Back to Blog

Руководство по снижению рисков в DeFi 02: Как пользователям оценивать риски

July 5, 2024
6 min read

Эта серия статей, основанная на материалах "Специального выпуска о безопасности 05", подготовленного совместно OKX Web3 и BlockSec, посвящена вопросам безопасности, с которыми сталкиваются как пользователи DeFi, так и команды DeFi-проектов.

В1: Какие критерии или метрики можно использовать для предварительной оценки безопасности и профиля риска DeFi-проекта?

Команда безопасности BlockSec: Перед инвестированием в DeFi-проект крайне важно провести комплексную оценку его безопасности. Это особенно актуально для участников с большими объемами капитала, поскольку должная проверка (due diligence) в области безопасности позволяет максимально обеспечить сохранность средств.

Во-первых, рекомендуется провести всестороннюю оценку безопасности кода проекта, включая проверку того, проходил ли проект аудит в компаниях с хорошей репутацией, привлекались ли несколько аудиторских фирм и был ли проверен актуальный код. Как правило, если работающий онлайн код прошел аудит нескольких авторитетных компаний, это значительно снижает риск атак.

Во-вторых, важно выяснить, внедрила ли команда проекта систему мониторинга безопасности в режиме реального времени. Аудиты безопасности обеспечивают статическую защиту, но не могут решить динамические проблемы, возникающие после запуска проекта. Например, если команда проекта ненадлежащим образом корректирует критические рабочие параметры или добавляет новые пулы. Если проект использует системы мониторинга в реальном времени, его уровень операционной безопасности будет выше, чем у протоколов, не имеющих таких решений.

В-третьих, оцените возможности проекта по автоматизированному реагированию на чрезвычайные ситуации — этот аспект часто упускают из виду. Мы заметили, что во многих инцидентах безопасности проектам не хватало автоматических «предохранителей» (circuit breakers) для критических функций. Ручная обработка критических ситуаций оказалась неэффективной, а иногда и бесполезной.

В-четвертых, проанализируйте зависимость проекта от внешних источников и их надежность. DeFi-проекты часто полагаются на сторонние данные, такие как цены и ликвидность. Поэтому необходимо оценивать безопасность проекта с точки зрения количества внешних зависимостей, безопасности этих подключаемых сервисов, а также наличия мониторинга и оперативной обработки аномальных данных. Как правило, проекты, зависящие от первоклассных платформ и имеющие механизмы отказоустойчивости и обработки аномалий, являются более безопасными.

В-пятых, критически важно наличие в проекте развитой структуры управления сообществом. Это включает в себя наличие механизма голосования сообщества по важным событиям, выполнение чувствительных операций через мультиподпись, участие нейтральных представителей сообщества в управлении мультиподписью и наличие комитета по безопасности. Такие структуры повышают прозрачность проекта и снижают вероятность «rugpull» (мошенничества со стороны разработчиков).

Наконец, крайне важна история проекта. Необходимо проводить проверку биографии команды и ключевых участников. Если основные члены команды ранее были замешаны в атаках или «rugpull» в других проектах, риски безопасности такого проекта будут значительно выше.

Подводя итог: перед участием в DeFi-проектах пользователям (особенно с крупным капиталом) следует проводить собственное исследование: от проверки безопасности кода до запуска, создания систем мониторинга и механизмов автоматического реагирования. Необходимо изучить объем инвестиций проекта в безопасность, оценить внешние зависимости, структуру управления и историю команды, чтобы обеспечить сохранность вложенных средств.

Команда безопасности кошелька OKX Web3: Хотя абсолютную безопасность в DeFi-проектах гарантировать невозможно, пользователи могут оценить их профиль риска, опираясь на следующие ключевые показатели:

  1. Техническая безопасность проекта:
    1. Узнайте, прошел ли проект аудит нескольких авторитетных и опытных аудиторских фирм.
    1. Изучите количество и степень серьезности проблем, описанных в отчетах об аудите, и убедитесь, что все они были устранены.
    1. Проверьте, соответствует ли развернутый код той версии, которая проходила аудит.
  1. Открытость исходного кода:
    1. Выясните, является ли код проекта открытым, что позволяет сообществу и экспертам по безопасности проверять его и находить уязвимости.
    1. Изучите биографию команды разработчиков, их опыт в блокчейне и безопасности, а также уровень прозрачности и доступности информации о команде.
    1. Bug Bounty: Узнайте, есть ли программа вознаграждения за поиск ошибок, которая стимулирует исследователей сообщать об уязвимостях.
  1. Финансовая и экономическая безопасность:
    1. Заблокированные средства (TVL): Оцените объем средств, заблокированных в смарт-контрактах; крупные суммы могут указывать на большее доверие к проекту.
    1. Объем торгов и ликвидность: Оцените показатели проекта; низкая ликвидность может увеличить риск манипулирования ценами.
    1. Токеномика: Проанализируйте экономическую модель токена, включая распределение, механизмы стимулирования и модели инфляции, а также проверьте, нет ли чрезмерной концентрации токенов в одних руках.
  1. Операционная и управленческая безопасность:
    1. Механизмы управления: Поймите структуру управления, есть ли децентрализованное управление и может ли сообщество голосовать по важным решениям. Проанализируйте распределение токенов управления и концентрацию прав голоса.
    1. Меры управления рисками: Выясните, есть ли у проекта планы действий на случай угроз безопасности. Также оцените прозрачность и коммуникацию с сообществом: регулярность отчетов, обновления по безопасности и активное взаимодействие.
  1. Восприятие рынком и сообществом:
    1. Активность сообщества: Оцените вовлеченность пользователей; активное сообщество часто указывает на широкую поддержку проекта.
    1. Настроения в СМИ и соцсетях: Проанализируйте упоминания проекта, чтобы понять мнение пользователей и экспертов отрасли.
    1. Партнерства и инвесторы: Проверьте наличие поддержки со стороны известных фондов и партнеров — это повышает доверие, но не должно быть единственным критерием безопасности.

В2: Как пользователям следует изучать отчеты об аудите и статус открытого исходного кода?

Команда безопасности BlockSec: Для проверенных проектов команда обычно публикует отчеты в открытом доступе через официальные каналы. Эти отчеты обычно можно найти в документации проекта, в репозиториях на Github и т.д. Кроме того, необходимо подтвердить подлинность отчета: проверить цифровую подпись или связаться с аудиторской компанией для подтверждения.

Итак, как инвесторам читать эти отчеты?

Во-первых, проверьте, проводился ли аудит компаниями с высокой репутацией, такими как BlockSec, OpenZeppelin, Trail of Bits и другими лидерами рынка.

Во-вторых, проверьте наличие исправлений по списку найденных уязвимостей. Если проблемы не исправлены, оцените аргументы проекта. Умейте различать критические и незначительные уязвимости, так как стандарты аудита у разных фирм различаются. Приоритет отдавайте подтвержденным критическим находкам.

В-третьих, убедитесь, что дата отчета соответствует недавним обновлениям проекта. Проверьте, охватывает ли аудит весь актуальный онлайн-код, так как часто из-за бюджета проверяются лишь его части. Сосредоточьтесь на том, прошел ли аудит основной протокольный код.

В-четвертых: (примечание: в тексте повтор) Убедитесь, что отчет актуален. Проверьте, совпадает ли аудит с текущей версией кода в сети.

В-пятых, подтвердите, что онлайн-код проекта открыт и совпадает с версией из аудита. Аудиты обычно проводятся для кода на Github, а не для развернутой версии. Если развернутый код не является открытым или значительно отличается от проверенного, это серьезный повод для беспокойства.

В итоге, чтение аудитов — профессиональная задача, поэтому рекомендуется привлекать независимых экспертов для консультаций.

Команда безопасности кошелька OKX Web3: Пользователи могут найти аудиты смарт-контрактов и статус исходного кода через официальные источники или сторонние платформы, такие как OKLink. Основные шаги для проверки:

Во-первых, ищите информацию на официальном сайте или в документации. Надежные проекты размещают ссылки на отчеты об аудите и адреса контрактов в разделах «Security» (Безопасность), «Audit» (Аудит) или «Contract Address» (Адрес контракта). Также информация часто дублируется в официальных соцсетях: Medium, Twitter и др.

Во-вторых, используйте обозреватель OKLink для проверки адреса контракта, предоставленного командой, и просмотрите код в колонке «Contract», чтобы убедиться в его открытости.

В-третьих, при изучении отчета об аудите обратите внимание на следующее:

    1. Изучите структуру отчета: обычно он состоит из введения, списка найденных проблем, рекомендаций и результатов.
    1. Во введении обратите внимание на охват и цели аудита. Проверьте, соответствуют ли файлы, упомянутые в отчете (иногда через Github Commit Id), коду, развернутому в блокчейне.
    1. При просмотре раздела «Issues Found» («Найденные проблемы») убедитесь, что команда исправила их в соответствии с рекомендациями и провела повторный аудит.
    1. Сравнивайте несколько отчетов, если проект проходил аудит неоднократно, чтобы отследить улучшения безопасности.

В3: Какое значение для оценки безопасности DeFi-проекта имеют история взломов и программы Bug Bounty?

Команда безопасности кошелька OKX Web3: История взломов и программы вознаграждения за поиск ошибок являются важными ориентирами:

Во-первых, история хакерских атак:

    1. Раскрывает прошлые уязвимости: Это показывает, какие проблемы уже эксплуатировались и были ли они полностью устранены.
    1. Позволяет оценить управление рисками: То, как проект реагирует на инциденты, демонстрирует его зрелость. Проект, который быстро исправляет ошибки и компенсирует убытки пользователям, считается более надежным.
    1. Репутация проекта: Частые проблемы могут подорвать доверие, но если проект учится на ошибках и усиливает защиту, это может укрепить его долгосрочную репутацию.

Во-вторых, программы Bug Bounty:

Это важная стратегия для выявления скрытых уязвимостей. Ценность для оценки проекта заключается в следующем:

    1. Улучшение внешнего аудита: Bug bounty привлекает исследователей со всего мира. Такой краудсорсинг безопасности помогает найти то, что пропустили внутренние аудиторы.
    1. Проверка эффективности защиты: Если программа работает долго, а серьезных багов не выявляется — это признак зрелости и безопасности проекта.
    1. Постоянное улучшение: По мере появления новых методов атак, bug bounty помогает командам вовремя укреплять свои системы.
    1. Создание культуры безопасности: Наличие и активность программы bug bounty отражают серьезное отношение команды к защите пользователей.
    1. Повышение уверенности сообщества и инвесторов: Наличие такой программы доказывает, что команда осознает ответственность за безопасность, что привлекает долгосрочные инвестиции.
Sign up for the latest updates
Инструменты криптокомплаенса: практическое руководство по интеграции Web3 и TradFi

Инструменты криптокомплаенса: практическое руководство по интеграции Web3 и TradFi

В 2024 году регуляторы наложили штрафы на сумму $4,2 млрд. Для Web3 и TradFi выбор правильного стека комплаенса стал обязательным условием выживания.

Руководство по комплаенс-ПО для криптовалют: технические основы и лучшие инструменты

Руководство по комплаенс-ПО для криптовалют: технические основы и лучшие инструменты

FATF, MiCA, OFAC — три регулятора, один вопрос для VASP: готова ли ваша система комплаенса к завтрашним проверкам или вы все еще живете вчерашним днем?

Как выбрать платформу для комплаенса в блокчейне, подходящую для вашего бизнеса

Как выбрать платформу для комплаенса в блокчейне, подходящую для вашего бизнеса

На каждые 10 000 USDT в сети приходится около 13 USDT «грязных» активов. Выбор платформы определяет, попадут ли эти средства на ваш баланс.