http://www.7klian.com

DeFi 项目问题太多?是时候让用户向开拓人员提出一些问题了!

出于对客户资金掩护的目标,任何家运行 DeFi 协议的公司都应该思量黑客赏金打算,对此我们可以针对相关打算和披露流程提出以下问题

可否将代币 / 用户列入白名单 / 黑名单?

你的系统依赖哪些预言机?

事件响应筹划

在遭遇安详事件时,跟着各类新信息不绝涌入,开拓人员凡是很难理清思路,因为会有大量用户在 Twitter、Telegram、Discard 上提出各类百般的棘手问题……

你的打算思量了哪些方案?

是否具有实施其他非凡法子的本领?

审计与安详成长

审计不是万仙丹,也不是所有审计都能做到公正看待。可是对付 DeFi 合约而言,正式陈设之前举办安详审计仍是至关重要的一步。

审计陈诉是果真的吗?

虽说 Bug 不行制止,但假如采纳一些有效法子仍可淘汰问题产生的频率、并低落由此带来的负面影响。

我们从 5 个角度列出一些问题来搞清楚 DeFi 项目开拓团队的安详态度。

固然不是每个问题都能有「正确谜底」,但项目开拓团队给以的反馈和回覆至少能让社区成员可以相识他们的安详态度,下面这几个问题值得存眷:

自从上次审计以来,你的合约是否进级?假如进级了,产生了哪些变革?

有几多人具有打点员权限?

你的系统有哪些部门被解除在审计之外了?

最近几个月,DeFi 行业经验了一些动荡,不少进攻和未披露裂痕被曝光。

你此前是否付出过赏金?

作为审核员,我们但愿在这方面提供一些辅佐。为了让开拓人员可以优先思量安详性问题,用户做好能早点提出一些棘手问题,只有当这些问题获得满足复原之后,才气安心把钱投入到相应的协议项目里。

你是否与安详公司保持恒久干系?

假如你的系统是可进级的,那么所有执行操纵步调是否被记录在案?

单位测试会涵盖合约代码的哪些部门?

要想搞清楚 DeFi 项目开拓团队的安详态度,本文会列出的一些有用的问题,这些问题的谜底并不能简朴地用「对 / 错」来权衡,因为某些团队(或独立开拓人员)大概并没有足够资源来办理所有问题。事实上,用户只能按照本身所能获获得的信息来判定是否愿意遭受相应的风险级别。

翻译:卢江飞

固然这种方法在安详性上有些长处,但也意味着你必需信任打点员不会滥用本身的特权。另一方面,假如进攻者窃取了打点员私钥及其附带的所有特权,那么也会增加项目风险。

你的合约源代码是否能果真得到?

因此在涉及有关外部依赖干系风险时,下面这些问题大概会有必然辅佐:

可否在你的网站和 GitHub 代码库上快速找到安详接洽信息?

假如发明白导致资金面对风险的裂痕,你是否会先发制人处理惩罚问题以掩护资金安详?

可否在你的网站和 GitHub 代码库上快速找到赏金打算的细节内容?

赏金打算包括了哪些合约?

可否进级所有系统(等同于无所不能)?

你的项目上一次审计是在什么时候?

上述某些信息已能在 DefiWatch 中举办跟踪。

打点员可以采纳哪些非凡法子?

可否暂停系统?

虽然,我们但愿下面这些问题可以或许敦促 DeFi 项目朝正确的偏向成长。

哪家公司对你举办的审计?

你的系统支持哪些代币?你对这些代币的成果做了哪些假设?

撰文:John Mardlin,ConsenSys Diligence 安详工程师

抱负环境下,,这些信息都可以在项目官方网站的安详网页 / 栏目中找到,或是操作 GitHub 的 SECURITY.md 成果也能找到相关信息。

你的系统依赖哪些生意业务所?

在执行某些操纵之前,必需得到几多个打点员核准?

你是否有书面打算概述如那里理惩罚安详事件?

是否有任何行政行为被链上管理节制,好比 DAO?

流程中是否利用过任何其他安详阐明东西?

外部依赖

以太坊区块链中布满反抗性参加者,一般而言,开拓人员应该只管制止对其他系统的合约行为作出任何假设。然而在很多 DeFi 应用中,这险些是不行能的,因为处事自己就是成立在现有合约之上。

你的系统利用了哪些第三方智能合约来构建(好比 OpenZeppelin)?

你的合约上有赏金打算吗?

所以,你需要拟定打算来确保安详事件朝着康健的偏向成长。固然对付 DeFi 项目团队而言果真完整打算大概没有太大意义,但他们最好可以或许答复以下几个问题:

认真的披露和赏金打算

对付那些高智商黑客而言,进攻 DeFi 协议能让他们得到庞大的经济收益。因此你其实可以实验拟定一个赏金打算,为提供系统裂痕的人提供一些资金嘉奖,这样就能淘汰裂痕被黑客操作。实际上,通过赏金打算举报裂痕对黑客声誉也有长处,因为这样他们就不必通过犯科手段来赢利了。

在代码归并之前,开拓人员是否会在 GitHub 里查抄互相的 Pull Request (至少在 Solidity 文件里)?

打点员账户凡是会回收几种大概的形式,包罗:对单个地点、多重签名钱包、以及由投票流程节制的去中心化自治组织(DAO)。这里要询问的安详性问题包罗:

审计事情需要几多事情量(以人 / 小时为单元)?

上述行为中,哪些会有时延、哪些没有?

你此前是否拒绝为陈诉 Bug 的人付出赏金?

假如有时延,详细会耽误多久时间?

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!