本系列文章节选自 OKX Web3 与 BlockSec 联合策划的《安全特刊 05》,旨在探讨 DeFi 用户和 DeFi 项目团队面临的安全挑战。
Q1:在初步评估 DeFi 项目的安全性和风险状况时,可以采用哪些标准或指标?
**BlockSec 安全团队:**在投资 DeFi 项目之前,对项目进行全面的安全评估至关重要。对于资金量较大的参与者来说尤其如此,因为在安全方面的尽职调查可以最大程度地确保资金安全。
首先,建议对项目的代码安全性进行全面评估,包括项目是否由信誉良好的安全审计公司进行审计,是否有多家审计公司参与,以及最新代码是否经过审计。总的来说,如果在线运行的代码经过多家信誉良好的安全公司审计,将大大降低安全攻击的风险。
其次,要看项目方是否部署了实时的安全监控系统。安全审计确保了静态安全,但无法解决项目上线后的动态安全问题。例如,项目方不当调整了项目的关键运营参数或添加了新的资金池。如果项目方采用了一些实时安全监控系统,其运营安全级别将高于未采用此类解决方案的协议。
第三,评估项目自动化应急响应能力,这是一个经常被忽视的方面。我们观察到,在许多安全事件中,项目都缺乏关键功能自动熔断机制。手动处理紧急情况已被证明效率低下,有时甚至无效。
第四,仔细审查项目对外部依赖项的依赖程度及其稳健性。DeFi 项目通常依赖第三方数据,如定价和流动性。因此,有必要从外部依赖项的数量、外部依赖项目本身的安全性以及是否有对外部依赖项异常数据的监控和实时处理等方面来评估项目的安全性。总的来说,依赖于顶级项目并具备容错和实时处理外部项目异常数据能力的项目会更安全。
第五,项目方是否拥有相对良好的社区治理结构至关重要。这包括项目方在重大事件上是否设有社区投票机制,敏感操作是否通过多重签名完成,多重签名钱包是否引入了中立的社区参与,以及是否有社区安全委员会等。这些治理结构可以提高项目的透明度,并降低用户资金被项目方“跑路”的可能性。
最后,项目方的历史记录也非常重要。需要对项目团队和核心成员进行背景调查。如果项目方核心成员在之前的项目中存在多次攻击或“跑路”的历史,那么这类项目的安全风险相对较高。
总而言之,在参与 DeFi 项目之前,用户,特别是资金量较大的用户,应做好功课,从项目上线前的代码安全审计,到上线后的实时安全监控和自动化响应能力的构建,考察项目方的安全投入和安全性,并从外部依赖、治理结构、项目方历史等角度进行尽职调查,以确保投入到项目中的资金安全。
OKX Web3 Wallet 安全团队: 虽然 DeFi 项目的绝对安全无法保证,但用户可以通过考虑以下关键维度来评估其安全性和风险状况。
-
项目技术安全:
- 1)检查项目是否经过多家信誉良好且经验丰富的审计公司审计。
- 2)审查审计报告中报告的问题数量和严重程度,并确保所有问题都已得到解决。
- 3)验证部署的代码是否与审计版本匹配。
-
开源代码:
- 1)确定项目的代码是否开源,允许社区和安全专家进行审查并发现潜在的安全问题。
- 2)调查开发团队的背景、他们在区块链和安全领域的经验,以及关于团队的透明度和公开信息的可获得程度。
- 3)赏金计划:查看是否存在赏金计划,以激励安全研究人员报告漏洞。
-
财务和经济安全:
- 1)锁定资金:检查智能合约中锁定的资金量,较高的金额可能表明对项目的信任度更高。
- 2)交易量和流动性:评估项目的交易量和流动性;低流动性可能会增加价格操纵的风险。
- 3)代币经济模型:评估代币经济学,包括代币分配、激励机制和通胀模型,并检查代币持有是否过于集中等。
-
运营和管理安全:
- 1)治理机制:了解项目的治理结构,是否具有去中心化治理,社区是否能对重要决策进行投票。分析治理代币的分配和投票权集中度。
- 2)风险管理措施:确定项目是否制定了风险管理措施和应急计划,以应对潜在的安全威胁和经济攻击。同时,考虑项目的透明度和社区沟通,例如定期的进度报告、安全更新以及与社区的积极互动。
-
市场和社区认知:
- 1)社区参与:评估项目的社区活跃度和用户基础;活跃的社区通常表明项目获得了广泛支持。
- 2)媒体和社交媒体情绪:分析项目在媒体和社交媒体上的反响,以了解用户和行业专家的观点。
- 3)合作伙伴和投资者:审查项目是否得到知名合作伙伴和投资者的支持,这可以为项目增加信誉,但不应是其安全性的唯一决定因素。
Q2:用户应如何审查审计报告和开源状态等信息?
**BlockSec 安全团队:**对于经过审计的项目,项目方通常会通过官方渠道公开分享审计报告。这些审计报告通常可以在项目方的文档、Github 代码库和其他渠道找到。此外,还需要核实审计报告的真实性,包括检查审计报告的数字签名,并联系审计公司进行二次确认。
那么,一旦投资者拿到审计报告,应该如何阅读呢?
首先,检查审计报告是否由 BlockSec、OpenZeppelin、Trail of Bits 等知名安全公司审计。
其次,检查审计报告中提到的问题是否已修复,如果未修复,评估项目的理由。区分有效和无效的漏洞,因为不同公司的审计标准各不相同。优先考虑有效发现,并考虑聘请自己的安全专家进行独立审查。
第三,确保审计报告的时间与项目最近的更新相符。验证审计是否涵盖了所有当前在线的代码,因为项目方出于成本考虑,通常只审计部分代码。重点关注核心协议代码是否包含在审计范围内。
第四,确保审计报告的时间与项目最近的更新相符。验证审计是否涵盖了所有当前在线的代码,因为项目方出于成本考虑,通常只审计部分代码。重点关注核心协议代码是否包含在审计范围内。
第五,确认项目的在线代码是否开源,并且与审计报告匹配。通常,审计是在 Github 代码上进行的,而不是部署的版本。如果部署的代码未开源或与审计代码存在显著偏差,这种差异需要密切关注。
总而言之,阅读审计报告是一项高度专业化的任务,建议在此过程中引入独立的第三方安全专家提供咨询意见。
OKX Web3 Wallet 安全团队: 用户可以通过 OKLink 等官方或第三方平台访问 DeFi 项目的智能合约审计报告和开源状态。审查这些信息的常见步骤包括:
首先,查找官方公告或网站。大多数值得信赖的 DeFi 项目会在其官方网站上展示相关的文档信息。在项目文档页面,“安全”、“审计”或“合约地址”等板块通常会有指向审计报告和项目方部署的合约地址的链接。除了项目方官方网站,它们通常还会在 Medium、Twitter 等官方社交媒体上发布审计报告和部署的合约地址信息。
其次,在阅读了项目方的官方网站后,可以使用 OKLink 浏览器查询项目方提供的合约地址信息,并在“合约”栏查看该地址已部署合约的开源代码信息。
第三,在获取项目方的审计报告和已部署合约的开源代码信息后,就可以开始阅读项目方的审计报告了。阅读审计报告时,请注意以下几点:
- 1)了解审计报告的结构,并对审计报告的内容有一个整体的概念。审计报告大致分为引言、发现的问题、解决方案和建议以及审计结果。
- 2)在阅读引言时,我们需要关注审计报告的范围和目标。审计报告通常会标记审计文件的 Github Commit ID,我们需要比较审计报告中审计的文件是否与链上部署的开源代码一致。
- 3)在审查“发现的问题”、“解决方案和建议”以及“审计结果”时,确保项目团队已根据建议解决了漏洞,并进行了后续审计以确认所有问题都已解决。
- 4)比较多个报告。对于有多个审计的项目,比较报告以跟踪项目的安全改进。
Q3:在评估 DeFi 项目的安全性时,黑客历史和赏金计划的重要性是什么?
**OKX Web3 Wallet 安全团队:**黑客历史和赏金计划对 DeFi 项目的安全性评估具有一定的参考价值,主要体现在以下几个方面:
首先,黑客攻击历史
- 1)揭示历史漏洞:攻击历史可以展示项目过去存在的具体安全漏洞,让用户了解哪些安全问题被利用过,以及这些问题是否已被彻底解决。
- 2)评估风险管理能力:项目如何应对历史上的安全事件,可以反映其风险管理和危机处理能力。一个积极响应、及时修复漏洞并赔偿受影响用户的项目,通常被认为是更可靠和成熟的投资选择。
- 3)项目声誉:频繁的安全问题可能会削弱用户对项目的信任,但如果项目能够证明其从错误中吸取教训并加强安全措施的能力,这也可能建立其长期声誉。
其次,赏金计划
DeFi 及其他软件项目中实施赏金计划是提高安全性和发现潜在漏洞的重要策略。这些计划为项目的安全评估带来了多方面的参考价值:
- 1)增强外部审计:赏金计划鼓励世界各地的安全研究人员参与项目的安全审计。这种“众包”的安全测试方法可以发现内部审计可能忽略的问题,从而提高发现和解决潜在漏洞的机会。
- 2)验证安全措施的有效性:通过赏金计划,项目可以实际测试其安全措施的有效性。如果一个项目的赏金计划已运行很长时间但报告的严重漏洞很少,这可能表明该项目相对成熟和安全。
- 3)持续安全改进:赏金计划提供了一个持续改进的机制。随着新技术和攻击方法的出现,赏金计划有助于项目团队及时更新和加强其安全措施,以确保项目能够应对最新的安全挑战。
- 4)建立安全文化:项目是否存在赏金计划以及该计划的严肃性和活跃程度,可以反映项目团队对安全的态度。活跃的赏金计划表明项目致力于建立稳固的安全文化。
- 5)增强社区和投资者信心:赏金计划的存在及其有效性可以向社区和潜在投资者证明项目对安全的重视。这不仅可以增强用户信任,还可能吸引更多投资,因为投资者倾向于选择那些表现出高度安全责任感的项目。
