http://www.7klian.com

DeFi 用户应该向开拓者提出的质询

固然代码中无可制止会有 bug,但照旧有许多要领能低落缺陷产生的频率,以及低落缺陷带来的负面影响。

· 我该去那边相识提议更新协议的提案?
· 审计进程中,你们用过其他的安详阐明东西吗?

· 对付 bug 陈诉,你们是否曾拒绝付出过?
暂停整个系统?
· 假如你们的系统是可进级的,这些进级步调是否记录在案?
3. 靠得住的的披露系统和嘉奖打算
下面的问题不必然有 “正确谜底”,但学识渊博的社区群众们,应该能从项目标答复中看出开拓团队对付安详性的态度。
· 你们是否有处理惩罚突发安详事件的打算提纲?
因为是果真的网络,上充斥着不怀盛情的进攻者,因此开拓者不能假设本系统外的合约必然会采纳什么样的行为。但在很多 DeFi 应用中又不得不作出这样的假设,因为处事自己就是在已有的一些合约上建构出来的。
其他权限?
· 哪个机构做的审计?
· 假如你们发明某个系统裂痕大概让资金面对风险,你们是否能通过应急预案先发制人,掩护资金安详?
· 假如采纳上述行为,是否有延迟执行机制?
· 有哪些权限是由链上管理措施(即 DAO)来掌控的吗?
· 你们的合约代码中,做过单位测试的比重是几多?

作为一个审计员,我们想要辅佐 DeFi 用户问一些较量厉害的问题;问这些问题的目标,一方面是让开拓人员当真去思量系统安详性的优先级,另一方面,让用户能判别出答复得好的协议,然后把钱投入这些协议。
配置 代币/用户 的 白名单/黑名单 ?
打点员账户可以是以下几种形式:单一地点、多重签名钱包,或是由 DAO 打点的投票进程。那么,
我们但愿通过以下提问,促使后续开展更多正面的接头。
· 你们有和哪个安详团队举办恒久相助吗?
所以假如有应急预案的话,就能证明项目正朝着安详偏向成长。要求项目果真他们完整的打算大概不太现实,但我们照旧能
提出以下基本的问题去侧面相识:
5. 审计与安详成长
· 最近一次审计之后,你们有对合约举办更新吗?假如有,更新了什么?
以下问题能辅佐用户相识 DeFi 开拓团队对付安详性的态度,谜底不必然有对错之分,,并且也不是每个团队(or 独立开拓者)都有资源全盘顾及所有方面。但岂论如何,用户有权利知道这些信息,来抉择本身愿意遭受的风险。
· 你们最近一次审计是什么时候?
2. 外部依赖
· 审计陈诉果真吗?
· 这次审计投入了几多精神(以尺度开拓者的一小时来做单元)?
修改账户余额?
· 几多人有打点员权限?
· 你们系统中有任何部门是没有被涵盖在审计的范畴内吗?
· 你的系统支持哪些代币,你对这些代币(合约)的行为模式有奈何的预期?
· 你们的合约代码可以或许被所有人看到吗?
这样做固然在安详上有长处,但这意味着你必需相信这些 “打点员” 不会滥用他们的特权;并且但凡这些打点员遭到黑客进攻,他们的私钥泄露所带来的效果会越发严重。
· 你的系统依赖什么预言机(Oracle)?
· 从你们的网站和 git 代码库,可以或许很容易找到安详的接洽方法吗?
1. 打点员权限

已往几个月来,DeFi 生态经验了庞大的动荡,数次进攻之下,很多未被操作过的缺陷也被报道出来。
· 采纳上述行为前,需要颠末几多打点员同意?
进级整个系统?(等同于万能…)
· 在归并代码之前,开拓者会互相做 code review 吗(至少查抄 Solidity 文件)?
· 你们是否付出过嘉奖打算的奖金?
任何公司要运行 DeFi 协议,或是涉及在线托管款子的业务,都应该设有嘉奖系统。你可以就他们的嘉奖打算及披露流程
提出以下问题:
这些问题能辅佐用户相识该项目在外部依赖上存在的风险。
抱负环境下,这些信息应该放在 “website.com/security” 页面下,并且能搭配 Github 的 SECURITY.md 成果利用。
对面临某些安详突发状况的时候,新动静如潮流般涌来,用户一连在 Twitter、Telegram、Discord 上提出棘手的问题……,这时候开拓者很难脑子清楚地应对突发状况。
· 你们的合约有没有配置嘉奖打算?
进级某个子系统?
· 你们的应急预案合用于哪些紧张环境?
· 嘉奖打算详细金额是?

对付才能横溢的黑客来说,进攻 DeFi 协议对他们有着强大的款子诱惑。拟定嘉奖打算能鼓励各人发明并揭破裂痕,而非钻裂痕。对付白帽黑客来说,通过鼓励系统揭破代码裂痕也是提高自身声誉的好要领 —— 既有长处又不违法。
· 假如有延迟时间,那是多长?
审计并非万灵丹,并且审计的内容总多几几何有点区别,但对付陈设任何的 DeFi 合约之前,举办审计是至关重要的一步。
大部门的主流 DeFi 协议都存在一些中心化的机制——答允特定的 “打点员” 地点以强硬的手段过问协议的运行。
· 你的系统依赖什么生意业务所?
· 哪些合约在嘉奖打算内?
4. 应急预案
· 你用什么第三方智能合约(如,OpenZeppelin)来成立系统?
以上某些问题的答复已经可以通过 DefiWatch 跟踪相识。
· 从你们的网站和 git 代码库,可以或许很容易地找到嘉奖打算的具体信息吗?
· 打点员能采纳哪些法子?

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关文章阅读