DeFi Risikomanagement-Leitfaden 02: Wie DeFi-Nutzer Risiken bewerten können

Diese Artikelreihe, die Auszüge aus der von OKX Web3 und BlockSec mitkuratierten „Security Special Edition 05“ enthält, befasst sich mit den Sicherheitsbedenken von DeFi-Nutzern und DeFi-Projektteams.

F1: Welche Kriterien oder Metriken können für eine vorläufige Bewertung der Sicherheit und des Risikoprofils eines DeFi-Projekts herangezogen werden?

BlockSec Security Team: Vor der Investition in ein DeFi-Projekt ist eine umfassende Sicherheitsbewertung des Projekts unerlässlich. Dies gilt insbesondere für Anleger mit größeren Kapitalbeträgen, da die notwendige Sorgfaltspflicht in Bezug auf die Sicherheit die Gelder in größtmöglichem Umfang schützen kann.

Erstens wird empfohlen, die Code-Sicherheit des Projekts umfassend zu bewerten, einschließlich der Frage, ob das Projekt von einer Prüfgesellschaft mit gutem Sicherheitsruf geprüft wurde, ob mehrere Prüfgesellschaften beteiligt waren und ob der neueste Code geprüft wurde. Im Allgemeinen wird das Risiko von Sicherheitsangriffen erheblich reduziert, wenn der online ausgeführte Code von mehreren seriösen Sicherheitsfirmen geprüft wurde.

Zweitens ist es wichtig zu prüfen, ob die Projektpartei ein Echtzeit-Sicherheitsüberwachungssystem implementiert hat. Sicherheitsprüfungen gewährleisten statische Sicherheit und können keine dynamischen Sicherheitsprobleme lösen, die nach der Live-Schaltung des Projekts auftreten. Zum Beispiel, wenn die Projektpartei betriebskritische Parameter des Projekts falsch anpasst oder neue Pools hinzufügt. Wenn die Projektpartei einige Echtzeit-Sicherheitsüberwachungssysteme eingeführt hat, ist ihr betriebliches Sicherheitsniveau höher als bei Protokollen, die keine solche Lösung übernommen haben.

Drittens ist die Fähigkeit des Projekts zur automatisierten Notfallreaktion zu prüfen, ein oft übersehener Aspekt. Wir haben beobachtet, dass bei zahlreichen Sicherheitsvorfällen Projekten automatische Notausschalter für kritische Funktionen fehlen. Die manuelle Bewältigung von Notfällen hat sich als ineffizient und manchmal unwirksam erwiesen.

Viertens ist die Abhängigkeit des Projekts von externen Komponenten und deren Robustheit genau zu prüfen. DeFi-Projekte sind oft auf Drittanbieterdaten wie Preisgestaltung und Liquidität angewiesen. Daher ist es notwendig, die Sicherheit des Projekts anhand der Anzahl der externen Abhängigkeiten, der Sicherheit der externen Abhängigkeitsprojekte und der Überwachung und Echtzeitverarbeitung von abnormalen Daten von externen Abhängigkeiten zu bewerten. Im Allgemeinen sind Projekte, die von erstklassigen Projekten abhängen und über Fehlertoleranz und Echtzeitverarbeitung von abnormalen Daten von externen Projekten verfügen, sicherer.

Fünftens ist die Frage, ob die Projektpartei über eine relativ gute Community-Governance-Struktur verfügt, entscheidend. Dazu gehört, ob die Projektpartei über einen Community-Abstimmungsmechanismus für wichtige Ereignisse verfügt, ob sensible Operationen mit Multi-Signatur abgeschlossen werden, ob neutrale Community-Teilnahme in Multi-Signatur-Wallets eingeführt wurde und ob es ein Community-Sicherheitskomitee gibt. Diese Governance-Strukturen können die Transparenz von Projekten verbessern und die Möglichkeit von Rugpulls für Benutzergelder verringern.

Schließlich ist auch die Geschichte der Projektpartei sehr wichtig. Es ist notwendig, eine Hintergrundprüfung des Projektteams und der Kernmitglieder durchzuführen. Wenn die Kernmitglieder der Projektpartei in früheren Projekten eine Geschichte von mehrfachen Angriffen oder Rugpulls haben, sind die Sicherheitsrisiken solcher Projekte relativ höher.

Zusammenfassend lässt sich sagen, dass Nutzer, insbesondere solche mit großen Kapitalbeträgen, vor der Teilnahme an DeFi-Projekten eigene Nachforschungen anstellen sollten, von der Code-Sicherheitsprüfung vor der Live-Schaltung des Projekts bis hin zum Aufbau von Echtzeit-Sicherheitsüberwachung und automatisierten Reaktionsfähigkeiten nach der Live-Schaltung des Projekts, um die Sicherheitsinvestitionen und die Sicherheit der Projektpartei zu prüfen und eine Due Diligence aus den Perspektiven externer Abhängigkeiten, der Governance-Struktur und der Geschichte der Projektpartei durchzuführen, um die Sicherheit der in das Projekt investierten Gelder zu gewährleisten.

OKX Web3 Wallet Security Team: Obwohl absolute Sicherheit in DeFi-Projekten nicht garantiert werden kann, können Nutzer ihre Sicherheits- und Risikoprofile anhand dieser Schlüsseldimensionen einschätzen.

1. Technische Sicherheit des Projekts:

• 1. Prüfen Sie, ob das Projekt von mehreren seriösen und erfahrenen Prüfgesellschaften geprüft wurde.
• 2. Überprüfen Sie die Anzahl und Schwere der in den Prüfberichten gemeldeten Probleme und stellen Sie sicher, dass alle behoben wurden.
• 3. Vergewissern Sie sich, dass der bereitgestellte Code mit der geprüften Version übereinstimmt.

2. Open-Source-Code:

• 1. Prüfen Sie, ob der Code des Projekts Open Source ist, was es der Community und Sicherheitsexperten ermöglicht, ihn zu überprüfen und potenzielle Sicherheitsprobleme zu finden.
• 2. Untersuchen Sie den Hintergrund des Entwicklungsteams, seine Erfahrung in Blockchain und Sicherheit sowie den Grad der Transparenz und der öffentlich verfügbaren Informationen über das Team.
• 3. Bug Bounty: Achten Sie auf das Vorhandensein eines Bug-Bounty-Programms, um Sicherheitsforscher zu motivieren, Schwachstellen zu melden.

3. Finanzielle und wirtschaftliche Sicherheit:

• 1. Gesperrte Gelder: Untersuchen Sie die in Smart Contracts gesperrte Geldmenge, da höhere Beträge auf größeres Vertrauen in das Projekt hindeuten können.
• 2. Handelsvolumen und Liquidität: Bewerten Sie das Handelsvolumen und die Liquidität des Projekts; geringe Liquidität kann das Risiko von Preismanipulationen erhöhen.
• 3. Token-Wirtschaftsmodell: Bewerten Sie die Tokenomics, einschließlich Token-Verteilung, Anreizmechanismen und Inflationsmodelle, und prüfen Sie unter anderem übermäßig konzentrierte Token-Bestände.

4. Operative und Management-Sicherheit:

• 1. Governance-Mechanismen: Verstehen Sie die Governance-Struktur des Projekts, ob es dezentrale Governance gibt und ob die Community über wichtige Entscheidungen abstimmen kann. Analysieren Sie die Verteilung der Governance-Tokens und die Konzentration der Stimmkraft.
• 2. Risikomanagementmaßnahmen: Stellen Sie fest, ob das Projekt über Risikomanagementmaßnahmen und Notfallpläne zur Bewältigung potenzieller Sicherheitsbedrohungen und wirtschaftlicher Angriffe verfügt. Berücksichtigen Sie auch die Transparenz des Projekts und die Kommunikation mit der Community, wie z. B. regelmäßige Fortschrittsberichte, Sicherheitsaktualisierungen und proaktive Interaktion mit der Community.

5. Markt- und Community-Wahrnehmung:

• 1. Community-Engagement: Bewerten Sie die Aktivität der Community und die Nutzerbasis des Projekts; eine aktive Community deutet oft auf breite Unterstützung für das Projekt hin.
• 2. Medien- und Social-Media-Stimmung: Analysieren Sie die Rezeption des Projekts in den Medien und sozialen Medien, um die Perspektiven von Nutzern und Branchenexperten zu verstehen.
• 3. Partnerschaften und Investoren: Prüfen Sie, ob das Projekt Unterstützung von bekannten Partnern und Investoren hat, was dem Projekt Glaubwürdigkeit verleihen kann, aber nicht das alleinige Kriterium für seine Sicherheit sein sollte.

F2: Wie sollten Nutzer Prüfberichte und den Open-Source-Status usw. überprüfen?

BlockSec Security Team: Bei geprüften Projekten teilt das Projektteam Prüfberichte in der Regel offen über offizielle Kanäle mit. Diese Prüfberichte finden sich üblicherweise in der Projektdokumentation, in Github-Code-Repositories und auf anderen Kanälen. Darüber hinaus ist es notwendig, die Authentizität der Prüfberichte zu überprüfen, einschließlich der Überprüfung der digitalen Signatur des Prüfberichts und der Kontaktaufnahme mit der Prüfgesellschaft zur sekundären Bestätigung.

Wie sollten Investoren solche Prüfberichte also lesen, sobald sie sie erhalten haben?

Erstens prüfen Sie, ob der Prüfbericht von Sicherheitsfirmen mit hohem Ruf, wie z. B. BlockSec, OpenZeppelin, Trail of Bits und anderen führenden Prüfgesellschaften, geprüft wurde.

Zweitens prüfen Sie, ob die im Prüfbericht genannten Probleme behoben wurden, und falls nicht, bewerten Sie die Begründungen des Projekts. Unterscheiden Sie zwischen gültigen und ungültigen Schwachstellen, da die Prüfstandards je nach Firma variieren. Priorisieren Sie gültige Erkenntnisse und erwägen Sie die Beauftragung eigener Sicherheitsexperten für eine unabhängige Überprüfung.

Drittens stellen Sie sicher, dass die zeitliche Einordnung des Prüfberichts mit den aktuellen Projektaktualisierungen übereinstimmt. Überprüfen Sie, ob die Prüfung den gesamten aktuellen Online-Code umfasst, da Projekte aus Kostengründen oft nur Teile prüfen. Konzentrieren Sie sich darauf, ob der Kernprotokollcode in die Prüfung einbezogen wurde.

Viertens stellen Sie sicher, dass die zeitliche Einordnung des Prüfberichts mit den aktuellen Projektaktualisierungen übereinstimmt. Überprüfen Sie, ob die Prüfung den gesamten aktuellen Online-Code umfasst, da Projekte aus Kostengründen oft nur Teile prüfen. Konzentrieren Sie sich darauf, ob der Kernprotokollcode in die Prüfung einbezogen wurde.

Fünftens bestätigen Sie, ob der Online-Code des Projekts Open Source ist und dem Prüfbericht entspricht. Normalerweise werden Audits für Github-Code durchgeführt, nicht für die bereitgestellte Version. Wenn der bereitgestellte Code nicht Open Source ist oder erheblich vom geprüften Code abweicht, verdient diese Abweichung besondere Aufmerksamkeit.

Zusammenfassend lässt sich sagen, dass das Lesen von Prüfberichten eine hochprofessionelle Aufgabe ist, und es wird empfohlen, unabhängige Sicherheitsexperten Dritter einzuschalten, um während des Prozesses beratende Meinungen abzugeben.

OKX Web3 Wallet Security Team: Nutzer können auf die Smart-Contract-Prüfberichte und den Open-Source-Status von DeFi-Projekten über offizielle oder Drittplattformen wie OKLink zugreifen. Übliche Schritte zur Überprüfung sind:

Erstens suchen Sie nach offiziellen Ankündigungen oder Websites. Die meisten vertrauenswürdigen DeFi-Projekte stellen ihre relevanten Dokumentationsinformationen auf ihrer offiziellen Website bereit. Auf der Dokumentationsseite des Projekts gibt es normalerweise einen Link zum Prüfbericht und zur vom Projekt bereitgestellten Vertragsadresse unter „Sicherheit“, „Prüfung“ oder „Vertragsadresse“. Zusätzlich zur offiziellen Website des Projektanbieters werden die Informationen zum Prüfbericht und zur bereitgestellten Vertragsadresse normalerweise auf offiziellen sozialen Medien wie Medium, Twitter usw. angezeigt.

Zweitens können Sie nach dem Lesen der offiziellen Website des Projektanbieters den OKLink-Browser verwenden, um die vom Projektanbieter bereitgestellten Vertragsadressinformationen abzufragen und die Open-Source-Codeinformationen des an dieser Adresse bereitgestellten Vertrags in der Spalte „Vertrag“ anzuzeigen.

Drittens können Sie nach Erhalt des Prüfberichts und der Open-Source-Codeinformationen des bereitgestellten Vertrags mit dem Lesen des Prüfberichts beginnen. Achten Sie beim Lesen des Prüfberichts auf folgende Punkte:

• 1. Verstehen Sie die Struktur des Prüfberichts und gewinnen Sie einen Gesamtüberblick über den Inhalt des Prüfberichts. Der Prüfbericht ist grob in Einleitung, Gefundene Probleme, Lösungen und Empfehlungen sowie Prüfungsergebnisse unterteilt.
• 2. Beim Lesen der Einleitung müssen wir auf den Umfang und die Ziele des Prüfberichts achten. Der Prüfbericht markiert normalerweise die Github Commit ID der geprüften Dateien, und wir müssen vergleichen, ob die im Prüfbericht geprüften Dateien mit dem Open-Source-Code, der auf der Kette bereitgestellt wird, übereinstimmen.
• 3. Bei der Überprüfung der „Gefundenen Probleme“, „Lösungen und Empfehlungen“ und „Prüfungsergebnisse“ stellen Sie sicher, dass das Projektteam Schwachstellen gemäß den Empfehlungen behoben hat und Folgeprüfungen durchgeführt hat, um zu bestätigen, dass alle Probleme behoben sind.
• 4. Vergleichen Sie mehrere Berichte. Vergleichen Sie bei Projekten mit mehreren Prüfungen die Berichte, um die Sicherheitsverbesserungen des Projekts zu verfolgen.

F3: Welche Bedeutung haben Hacking-Vergangenheit und Bug-Bounty-Programme bei der Bewertung der Sicherheit von DeFi-Projekten?

OKX Web3 Wallet Security Team: Die Hacking-Vergangenheit und Bug-Bounty-Programme bieten einen gewissen Referenzwert für die Sicherheitsbewertung von DeFi-Projekten, der sich hauptsächlich in folgenden Aspekten widerspiegelt:

Erstens: die Geschichte von Hackerangriffen

• 1. Offenlegung historischer Schwachstellen: Die Angriffsgeschichte kann die spezifischen Sicherheitsschwachstellen aufzeigen, die das Projekt in der Vergangenheit hatte, und den Nutzern ermöglichen zu verstehen, welche Sicherheitsprobleme ausgenutzt wurden und ob diese Probleme vollständig behoben wurden.
• 2. Bewertung der Risikomanagementfähigkeiten: Wie das Projekt auf historische Sicherheitsvorfälle reagiert, kann seine Fähigkeit zum Risikomanagement und zur Bewältigung von Krisen widerspiegeln. Ein Projekt, das positiv reagiert, Schwachstellen rechtzeitig behebt und betroffene Nutzer entschädigt, wird im Allgemeinen als zuverlässigere und reifere Investitionsmöglichkeit angesehen.
• 3. Reputation des Projekts: Häufige Sicherheitsprobleme können das Vertrauen der Nutzer in das Projekt schmälern, aber wenn das Projekt zeigen kann, dass es aus Fehlern lernt und seine Sicherheitsmaßnahmen verstärkt, kann dies auch seinen langfristigen Ruf stärken.

Zweitens: Bug-Bounty-Programme

Die Implementierung von Bug-Bounty-Programmen in DeFi und anderen Softwareprojekten ist eine wichtige Strategie zur Verbesserung der Sicherheit und zur Aufdeckung potenzieller Schwachstellen. Diese Programme bieten in mehrfacher Hinsicht einen Referenzwert für die Sicherheitsbewertung von Projekten:

• 1. Verbesserung externer Prüfungen: Bug-Bounty-Programme ermutigen Sicherheitsexperten weltweit, an der Sicherheitsprüfung von Projekten teilzunehmen. Dieser „Crowdsourcing“-Ansatz zum Sicherheitstest kann Probleme aufzeigen, die interne Prüfungen übersehen, und somit die Wahrscheinlichkeit erhöhen, potenzielle Schwachstellen aufzudecken und zu beheben.
• 2. Überprüfung der Wirksamkeit von Sicherheitsmaßnahmen: Durch Bug-Bounty-Programme können Projekte die Wirksamkeit ihrer Sicherheitsmaßnahmen in der Praxis testen. Wenn das Bug-Bounty-Programm eines Projekts lange läuft, aber nur wenige schwerwiegende Schwachstellen gemeldet werden, kann dies ein Indikator dafür sein, dass das Projekt relativ ausgereift und sicher ist.
• 3. Kontinuierliche Sicherheitsverbesserung: Bug-Bounty-Programme bieten einen Mechanismus zur kontinuierlichen Verbesserung. Mit dem Aufkommen neuer Technologien und Angriffsmethoden helfen Bug-Bounty-Programme den Projektteams, ihre Sicherheitsmaßnahmen rechtzeitig zu aktualisieren und zu stärken, um sicherzustellen, dass das Projekt den neuesten Sicherheitsherausforderungen gewachsen ist.
• 4. Aufbau einer Sicherheitskultur: Ob ein Projekt über ein Bug-Bounty-Programm verfügt und wie ernst und aktiv dieses Programm ist, kann die Haltung des Projektteams zur Sicherheit widerspiegeln. Ein aktives Bug-Bounty-Programm zeigt das Engagement des Projekts für den Aufbau einer soliden Sicherheitskultur.
• 5. Stärkung des Vertrauens von Community und Investoren: Die Existenz und Wirksamkeit eines Bug-Bounty-Programms kann der Community und potenziellen Investoren die Betonung der Sicherheit durch das Projekt beweisen. Dies kann nicht nur das Nutzervertrauen stärken, sondern möglicherweise auch mehr Investitionen anziehen, da Investoren dazu neigen, Projekte zu wählen, die ein hohes Maß an Sicherheitsverantwortung zeigen.