织梦CMS - 轻松建站从此开始!

我的网站

当前位置: 主页 > 竞争币 > 以太坊

合约审计入门指南:DeFi 参与者该如何看审计报告? (3)

时间:2020-09-17 17:57来源:未知 作者:admin 点击:
需要注意的是,根据安全团队的解读,一个完整的 DeFi = 智能合约 + 前端页面。 这即是说,在智能合约安全审计后,还会存在几个风险:第一,安全审计可

需要注意的是,根据安全团队的解读,一个完整的 DeFi = 智能合约 + 前端页面。

这即是说,在智能合约安全审计后,还会存在几个风险:第一,安全审计可能都没发现的漏洞或新型攻击方式;第二,智能合约可升级或可篡改,如何让可升级或可篡改成为不可能或有效可信的社区治理行为;第三,随着项目方的发展,智能合约会增加新的,如新池子、新功能模块,需要注意看智能合约安全审计报告明确审计的是哪些。

由于前端页面属于中心化内容,如果前端出 Bug 或漏洞或作恶,实际上危害可能会更直接更大。这个不仅是安全审计机构可以去审计的事(实际上也很难),还是社区监督的事。

而到了 EOS 安全审计上,情况便又有所不同了。

虎符创始人王瑞锡就曾公开表示:「EOS 的合约特性是可修改,大家要看清楚,不要盲目相信审计了。因为目前大多数 EOS 上的合约都没有开源。审计了没开源和没审计是一样的。出了问题审计还背锅,得不偿失。」

对于 EOS 上的智能合约,慢雾安全团队补充道:「如果项目方 Owner 权限已进行多签,需要项目方与至少 2 个可信方共同多签进行合约更新或者转账等操作,且 active 权限已删除项目方私钥权限。就可以比较好控制 EOS 智能合约项目方权限过大问题。」

因此,即便是通过了安全审计的 DeFi 项目,投资者仍然需要仔细甄别,注意风险。

投资人该如何参考?

根据工作经验,慢雾安全团队也对投资者们提出了一些建议:「智能合约安全审计虽然不是银弹,但有总比裸奔好,职业的安全审计机构会大大降低 DeFi 风险;切记不要进入到钓鱼网站,乱授权会导致本金归零;即使去投资被多家安全审计机构审计过的 DeFi,也做好黑天鹅爆发可能性,切勿沉迷;用靠谱的环境去玩靠谱的 DeFi,靠谱环境指(电脑是安全的、浏览器是安全的、手机是安全,使用的钱包是知名的、使用的网络是安全的等);不要把所有资金放到一个篮子里,分散安全管理很重要。」

成都链安智能合约安全负责人对 Blocklike 总结道:「从成都链安的经验来看,合约审计的目的主要是检查代码规范性 、常规漏洞(主要指一般的 Bug,如数据显示错误等)、安全漏洞(比如溢出、重入等常规的安全漏洞)、业务逻辑漏洞。主要排除的风险主要在于两点,减少遭受黑客攻击的可能性、减少因代码导致的业务无法按预期正常运转(比如 Yam 事件)。」

「审计报告会指出业务逻辑和功能描述等,可以对比看看项目方宣传与功能是否对的上;审计报告也会描述权限相关,普通投资者可以根据描述的权限,看看项目方是否有跑路的能力,比如项目方有权利将合约中的钱全部转走等,或者可以控制某些关键参数,变相控制用户资金」,成都链安提出建议。

而目前可以看到的现状是,DeFi 大热导致了很多项目方过于急切,现在明显是安全审计机构远远忙不过来的状况,这对于用户来说不是个好事。由于不少用户缺乏安全意识,即使一个 DeFi 没有通过安全审计,也可能有大量用户直接涌入。

Blocklike 提示各位投资者,在参与 DeFi 项目的同时,注意智能合约安全问题,进行投资时,本金安全作为第一重要的评估参数来看待,面对庞大的参与资金,黑客们可比普通投资者更狂热。

毕竟,早在 8 月中旬,就已经有社区声音对热情的投资者们灵魂发问:「你们想过吗,这些形形色色的 DeFi 项目真是出了问题,维权横幅上面你要印谁的名字?」

 

(责任编辑:admin1)
织梦二维码生成器
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
栏目列表
推荐内容