để cầm cố và in MIM stablecoin gốc của giao thức.

Hỏi nếu bạn không hiểu

Phương pháp cuối cùng tôi muốn giới thiệu với bạn là trực tiếp tham gia cộng đồng dự án, sau đó suy nghĩ về các câu hỏi sau:

• Họ có quỹ bảo hiểm không?

• Họ có tránh đặt câu hỏi không?

• Họ đang làm gì để cải thiện an ninh?

Ví dụ: trước đây tôi đã hỏi nhóm Stargate xem họ có quỹ bảo hiểm để bảo vệ dự án khỏi bị tấn công hay không. Nhưng đôi khi không đơn giản như vậy để có được câu trả lời chính xác và phía dự án thường lảng tránh vấn đề theo nhiều cách khác nhau. Đây dường như là một lá cờ đỏ khiến mọi người phải cảnh giác.

Nhưng cho dù điều gì xảy ra, DeFi vẫn còn non trẻ và còn cả một chặng đường dài phía trước, vì vậy tốt nhất bạn không nên bỏ hết trứng vào một giỏ!