4. 交易摩擦风险，现在以太坊交易 Gas 费率极高，几个交易下来可能就要花费一个以太，散户的本金来回几次可能都不够折腾

5. 操作失误风险，在转账过程中失误导致资产永久丢失，最近有几次大额转账失误 建议投资国外经过开源审计多签和社区民主自治的项目，仅供参考。

从中看出，风险点之中首当其冲的便是「 合约风险，代码漏洞，未经审计，黑客攻击造成资产损失」。从某种程度上讲，合约审计成为了把握合约风险的第一道门槛。

到了 DeFi 这里，从投资者参与未经审计项目的情况与热度来看，很多人对于安全审计的含义并不明了。早在 Yam 启动之时，市场的 Fomo 情绪已经被带动起来，虽然 Yam 已经被声明了「未经审计」的、一周内写出来的合约，但其所受到的追捧仍让人咋舌。

那么，作为 DeFi 投资者，该如何看待合约审计呢？

Blocklike 从慢雾安全团队处了解到，目前，智能合约基础安全审计主要分为 ETH 部分（波场、币安智能链类似，都是基于 EVM）和 EOS 部分。其中，ETH 安全审计包含 13 个大类，EOS 安全审计包含 15 个大类。

ETH 安全审计样例

不过，由于 DeFi 整个安全模型上会更加复杂，慢雾安全团队将 DeFi 风险点分为了合约层与前端层两个部分：

合约层：

1. 智能合约基础安全审计项，其中精度问题是个需要特别注意点

2. 权限过大风险：铸币，授权迁徙

3. 经济模型风险：预挖、团队分配及用途

4. 同链平台迁移风险

5. 新增池风险：添加恶意 Token 薅奖励

6. 合约直接收到打币风险

7. 代币兼容性风险：通缩型代币，777 代币

8. DoS 风险 : 循环递归，恶意合约拒绝接受以太币

9. 治理合约风险 : 治理投票双花 , 治理垄断风险

10. 链平台迁移风险：各链之间兼容 EVM 的方式可能不一致

11. 闪电贷攻击风险：通过闪电贷对系统稳定性造成影响 (暂定)

12. 预言机操控风险

13. 借贷清算风险：全部清算、部分清算、无人清算、竞价清算

前端层：

1. 精度风险

2. 中间人攻击风险，如替换合约地址

3. 合约替换风险

4. 授权钓鱼风险

5. Gas Limit 限制风险

「这些确实普通用户很难去一一理解」，慢雾安全团队进一步解释道：「但普通用户可以简单理解为：DeFi 通过安全审计后，用户参与进去被安全审计的智能合约里的本金是安全的。至于因为参与 DeFi 导致的炒币经济亏损或在非合约层面导致的亏损，都不在智能合约安全审计范围。」 (责任编辑：admin1)