首页 学习成长内容详情

OKX Web3、BlockSec:@所有巨鲸 DeFi世界最新避险攻略

2024-06-04 1218 区块链百科

引言

OKX Web3包特策划了《安全特刊》目,针对不同型的上安全问题进期解答。通生在用最真案例,与安全家人士或者机构共同合,由不同行双重分享与解答,从而由浅入深梳理并归纳安全交易规则,旨在加安全教育的同,帮助用从自身开始学会保以及资产安全。

 

DeFi世界最大的魅力就是,每个人都有成「巨」的潜力

 

但即使「巨」也不能逞然吃肉,但也有「挨打」的

 

所以,上玩耍,安全第一

 

不然,又要「白手起家」~ 

 

本期是安全特刊第05期,特邀区块链安全先BlockSec 与OKX Web3包安全团队,从操指南的角度出所有即将成或者已「巨」的用以及目方,分享一份DeFi避攻略。比如,如何看审计报告、初步估DeFi风险常用的指和参数、目方或者巨,如何构建控感知能力、DeFi安全防等等...错过

 

 

4e6775baa6a694753e0009db4dde1490_24_9qbinmpelt.png 

BlockSec安全团队:BlockSec是全球先的「全」区块链安全服商,目前公司已服超300家客,包括MetaMask、Compound、Uniswap Foundation、Forta、PancakeSwap、Puffer 等知名目方,通白帽援救挽回了超2000万美金的失。

 

BlockSec的CEO & Co-Founder 周金是浙江大学算机教授,Aminer评选的全球最具影响力学者,文50余篇,得超万次引用。CTO & Co-Founder 吴磊是浙江大学算机教授,前派盾始人,带领团队发现了多个知名目的数十个零日漏洞。总监 Raymond,先后在腾讯、360负责安全品。

 

OKX Web3 包安全团队:大家好,非常开心可以行本次分享。OKX Web3 Security团队主要负责OKX在Web3域内各安全能力的建,比如智能合安全审计包的安全能力建目安全控等,提供品安全、金安全、交易安全等多重防为维护整个区块链安全生态贡献力量。

 

Q1:分享几个用遭遇的DeFi风险案例

 

BlockSec安全团队:DeFi 因其为资产带来相对稳定的高收益,吸引了很多大参与。很多目方了提高流性,也会主。例如,我常常能看到新闻报道,一些大存入巨额资产到 DeFi 中。当然,些巨在参与 DeFi ,除了定的收益,也会面一些风险。接下来,我分享一些行公开的DeFi风险案例:

 

案例一:2022 年的 PolyNetwork 安全事件中,共有超 6 亿美元的资产被攻。据,神也有一亿美元在里面,然之后攻还钱,事件圆满解决,神也宣布要在上建立一座念碑来念此事,但想必此程十分煎熬。尽管当前一小部分安全事件得到好果,但是大部分安全事件就没么幸运了。

 

案例二:知名的 DEX SushiSwap 在2023 年被攻,大 0xSifu 失超 330 万美元,他一个人的失就达到了总损失的 90%

 

案例三:今年 3 月的 Prisma 安全事件中,总损 1400 万美元,失来自 17 个包地址,平均每个失了 82 万美元,但其中 4 个用失就占到了 80%。些被盗资产大部分没有被追回。

 

底, DeFi ,特是主网的 DeFi, 因 Gas Fee 不可忽,只有资产达到一定模才能真的得收益(空投励除外),因此,DeFi 目的主要 TVL 一般都是由巨鲸贡献的,甚至在一些目中 2% 的巨鲸贡献了 80% 的 TVL。当安全事件生的候,些巨也就必然承担了大部分失。「不能光看到巨鲸们吃肉,他也有挨打的候」。

 

OKX Web3 包安全团队:随着上世界的繁荣展,用遭遇的DeFi风险案例也与日俱增,上安全永是用最基本和最重要的需求。

 

案例一:PlayDapp 特权账户泄漏事件。2024年2月9日至12日,基于以太坊的PlayDapp游平台由于私泄漏遭受攻,攻者未权铸造并盗取了17.9亿PLA3,235万美元。攻者在PLA代中添加了新的铸币者,造了大量PLA,分散到多个上地址和交易所。

 

案例二:Hedgey Finance攻事件。2024年4月19日,Hedgey Finance在以太坊和Arbitrum上遭遇了重大安全漏洞,4,470万美元。攻者利用合缺乏用户输验证的漏洞,易受攻的授,从而从合中窃取资产

 

Q2:能否归纳当前DeFi域存在的主要风险类

 

OKX Web3 包安全团队合真案例,我梳理了当前DeFi域常的4类风险类

 

第一钓鱼钓鱼是网中常的一种,通过伪装成合法的体或个人,诱骗受害者提供敏感信息,如私、密或其他个人数据。在DeFi域,钓鱼通常通以下方式行:

 

1)假冒网站:攻建与真DeFi目相似的钓鱼网站,使用户签署授转账交易。

 

2)社交工程攻:在Twitter上,攻者利用高仿号或者劫持目方Twitter或者Discord布虚假促或空投信息(实为钓鱼链接),户实钓鱼

 

3意智能合:攻布看似有吸引力的智能合或DeFi目,诱骗访问权限,从而窃取金。

 

第二:Rugpull。Rugpull是DeFi域中特有的局,指目开者在吸引大量投后突然撤出金并消失,致投者的金被全部卷走。Rugpull通常生在去中心化交易所(DEX)和流性挖矿项目中。主要表形式包括:

 

1)流性撤离:开者在流性池中提供大量流性吸引用,然后突然撤出所有流性,致代价格暴跌,投失惨重。

 

2目:开建一个看似合法的DeFi目,通虚假的承和高收益诱骗,但实际上并没有任何实际产品或服

 

3)更改合约权限:开者利用智能合中的后限,随可以更改合规则或撤出金。

 

第三:智能合漏洞。智能合是自动执行的代,运行在区块链上,一旦部署就不可更改。如果智能合存在漏洞,将重的安全问题。常的智能合漏洞包括:

 

1)重入漏洞:攻者在上次用未完成之前重复用漏洞合致合内部状现问题

 

2逻辑错误:合约设计实现中的逻辑错误致意外的行或漏洞。

 

3)整数溢出:合未正确理整数运算,致溢出或下溢。

 

4)价格操:攻者通纵预言机价格施攻

 

5)精度失:由于浮点数或整数精度问题错误

 

6)缺乏验证:未户输行充分验证致潜在的安全问题

 

第四:治理风险。治理风险涉及到目的核心决策和控制机制,如果被意利用,可能会目偏离期目,甚至重的经济损失和信任危机。常风险类型包括:

 

1)私泄漏

 

某些DeFi目的特权账户由EOA(Externally Owned Accounts)或者多签钱包控制,如果些私被泄漏或盗取,攻者可以随意操金。

 

2)治理攻

 

某些DeFi然采用了去中心化的治理方案,但仍然存在以下风险

 

·借用治理代:攻者通借用大量治理代,在短时间内操投票果。

 

·控制多数投票:如果治理代高度集中在少数人手中,些人可以通集中投票控制整个目的决策。

 

Q3:有哪些度或者参数,可以初步估DeFi目的安全性和风险

 

BlockSec安全团队:在参与一个 DeFi 目之前,对项行一个整体的安全估非常有必要的。特金体量比大的参与者来,必要的安全尽职调查可以最大程度保障金安全。

 

 515d0df08e4999ea903f48c293e43d46_24_9pso7shkvs.png

 

第一,建议对项目的代安全行全面估,包括目方是否经过审计以及是否具有良好安全声誉的审计公司审计,是否有多家审计公司参与,最新的代是否经过审计等。通常来,如果线上运行的代码经过多家具有良好安全声誉的安全公司的审计,会大幅降低被安全攻风险。 

 

第二,要看目方是否部署实时的安全控系。安全审计的安全是静的,并不能解决目上线后引动态安全问题。比如,目方不适当地整了目的关运行参数、增加了新的 Pool 等。目方如果采用了一些实时的安全控系,那么其运行的安全系数比没有采用这样方案的协议会更高一些。 

 

第三,要看目方是否具有急情况下的自能力。个能力期被社区忽。我们发现在多个安全事件中,目方都没有能做到自的功能熔断(或者金敏感操作的熔断)。目方在急情况下大多采用手的方式来理安全事件,而这样的方式被明是低效甚至是无效的。 

 

第四,要看目方的外部依以及外部依棒性。一个 DeFi 目会依第三方目所提供的信息,如价格、流性等。因此需要从外部依数量、外部依赖项目的安全性、是否有外部依异常数据的控和实时处理角度来目等安全性。通常来,外部依目方是目方、并且外部目异常数据有容实时处理的目会更安全。 

 

第五,目方是否具有比良好的社区治理构。包括目方于重大的事件是否具有社区投票机制,敏感操作是否是多完成,多签钱包是否引入了社区中立的参与,是否具有社区安全委会等。一些治理构能提高目透明性,降低用目中的金被 rugpull 的可能性。 

 

最后,目方往的史也非常重要。需要对项团队目核心成员进行背景调查。如果目方核心成员过目有多次被攻或者 rugpull 等不良记录,那么这样目的安全风险也会相高。 

 

之,在参与 DeFi 目前,用是大额资金参与者要做好研究工作,从目上线前的代安全审计目上线后的实时安全监测和自能力构建方面,考察目方的安全投入和安全性,并且要从外部依、治理构以及目方史等角度做好被工作,保障投入到目中的金安全。 

 

OKX Web3 包安全团队然无法100%保DeFi目的安全性,但用可以通以下度的交叉合,来初步估DeFi目的安全性和风险。 

 

一、目技安全性

 

1、智能合约审计

 

1检查项目是否经过多个审计公司的审计审计公司是否具有良好的声誉和经验

 

2检查审计报告中告的问题个数和重性,确保所有问题都已修复。

 

3检查项目部署的代是否跟审计的代版本一致。

 

2、代开源:

 

1目的代是否开源,开源代社区和安全审查,有助于发现潜在的安全问题

 

2)开发团队背景:了解目开发团队的背景和经验,特是他在区块链和安全域的经验,以及该团队的透明度和公开信息程度。

 

3)漏洞划:目是否有漏洞划,以激励安全研究人员报告漏洞。

 

3财务经济安全性

 

1定量:检查智能合定的金量,高的锁仓可能意味着目具有高的信任度。

 

2)交易量和流性:目的交易量和流性,低流性可能增加价格操风险

 

3)代币经济模型:目的代币经济模型,包括代分配、激励机制和通模型。比如,是否存在度集中的代持有情况等等。

 

4、操作和管理安全性

 

1)治理机制:了解目的治理机制,是否有去中心化治理机制,并且社区能否重要决策行投票、并分析治理代的分配和投票的集中程度等等。

 

2风险管理措施:目是否有风险管理措施和案,如何应对潜在的安全威经济。另外,在目透明度和社区沟通方面,可以看看目方是否定期告和安全更新、以及是否极与社区沟通并解决用户问题等等。

 

5、市和社区

 

1)社区活度:目的社区活度和用,活的社区通常意味着目有广泛的支持。

 

2)媒体和社交媒体价:分析目在媒体和社交媒体上的价,了解用和行业专对项目的看法。

 

3)合作伙伴和投方:目是否有知名的合作伙伴和投方支持,信誉良好的合作伙伴和投方可以增加目的可信度,但并能成判断其安全的决定性因素。

 

Q4:用户该如何看审计报告,以及开源状等等? 

 

BlockSec安全团队: 被审计过目,目方通常会在官方渠道主向社区公布审计报告。一些审计报告通常在目方的文档、Github 代码库等渠道中。另外,需要对审计报告的真假和鉴别鉴别的方法包括检验审计报告的数字名、审计公司行二次确等。 

 

那么拿到这样审计报告,投者如何去研读这样审计报告呢? 

 

第一,要看审计报告是否被一些安全声誉比高的安全公司审计过,比如 Open Zeppelin, Trail of Bits, BlockSec 等审计公司。 

 

第二,要看审计报告中提到的问题是否都已修复,如果没有修复,要看目方不修复的理由是否充分。里也需要区分审计报告中的有效漏洞告和无效漏洞告。由于审计报一的行业标准,因此安全审计公司会根据自己的安全知来目漏洞风险评级告。因此,审计报告中发现的漏洞,要重点关注有效漏洞告。程最好能有自己的安全咨询团队引入行第三方独立估。 

 

第三,要看目方公布的审计报告中的审计时间和最近目的升更新时间是否一致(或者接近),另外也需要注意审计报告中的目方代是否覆盖了目方当前在线的所有代目方出于经济成本和时间成本的考,通常会行部分代码审计。因此在种情况下,需要判断经过审计的代是否是核心协议。 

 

第四,要看目方线上运行的代是否经过验证(开源),经过验证的代是否和审计报告中一致。通常审计会基于目方的 Github 上代(而不是已部署到线上的代)。如果目最部署到上代没有开源,或者和被审计具有大差异,都是需要引起重的点。 

 

之,阅读审计报告本身是一个专业性比较强的事情,建程中引入独立的第三方安全家来提供咨。 

 

OKX Web3 包安全团队:用可以通DeFi目官网或者第三方网站,例如OKLink看智能合审计报告和开源状,下面介审计报告和开源状的步: 

 

第一,找官方公告或网站。大多数可信的DeFi目都会在其官方网站展示其相关的文档信息,在目文档面,通常会有一个“安全”、“审计或者“合地址”等接到审计报告及目方部署的合地址。除了在目方官方网站,通常其会在官方的社交媒体如Medium、Twitter等展示审计报告和部署的合地址信息。 

 

第二,在阅读项目方官方网站以后,可以通OKLink浏览器,查询项目方出的部署的合地址信息,并在“合地址部署合的开源代信息。 

 

第三,在拿到目方的审计报告和部署合的开源代信息后,可以开始阅读项目方的审计报告,阅读审计报告的候有以下注意点: 

 

1)理解审计报告的构,对审计报告的内容有个体的概念,审计报告大致分为简介、发现问题、解决方案和建审计结果。 

 

2)在阅读简介相关内容,我需要关注审计报审计的范和目,通常审计报告会审计文件提交的Github Commit Id,我需要审计报审计的文件是否和上部署的开源代一致。 

 

3)在阅读发现问题、解决方案和建审计结果部分,我需要重点关注团队是否已按照建修复了发现的漏洞,以及目方是否修改的内容行了后续审计,以确保所有问题都得到妥善理。 

 

4比多份告。如果行了多次审计看每次审计报告之的差异,了解目的安全改情况。 

 

Q5:黑客攻击历史、划,DeFi目安全性的参考价? 

 

OKX Web3 包安全团队:黑客攻击历史和划,于DeFi目的安全性估提供了一定的参考价,主要体在以下几个方面: 

 

第一,黑客攻击历史 

 

1)揭示史漏洞:攻击历史可以展示目曾存在的具体安全漏洞,了解去哪些安全问题被利用,以及问题是否得到了底的修复。 

 

2风险管理能力:目如何响应历史上的安全事件,能出其风险管理和危机理的能力。一个极响、及修复漏洞并赔偿受影响用目,通常被视为更可靠和成熟的投资选择。 

 

3目信誉:繁的安全问题可能减户对项目的信任,但如果目能展示出从错误中学并加安全措施的能力,也能构建其期的信誉。 

 

第二,划 

 

划在DeFi及其他目中的施,是提高安全性和挖掘潜在漏洞的重要策略。对项目的安全性来了多方面的参考价: 

 

1)增外部审计划鼓励全球的安全研究者参与到目的安全审计中。种“众包”方式的安全测试揭露内部审计可能忽问题,从而增加了发现和解决潜在漏洞的机会。 

 

2验证安全措施的有效性:通过实际划,目可以在实战测试其安全措施的有效性。如果一个目的历时较长告的重漏洞少,可能是一个表明目相成熟和安全的指。 

 

3)持的安全改划提供了一种持的机制。随着新技和新攻手段的出划帮助团队更新和化其安全措施,确保目能够应对最新的安全挑。 

 

4)建立安全文化:目是否划,以及该计划的严肃性和活度,能反映出团队对安全的度。一个极的示了建立坚实的安全文化的承。 

 

5)提升社区和投者信心:划的存在和效果可以向社区和潜在投安全的重可以增信任,可能吸引更多的投,因向于选择那些示出高度安全任感的目。 

 

Q6:参与DeFi,用如何构建控感知能力 

 

BlockSec安全团队: 以巨户为例,巨主要是指个人投者或小团队的投机构,些用大,但通常没有非常的安全团队,也没有自研安全工具的能力。因此,目前止,实际上大部分巨都没有足风险感知能力,否就不会遭受如此巨大的失了。 

 

由于面巨大失的风险,一些巨开始有意地依一些公开的安全工具来控和感知风险在,有很多团队在做品,但是如何选择非常关里有几个关点: 

 

首先,是工具的使用成本。多工具然非常大,但需要程,使用成本并不低。于用,搞清楚合的架构,甚至收集地址都不是容易的事情。 

 

其次,是精准度。没有人希望在晚上睡觉时连续收到几个警发现误报这样人心炸裂。因此,准确度也非常关。 

 

最后,是安全性。特是在模下,不能忽工具研及其团队的各种安全风险。最近的 Gala Game 被攻事件,据就是由于引入了不安全的第三方服商。因此,可靠的团队和可信的品至关重要。 

 

截至目前,也有多巨找到我,我其推荐专业管方案,从而使巨既能保证资金的安全,又能兼日常的金管理如“挖提”,感知风险,甚至在急状下的金撤退。

 

 540e70e99d33255442c00a2cccda725a_24_t7um26p9fh.png

 

Q7:参与DeFi的安全建、以及如何理安全风险

 

BlockSec安全团队于大额资金参与者,参与 DeFi 协议首要是要保本金安全,在可能的安全风险进行了比充分的研究后行投。通常可以从以下几个方面保证资金安全。

 

首先,要多方位判断目方的安全重和投入程度。包括上面的是否经过较彻底的安全审计目方是否具有目安全风险监控和自能力、是否具有比好的社区治理机制等。一些都能反映出目方于用户资金安全是否放在比重要的方面,是否金安全具有高度负责度。

 

其次,大额资金的参与者也需构建自己的安全控和自。在投协议发生安全事件后,大额资金的投应该第一时间能感知并且能撤退金,尽可能地挽回失,而不是将所有的希望都寄托在目方身上。在 2023 年我能看到多个知名目都被攻击过,包括 Curve、KyberSwap、Euler Finance 等。很憾的是,我们发现在攻击发生的候,大者往往缺乏及、有效的情,也没有自己的安全控和急撤退系。 

 

另外,投人需要选择好的安全合作伙伴来的安全行持的关注。无对项目方代的升、重要的参数改等都需要能及感知并且风险。而这样的事情没有专业安全团队和工具的参与是很完成的。

 

最后,需要保好私安全。于需要常交易的账户,最好通过线上多线下私安全解决方案相合的方法来行,杜绝单个地址和个私钥丢失后的风险。 

 

如果一旦投目面安全风险,又如何理  ?

 

相信于任何巨和投者而言,遭遇安全事件的第一反一定是先保本,尽快撤是最先的作。但是攻者的速度通常很快,手操作往往来不及,因此最好能根据风险。当前,我提供相关的工具,可以实现发现交易后自,帮助用户优先撤离。 

 

其次,如果真的遭遇了失,除了吸取教还应该积极推动项目方求安全公司的帮助,损资行追溯和控。随着整个 Crypto 行业对安全的重,追回金的比例在逐步提升。

 

最后,如果是大可以安全公司点投的其他目是否有问题。很多攻的 Root cause 是一致的,例如 Compound V2 的精度问题,去年目都存在相似的问题并被连续。因此,可以安全公司分析投资组合中其他目的风险,如果发现风险应该尽快与目方沟通或撤出。 

 

OKX Web3 包安全团队:参与 DeFi ,用可以通采取多种措施来更安全地参与 DeFi 目,降低失的风险,享受去中心化金融来的收益。我从用户层面、以及OKX Web3 包2个面来展开。

 

第一,于用而言:

 

1选择经过审计目:选择经过知名第三方审计公司(如 ConsenSys Diligence、Trail of Bits、OpenZeppelin、Quantstamp、ABDK以及今天我们对话的嘉BlockSec审计目,审阅其公开的审计报告,了解潜在风险和漏洞修复情况。 

 

2)了解目背景和团队:通研究目的白皮、官方网站和开发团队背景,确保目具有透明性和可信度。关注团队在社交媒体和开社区中的活,了解其技术实力和社区支持。 

 

3)分散投:不要将所有金投入到一 DeFi 目或资产中,分散投可以降低风险选择多个不同型的 DeFi 目,如借、DEX、Farming等,以分散风险敞口。 

 

4)小额测试:在大交易前,先行小额测试交易,确保操作和平台的安全性。 

 

5)定期账户理:定期检查自己的 DeFi 账户资产,及时发现异常交易或活。使用工具(如 Etherscan)上交易记录,确保资产安全。检测到异常后及采取急措施,比如撤销账户的所有授包安全团队获取支持等。 

 

6慎使用新目:线或未经验证的新目,保持度。可以先投入少量试验察其运行情况和安全性。 

 

7)使用主流Web3行交易:使用主流的Web3包与DeFi目交互,主流Web3包提供更好的安全防

 

8)防范钓鱼慎点陌生接和不明来源的件,不要在不受信任的网站入私或助记词,确保访问接是官方网站。使用官方渠道下载钱包和用程序,确保件的真性。 

 

第二,从OKX Web3 面而言: 

 

提供了很多安全机制以保户资金安全: 

 

1风险域名检测:在用户访问DAPP,OKX Web3包会在域名检测分析,如用户访问的是意DAPP,截或提醒,防止用上当受

 2ce3e97e9a6a8fac13c1515d74bc4f3c_24_zpswan2zd1.png

 

 

2)貔貅币检测:OKX Web3包支持完善的貔貅币检测能力,在包中主屏蔽貔貅,避免用户尝试跟貔貅交互。 

 

3)地址标签库:OKX Web3包提供了丰富完善的地址标签库,在用跟可疑地址交互,OKX Web3包会及时给予告警。 

 

4)交易预执行:在用提交任何交易前,OKX Web3包都会模拟执交易,并将资产和授权变果展示参考。用可根据该结判是否符合期,以便决定是否继续提交交易。

 

 939da42adbe2d6db6af691d10f21357c_24_i1tpbf5sa3.png

 

5)集成DeFi用:OKX Web3包已集成了各主流的DeFi目的服,用OKX Web3包可以放心与集成的DeFi行交互。另外OKX Web3包也会DEX,跨链桥等DeFi服务进行路径推荐,以便提供最的DeFi服和最的Gas方案。

 22f649b4ed1bb3003723276e9b2a063e_24_jsk5zy66df.png

 

 

6)更多安全服:OKX Web3在逐步增加更多安全功能,建更多先的安全防,将更好更高效地保障OKX包用安全。

 

Q8:不是用,DeFi目方面风险类型以及如何防

 

BlockSec安全团队:DeFi目方面风险类型包括:代安全风险、运安全风险和外部依赖风险

 

第一,代安全风险。即DeFi目在代码层面可能存在的安全患。DeFi目而言,智能合是其核心业务逻辑(前后端逻辑等属于传统件开发业务,相而言比成熟),也是我关注和讨论的重点,包括:

 

1)首先,从开角度来,需遵循界公的智能合安全开发实践,比如于用于防止重入漏洞的Checks-Effects-Interactions模式等等;此外,常用的功能尽可能选择可靠的第三方实现,避免因重复来的不可知风险

 

2)其次是做好内部测试测试件开中的重要环节,能帮助发现很多问题。但于DeFI目而言,本地测试并不足以暴露问题,更需要在实际线的部署境中做一步测试方面可以通使用似Phalcon Fork这样的工具来帮助实现

 

3)最后,在测试完成之后,接入口碑良好的第三方审计审计虽然不能确保100%不出现问题,但系性的审计工作能在很大程度上帮助目方定位已知常的各安全问题,而些往往是开者不熟悉或者因方式的不同而较难触及的部分。当然,由于各家审计公司在专业和方向上存在差异,如果算允,在践中也推荐2家或者多家审计公司参与。

 

第二,运安全风险。即目上线后在运营过程中的生的安全风险。一方面,代依旧可能存在未知漏洞。即便代经经过良好的开测试审计,依旧可能存在未被发现的安全患,一点在件开数十年的安全践中得到了广泛明;另一方面,在代码层面的问题之外,目上线后面更多挑,比如私泄漏、系重要参数错误设置等等,均可能造成重的后果和巨大的失。运安全风险应对策略建包括:

 

1)建立健全私管理:采用可靠的私管理方法,比如可靠的硬件包或基于MPC的包解决方案等。

 

2)做好运行状态监控:控系统实时感知特操作和目运行中的安全状

 

3)构建针对风险的自化响机制:比如采用BlockSec Phalcon,可以在遭遇到攻候自动实施阻断,避免(一步)的失。

 

4)避免特操作的风险:如用Safe多签钱包来行特操作。

 

第三,外部依赖风险是指目存在的外部依赖带来的风险,比如依于其它DeFi协议提供的价格言机,但言机出现问题导致价格错误果。针对外部依赖风险的建包括:

 

1选择可靠的外部合作伙伴,如界公的可靠的协议等。

 

2)做好运行状态监控:似运安全风险,但里的象是外部依

 

3)构建针对风险的自化响机制:似运安全风险,但置方式可能有所区,比如切换备用依而非直接pause整个协议

 

此外,于希望构建控能力的目方,我出一些控建

 

1)准确地控点:确定协议存在哪些关的状量)、在哪些位置需要控,是构建控能力的第一步。但控点的置很覆盖全面,特是在攻击监控方面,建采用外部专业第三方、经过实战检验的攻击检测引擎。

 

2)确保控的精准性和及性:控的精准性是指不能有太多的误报(FP)和漏(FN),缺乏精确性的控系统实质上是不可用的;及性是做出响的前提(比如能否在可疑合部署后、攻交易上检测到),否只能用于事后分析,这对监控系的性能和定有极高的要求。

 

3)需要自化响能力:基于精准和实时控可以构建自化的响,包括pause协议阻断攻等等。里需要有可定制、可靠的自化响框架支持,可根据目方的需求灵活地定制响策略并自发执行。

 

体而言,控能力的构建需有专业的外部安全供商参与建

 

OKX Web3 包安全团队:DeFi 目方面着多种风险,其中主要包括以下几

 

1)技术风险:主要包括智能合漏洞和网。防措施包括采用安全开发实践、聘请专业的第三方审计公司智能合约进行全面审计置漏洞划以激励白帽黑客发现漏洞,以及做好资产隔离来提高金的安全性等。

 

2)市场风险:主要包括包括价格波、流风险、市合性风险。防措施包括使用风险对冲防范价格波,利用流性挖动态费用机制应对风险审查DeFi协议支持的资产类型和使用去中心化言机防止市,并通新和协议功能来应对竞风险

 

3)运营风险:主要包括人为错误和治理机制风险。防措施包括建立格的内部控制和操作流程以减少人为错误生、使用自化工具提升操作效率,以及设计合理的治理机制,确保去中心化与安全性平衡,如引入投票延和多机制。并线目做好控和案,一旦出异常可以立即采取措施,将失降到最低。

 

4风险:法律合要求和反洗(AML)/了解你的客(KYC)义务。防措施包括聘法律顾问确保目符合法律和管要求、建立透明的合政策以及主动实施 AML 和 KYC 措施以提升用管机构的信任。

 

Q9:DeFi目方,如何判断并选择好的审计公司?

 

BlockSec安全团队:DeFi目方如何判断并选择好的审计公司,里有一些简单标准的可供参考:

 

1)是否审计过知名目:表明该审计公司被些知名目所可。

 

2审计过目是否被攻击过:固然从理上来讲审计并不能保100%的安全,但经验表明口碑良好的审计公司所审计的大部分目未曾有被攻击记录

 

3)通过过审计报告判断审计质量:审计报告是衡量审计公司专业程度的重要志,尤其是在同审计项目、同审计可作比的情况下,可重点关注漏洞发现量(危害程度)和数量等,漏洞发现是否通常被目方采

 

4专业审计公司的人构成,包括学和从背景等,系性的教育和从业经验对于确保审计质量有很大的帮助。 

 

最后,感大家看完OKX Web3包《安全特刊》目的第05期,当前我正在紧锣密鼓地准第06期内容,不有真的案例、风险识别有安全操作干,敬期待!

 

声明:

 

本文供参考,本文无意提供 (i) 投或投推荐;(ii) 购买、出售或持有数字资产的要或招;或 (iii) 财务、会、法律或税。 持有的数字资产(包括和 NFTs)涉及高风险,可能会大幅波,甚至得毫无价。您根据自己的财务状况仔交易或持有数字资产是否适合您。您自行负责了解和遵守当地的有关适用法律和法

 原文链接:https://m.bibiqing.com/news/detail/74024

声明:

1.资讯内容不构成投,投独立决策并自行承担风险

2.本文版权归属原作所有,代表作者本人点,不代表本平台点或立