假如发明白导致资金面对风险的裂痕,你是否会先发制人处理惩罚问题以掩护资金安详?
对付拟议的协议变动,可以在那边查询到最新状态?
假如你的系统是可进级的,那么所有执行操纵步调是否被记录在案?
作为审核员,我们但愿在这方面提供一些辅佐。为了让开拓人员可以优先思量安详性问题,用户做好能早点提出一些棘手问题,只有当这些问题获得满足复原之后,才气安心把钱投入到相应的协议项目里。
在执行某些操纵之前,必需得到几多个打点员核准?
你此前是否付出过赏金?
在遭遇安详事件时,跟着各类新信息不绝涌入,开拓人员凡是很难理清思路,因为会有大量用户在 Twitter、Telegram、Discard 上提出各类百般的棘手问题……
赏金额度范畴有几多?
大大都知名 DeFi 协议都是以某种形式被中心化节制的,支持特定「打点员」以强有力的方法举办过问。
有几多人具有打点员权限?
可否在你的网站和 GitHub 代码库上快速找到安详接洽信息?
你的系统利用了哪些第三方智能合约来构建(好比 OpenZeppelin)?
要想搞清楚 DeFi 项目开拓团队的安详态度,本文会列出的一些有用的问题,这些问题的谜底并不能简朴地用「对 / 错」来权衡,因为某些团队(或独立开拓人员)大概并没有足够资源来办理所有问题。事实上,用户只能按照本身所能获获得的信息来判定是否愿意遭受相应的风险级别。
你的系统依赖哪些预言机?
固然不是每个问题都能有「正确谜底」,但项目开拓团队给以的反馈和回覆至少能让社区成员可以相识他们的安详态度,下面这几个问题值得存眷:
出于对客户资金掩护的目标,,任何一家运行 DeFi 协议的公司都应该思量黑客赏金打算,对此我们可以针对相关打算和披露流程提出以下一些问题:
所以,你需要拟定打算来确保安详事件朝着康健的偏向成长。固然对付 DeFi 项目团队而言果真完整打算大概没有太大意义,但他们最好可以或许答复以下几个问题:
你的系统支持哪些代币?你对这些代币的成果做了哪些假设?
是否有任何行政行为被链上管理节制,好比 DAO?
事件响应筹划
可否修改余额?
上述某些信息已能在 DefiWatch 中举办跟踪。
认真的披露和赏金打算
审计不是万仙丹,也不是所有审计都能做到公正看待。可是对付 DeFi 合约而言,正式陈设之前举办安详审计仍是至关重要的一步。
审计与安详成长
虽说 Bug 不行制止,130但假如采纳一些有效法子1890仍可淘汰问题产生的频率7296、并低落由此带来的负面影响。
你的合约源代码是否能果真得到?
打点员账户凡是会回收几种大概的形式,包罗:对单个地点、多重签名钱包、以及由投票流程节制的去中心化自治组织(DAO)。这里要询问的安详性问题包罗:
可否将代币 / 用户列入白名单 / 黑名单?
可否进级系统子集?
最近几个月,DeFi 行业经验了一些动荡,不少进攻和未披露裂痕被曝光。
你的合约上有赏金打算吗?
DeFi 项目问题太多,
因此在涉及有关外部依赖干系风险时,下面这些问题大概会有必然辅佐:
抱负环境下,这些信息都可以在项目官方网站的安详网页 / 栏目中找到,或是操作 GitHub 的 SECURITY.md 成果也能找到相关信息。
你此前是否拒绝为陈诉 Bug 的人付出赏金?
可否暂停系统?
打点员可以采纳哪些非凡法子?
可否在你的网站和 GitHub 代码库上快速找到赏金打算的细节内容?
你的系统依赖哪些生意业务所?
中布满反抗性参加者,一般而言,开拓人员应该只管制止对其他系统的合约行为作出任何假设。然而在很多 DeFi 应用中,这险些是不行能的,因为处事自己就是成立在现有合约之上。
上述行为中,哪些会有时延、哪些没有?
打点员权限
你是否有书面打算概述如那里理惩罚安详事件?
是否具有实施其他非凡法子的本领?
外部依赖
赏金打算包括了哪些合约?
固然这种方法在安详性上有些长处,但也意味着你必需信任打点员不会滥用本身的特权。另一方面,假如进攻者窃取了打点员私钥及其附带的所有特权,那么也会增加项目风险。
可否进级所有系统(等同于无所不能)?
假如有时延,详细会耽误多久时间?
虽然,我们但愿下面这些问题可以或许敦促 DeFi 项目朝正确的偏向成长。
你的打算思量了哪些方案?
对付那些高智商黑客而言,进攻 DeFi 协议能让他们得到庞大的经济收益。因此你其实可以实验拟定一个赏金打算,为提供系统裂痕的人提供一些资金嘉奖,这样就能淘汰裂痕被黑客操作。实际上,通过赏金打算举报裂痕对黑客声誉也有长处,因为这样他们就不必通过犯科手段来赢利了。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。