Preguntas que los usuarios de DeFi deben hacer a los desarrolladores

En los últimos meses, el ecosistema DeFi ha experimentado una gran agitación. Bajo varios ataques, también se han reportado muchas fallas sin explotar.

Aunque es inevitable que haya errores en el código, todavía hay muchas formas de reducir la frecuencia de los defectos y reducir el impacto negativo de los mismos.

Como auditor, queremos ayudar a los usuarios de DeFi a hacer algunas preguntas difíciles; el propósito de hacer estas preguntas, por un lado, es hacer que los desarrolladores consideren seriamente la prioridad de la seguridad del sistema y, por otro lado, permitir que los usuarios distingan las respuestas Consiga buenas ofertas e invierta dinero en esas ofertas.

Las siguientes preguntas pueden ayudar a los usuarios a comprender la posición del equipo de desarrollo de DeFi sobre la seguridad. Las respuestas no son necesariamente correctas o incorrectas, y no todos los equipos (o desarrolladores independientes) tienen los recursos para considerar completamente todos los aspectos. Pero en todo caso, los usuarios tienen derecho a conocer esta información para decidir los riesgos que están dispuestos a asumir.

La billetera DeFi Ambire se integra para admitir la plataforma de contratos inteligentes Moonbeam Network: el 22 de marzo, la billetera DeFi Ambire se integró para admitir la plataforma de contratos inteligentes Moonbeam Network, los usuarios pueden usar Ambire para enviar o recibir criptomonedas en Moonbeam y Moonriver, conectarse y usar según Protocolo Moonbeam/Moonriver DeFi. [2022/3/22 14:10:08]

Esperamos que las siguientes preguntas susciten debates más positivos en el futuro.

Permisos de administrador

La mayoría de los protocolos DeFi convencionales tienen algunos mecanismos centralizados que permiten que direcciones específicas de "administrador" intervengan en la operación del protocolo de manera sólida.

Hay beneficios de seguridad al hacer esto, pero significa que debe confiar en que estos "administradores" no abusarán de sus privilegios, y si estos administradores son pirateados, las consecuencias de la filtración de sus claves privadas serán aún peores.

Las cuentas de administrador pueden tomar la forma de una sola dirección, una billetera de múltiples firmas o un proceso de votación administrado por un DAO. Asi que,

La comunidad de análisis de DeFi UniWhales recauda 2,2 millones de dólares: Jinse Finance informó que la comunidad de análisis de DeFi UniWhales anunció el martes que ha recaudado 2,2 millones de dólares como parte de un esfuerzo más amplio para la transición a una organización autónoma descentralizada (DAO). Signum Capital lideró la ronda, junto con Hyper Chain Capital, Faculty Capital, Impossible Finance y Double Peak Capital. La mayoría de los fondos se utilizarán para ayudar a agregar miembros del equipo para construir el DAO y desarrollar nuevos productos. [2021/9/1 22:50:27]

1. ¿Qué acciones pueden tomar los administradores?

¿Suspender todo el sistema?

¿Cambiar el saldo de la cuenta?

¿Establecer lista blanca/lista negra de tokens/usuarios?

¿Actualizar un subsistema?

¿Actualizar todo el sistema? (equivalente a todopoderoso...)

¿Otros permisos?

2. Si se realizan las acciones anteriores, ¿existe algún mecanismo de ejecución diferida?

El aumento promedio del sector del concepto DeFi hoy es del 4,72 %: las cotizaciones de Jinse Finance muestran que el aumento promedio del sector del concepto DeFi hoy es del 4,72 %. Entre las 47 monedas, 36 subieron y 11 bajaron, entre las cuales las principales fueron: KCASH (+57,50%), AKRO (+31,85%) y AST (+23,76%). Las principales divisas son: HOT (-4,95%), HDAO (-3,12%), JST (-2,54%). [2020/12/4 23:03:44]

3. Si hay un tiempo de retraso, ¿cuánto tiempo es?

4. ¿Cuántas personas tienen privilegios de administrador?

5. ¿Cuánto consentimiento del administrador se requiere antes de realizar las acciones anteriores?

6. ¿Qué permisos controla el programa de gobernanza en cadena (es decir, DAO)?

7. ¿Dónde me dirijo para conocer las propuestas de actualización del protocolo?

Las respuestas a algunas de las preguntas anteriores ya se pueden rastrear a través de DefiWatch.

Dependencias externas

Debido a que es una red abierta, Ethereum está lleno de atacantes con intenciones maliciosas, por lo que los desarrolladores no pueden asumir qué tipo de comportamiento tendrán los contratos fuera del sistema. Pero en muchas aplicaciones DeFi, se debe hacer tal suposición, porque el servicio en sí se construye sobre algunos contratos existentes.

Weiss Ratings: Todos los préstamos DeFi están sobre-colateralizados: Golden Finance informó que Weiss Crypto Ratings tuiteó que todos los préstamos DeFi todavía están sobre-colateralizados, lo que significa que los activos que deben hipotecarse están más garantizados que los prestados. Este es un asesino de transacciones para la mayoría de los usuarios y una de las razones por las que no hemos visto muchos casos de uso de DeFi. [2020/9/16]

Estas preguntas pueden ayudar a los usuarios a comprender los riesgos de las dependencias externas del proyecto.

1. ¿En qué oráculo (Oracle) se basa su sistema?

2. ¿De qué intercambios depende su sistema?

3. ¿Qué contratos inteligentes de terceros (por ejemplo, OpenZeppelin) usó para construir el sistema?

4. ¿Qué tokens admite su sistema y cuál espera que sea el comportamiento de estos tokens (contratos)?

Sistema de divulgación sólido y programa de recompensas.

Para los hackers talentosos, atacar los protocolos DeFi tiene un fuerte incentivo financiero para ellos. Tener un programa de recompensas incentiva la búsqueda y exposición de errores, en lugar de explotarlos. Para los hackers de sombrero blanco, exponer las vulnerabilidades del código a través del sistema de incentivos también es una buena manera de mejorar su propia reputación, tanto beneficiosa como ilegal.

Cualquier empresa que ejecute un protocolo DeFi, o un negocio que implique alojar dinero en línea, debe tener un sistema de recompensas. Aquí hay algunas preguntas que puede hacer sobre su programa de recompensas y el proceso de divulgación:

1. ¿Todos pueden ver su código de contrato?

2. ¿Es fácil encontrar información de contacto segura en su sitio web y en el repositorio de Git?

3. ¿Tiene su contrato un plan de recompensas?

4. ¿Qué contratos están incluidos en el plan de recompensas?

5. ¿Cuál es el monto específico del plan de recompensas?

6. ¿Alguna vez ha pagado bonos de su esquema de recompensas?

7. ¿Alguna vez te has negado a pagar por un informe de error?

8. Desde su sitio web y repositorio git, ¿es fácil encontrar los detalles del programa de recompensas?

Idealmente, esta información debe colocarse en la página "website.com/security" y puede usarse con la función SECURITY.md de Github.

Plan de Emergencia

Ante ciertas emergencias de seguridad, las nuevas noticias inundan como un torrente, y los usuarios siguen haciendo preguntas difíciles en Twitter, Telegram, Discord... En este momento, es difícil para los desarrolladores lidiar con una emergencia claramente.

Entonces, si hay un plan de contingencia, puede probar que el proyecto se está moviendo en una dirección segura. Puede que no sea realista pedir a los proyectos que revelen sus planes completos, pero aún podemos hacer las siguientes preguntas básicas para comprender:

1. ¿Tiene un esquema del plan para hacer frente a las emergencias?

2. ¿A qué emergencias se aplica su plan de emergencia?

3. Si su sistema es actualizable, ¿están documentados estos pasos de actualización?

4. Si encuentra una laguna en el sistema que puede poner en riesgo los fondos, ¿puede proteger los fondos de manera preventiva a través de planes de emergencia?

Auditoría y Desarrollo de Seguridad

La auditoría no es una panacea, y el contenido de la auditoría siempre es más o menos diferente, pero la auditoría es un paso crucial antes de implementar cualquier contrato DeFi.

Las siguientes preguntas no necesariamente tienen "respuestas correctas", pero los miembros informados de la comunidad deberían poder ver la postura del equipo de desarrollo sobre la seguridad a partir de las respuestas del proyecto.

1. ¿Cuándo fue su última auditoría?

2. ¿Cuánta energía se invirtió en esta auditoría (una hora por desarrollador de estándares)?

3. ¿Qué agencia realizó la auditoría?

4. ¿Es público el informe de auditoría?

5. ¿Hay alguna parte de su sistema que no haya sido cubierta por la auditoría?

6. ¿Ha actualizado el contrato desde la última auditoría? Si es así, ¿qué se actualizó?

7. ¿Tiene una cooperación a largo plazo con algún equipo de seguridad?

8. ¿Los desarrolladores revisan el código entre ellos (al menos los archivos de Solidity) antes de fusionar el código?

9. En su código de contrato, ¿cuál es la proporción de pruebas unitarias?

10. Durante el proceso de auditoría, ¿ha utilizado otras herramientas de análisis de seguridad?

Tags：

FTT