本文摘要:过去几个月,DeFi生态经历了巨大的动乱,在几次反击下,也有很多没有被利用的缺失。

OPE官网

过去几个月,DeFi生态经历了巨大的动乱,在几次反击下,也有很多没有被利用的缺失。代码不可避免地没有错误,但有很多方法可以减少缺损再次发生的频率,减少缺损带来的负面影响。

作为审计员,我想帮助DeFi用户提出更尖锐的问题。这些问题的目的是让开发人员一方面认真考虑系统安全的优先顺序,另一方面认识到用户经常听到的协议,并向这些协议投入钱。以下问题有助于用户理解DeFi研究开发团队对安全性的立场。

OPE电子竞技

答案不一定是错的。另外,并非所有团队(or独立国家开发者)都有考虑所有方面的资源。

OPE电子竞技

但是,无论如何,用户都有权传达这些信息,要求他们不愿意忍受的风险。我们希望通过以下问题,比以前积极展开更多的肯定讨论。

1 .大部分管理员权限的主要DeFi协议不存在几个中心机制——,因此允许特定的“管理员”地址以强硬的手段介入协议的运营。这样做对安全性有好处,但这意味着你必须相信这些“管理者”会欺骗他们的特权。但是,如果这些管理员被黑客攻击,他们的私钥泄露带来的后果就没那么严重了。

OPE电子竞技

管理员帐户可以是单个地址、多个手写签名钱包或DAO管理的投票过程的几种形式。那么,网桌新闻网,管理者可以采取什么措施? 停止整个系统吗? 要更改账户的馀额吗? 设置令牌/用户白名单/黑名单吗? 要升级子系统吗? 要升级整个系统吗? (与万能同等.)其他权限? 进行上述不道德行为,有推迟执行的机制吗? 如果有延迟时间的话,那是多长时间? 有多少人有管理权限? 在实行上述不道德之前,有多少管理者必须同意? 链上的管理流程(DAO )有权限管理吗? 我应该在哪里理解提议改版协议的议案? 这些问题中的一些现在可以通过DefiWatch跟踪理解。2 .外部委托是公开发表的网络,以太网上充斥着恶意攻击者,因此开发者无法假定本系统外的合同进行什么样的不道德行为。

但是,许多DeFi应用程序都有这样的假设,因为服务本身是在几个合同上构建的。这些问题有助于用户理解该项目不存在于外部依赖中的风险。你的系统依靠什么甲骨文? 你的系统依赖什么样的交易所? 使用第三方智能合同(如OpenZeppelin )创建系统吗? 你的系统反对哪个奖牌? 你对这些奖牌(合同)的不道德模式有什么期待? 3 .可靠的发布系统和奖励程序对才华横溢的黑客来说,反击DeFi协议对他们有强烈的金钱欲望。

制定奖励计划鼓励发现并暴露漏洞,而不是铁环的漏洞。对白帽黑客来说,鼓舞系统暴露代码漏洞也是提高自己声誉的好方法——是有益的,不是违法的。任何公司都必须为运营DeFi协议和与网上托管地金钱相关的业务另行设置奖励系统。

关于他们的奖励计划和发表过程,可以明确以下问题:你们的合同代码需要被所有人看到吗? 从你的网站或git代码库容易找到安全联系方式吗? 你们的合同设有奖励计划吗? 奖励计划内的合同是什么? 奖金计划的明确金额是多少? 你支付过奖金计划的奖金吗? 关于错误报告,你拒绝缴纳过吗? 需要从你的网站或git代码库更容易地找到奖金计划的详细信息吗? 理想情况下,这些信息应该放在“website.com/security”页下,可以与Github的SECURITY.md功能组合使用。4 .当应急措施面临一些安全性突发状况时,新消息如潮水般黄泥降临,用户在Twitter、Telegram、Discord上继续明确提出棘手的问题……这时,开发者为突发状况烦恼。所以有应急措施的话,可以证明项目正在向安全性方向发展。拒绝项目公开发表他们的原始计划也许只是现实,但我们还是可以明确提出以下基础问题并侧面理解:有处理脑溢血安全事件的计划庐山会议吗? 你们的应急措施仅限于什么样的紧急情况? 如果你的系统可以升级,是否记录了这些升级步骤? 如果发现系统漏洞,资金可能面临风险,能否通过应急措施先发制人,保持资金安全? 5 .审查和安全性发展的审查不是万能的,而且审查的内容多少有差异,但在展开任何DeFi合同之前,展开审查是重要的一步。

下一个问题不一定有“正确的答案”,但学识渊博的社区人士应该能从项目问题中表明研究开发团队对安全性的立场。最近的审查是什么时候? 这次审查投入了多少能量(标准开发者一小时内完成了单位)? 哪个机构在进行审查? 审计报告会公开发表吗? 你系统的任何部分都不在审查范围内吗? 最近的审查后,改版合同了吗? 如果有的话,改版了什么? 您与哪个安全团队合作多年了? 在分割代码之前,开发者不能互相制作代码review吗(至少要检查Solidity文件吗? 你们的合同代码中,实施单元测试的比例是多少? 审查过程中,你用过其他安全性分析工具吗?。

本文关键词:OPE官网,专业电子竞技竞猜平台,OPE电子竞技

本文来源:OPE官网-www.neptunatuna.com

admin

相关文章