手机版

DeFi暴雷事件频发,投资者如何看待合约审计?

2020-09-17 00:23:10 来源: Blocklike 百度搜索更多类似文章,点击进入>>>

  随着「Swap系」数量越来越多,DeFi 项目「暴雷」、「跑路」的事件也在增多。

DeFi暴雷事件频发,投资者如何看待合约审计?

  面对社区对于 DeFi 项目风险的担忧,很多项目方都选择了进行合约审计,或是为了自证清白,或是为了取信于投资人,有时,DeFi 项目进行合约审计,也被当做是一种利好来进行解读。

  这种方式似乎是有效的:在「寿司」Sushiswap 创始人被爆套现离场、项目控制权易主之后,一条关于「Sushiswap 项目智能合约审计工作进展顺利」的消息,让 Sushi 立刻展示出了小幅度涨幅,也让一部分投资者重获信心;在 JustSwap 连续三个项目均爆出漏洞、并被指项目方未做好详尽的测试和审计之后,Tron 官方挖矿项目 SUN 通过报告审计的消息,也让波场社区的热度再次增加。

  同时,也有一些平台因为出现漏洞而在审计上备受质疑,上周,就有投资人对新兴的「Swap 系」平台 Moonswap 提出了关于「发现有预挖」、「合约没有时间锁」、「平台出现多个 Bug」等问题,并对其审计做出质疑,引发社区关注。

  目前,MoonSwap 已于启动当天 18 点多已经加上了时间锁,慢雾安全团队发布了正式安全审计报告。

  当在我们看审计报告的时候,我们在看什么?作为 DeFi 参与者,合约审计能够真正给出哪些借鉴和参考?

  在面对这些问题的同时,Blocklike 还发现,对于审计能够起到的作用,有人作出了这样的总结:「代码可以审计,人性无法审计。」

  审计范围有限,合约风险暗藏

  DeFi 热潮之下,很多投资人的现状可能正如 Primitive Ventures 创始合伙人 Dovey 所描述的那样:「千万别问我 xxx 能不能挖。现在一个人全职帮我看新地,一个人全职帮我看项目,还有两个 trader 全职做交易(各种,包括农产品打理),还有各种内应外援程序员帮我看合约安全,我就是个确认钱包多签的机器人,现代化农业哪里有那么简单。」

  的确,合约安全是很多投资者都关心的话题。近期,为了给跟多投资者提示风险,社区就总结出了这样一份 DeFi 生态思维导图及风险点:

  1.合约风险,代码漏洞,未经审计,黑客攻击造成资产损失;

  2.私钥风险,没有多签的 DeFi 合约意味着掌握合约私钥的可以随意更改合约或者跑路;

  3.无常损失风险,例如流动性挖矿本身的无常损失,尤其是两种风险资产的流动性对收益高风险也高;

  4.交易摩擦风险,现在以太坊交易 Gas 费率极高,几个交易下来可能就要花费一个以太,散户的本金来回几次可能都不够折腾;

  5.操作失误风险,在转账过程中失误导致资产永久丢失,最近有几次大额转账失误 建议投资国外经过开源审计多签和社区民主自治的项目,仅供参考。

  从中看出,风险点之中首当其冲的便是「合约风险,代码漏洞,未经审计,黑客攻击造成资产损失」。从某种程度上讲,合约审计成为了把握合约风险的第一道门槛。

  到了 DeFi 这里,从投资者参与未经审计项目的情况与热度来看,很多人对于安全审计的含义并不明了。早在 Yam 启动之时,市场的 Fomo 情绪已经被带动起来,虽然 Yam 已经被声明了「未经审计」的、一周内写出来的合约,但其所受到的追捧仍让人咋舌。

  那么,作为 DeFi 投资者,该如何看待合约审计呢?

  Blocklike 从慢雾安全团队处了解到,目前,智能合约基础安全审计主要分为 ETH 部分(波场、币安智能链类似,都是基于 EVM)和 EOS 部分。其中,ETH 安全审计包含 13 个大类,EOS 安全审计包含 15 个大类。

  ETH 安全审计样例

  不过,由于 DeFi 整个安全模型上会更加复杂,慢雾安全团队将 DeFi 风险点分为了合约层与前端层两个部分:

  合约层:

  1.智能合约基础安全审计项,其中精度问题是个需要特别注意点;

  2.权限过大风险:铸币,授权迁徙;

本文标题:DeFi暴雷事件频发,投资者如何看待合约审计?
本文地址:https://www.zuanbi8.com/coin/news/1015954.html
风险提示 >>本站所提供资讯信息不代表任何投资暗示!
你可能感兴趣

其他人都在看