Back to Blog

Guia de Mitigação de Riscos DeFi 02: Como os Usuários de DeFi Podem Avaliar Riscos

July 5, 2024
10 min read

Esta série de artigos, extraída da "Edição Especial de Segurança 05" co-curada pela OKX Web3 e BlockSec, aborda as preocupações de segurança enfrentadas por usuários de DeFi e equipes de projetos DeFi.

Q1: Quais critérios ou métricas podem ser utilizados para uma avaliação preliminar do perfil de segurança e risco de um projeto DeFi?

Equipe de Segurança BlockSec: Antes de investir em um projeto DeFi, é essencial realizar uma avaliação de segurança abrangente do projeto. Isso é especialmente verdadeiro para participantes com maiores quantias de capital, pois a devida diligência em segurança pode garantir a proteção dos fundos na maior medida possível.

Em primeiro lugar, recomenda-se realizar uma avaliação abrangente da segurança do código do projeto, incluindo se o projeto foi auditado por uma empresa de auditoria com boa reputação em segurança, se várias empresas de auditoria estão envolvidas e se o código mais recente foi auditado. De modo geral, se o código em execução online foi auditado por múltiplas empresas de segurança com boa reputação, isso reduzirá consideravelmente o risco de ataques de segurança.

Em segundo lugar, é importante verificar se o projeto implantou um sistema de monitoramento de segurança em tempo real. As auditorias de segurança garantem a segurança estática e não conseguem resolver problemas de segurança dinâmica que surgem após o lançamento do projeto. Por exemplo, se o projeto ajustar inadequadamente parâmetros operacionais-chave ou adicionar novos pools. Se o projeto adotou sistemas de monitoramento de segurança em tempo real, seu nível de segurança operacional será mais elevado do que o de protocolos que não adotaram tal solução.

Em terceiro lugar, avalie a capacidade do projeto de resposta automática a emergências, um aspecto frequentemente negligenciado. Observamos que, em inúmeros incidentes de segurança, os projetos carecem de disjuntores automáticos para funções críticas. O gerenciamento manual de emergências demonstrou ser ineficiente e, por vezes, ineficaz.

Em quarto lugar, examine a dependência do projeto em relação a dependências externas e sua robustez. Projetos DeFi frequentemente dependem de dados de terceiros, como precificação e liquidez. Portanto, é necessário avaliar a segurança do projeto com base no número de dependências externas, na segurança dos projetos de dependência externa e se há monitoramento e processamento em tempo real de dados anômalos provenientes dessas dependências. De modo geral, projetos que dependem de projetos de primeira linha e possuem tolerância a falhas e processamento em tempo real de dados anômalos de projetos externos serão mais seguros.

Em quinto lugar, verificar se o projeto possui uma estrutura de governança comunitária razoavelmente sólida é fundamental. Isso inclui se o projeto possui um mecanismo de votação comunitária para eventos importantes, se operações sensíveis são concluídas com múltiplas assinaturas, se carteiras multi-assinatura introduziram participação neutra da comunidade e se existe um comitê de segurança da comunidade, entre outros aspectos. Essas estruturas de governança podem aumentar a transparência do projeto e reduzir a possibilidade de os fundos dos usuários serem retirados de forma fraudulenta.

Por fim, o histórico do projeto também é muito importante. É necessário realizar verificações de antecedentes sobre a equipe do projeto e os membros principais. Se os membros centrais do projeto tiverem um histórico de múltiplos ataques ou puxadas de tapete em projetos anteriores, os riscos de segurança de tais projetos serão relativamente mais elevados.

Em resumo, antes de participar de projetos DeFi, os usuários, especialmente aqueles com grandes quantias de capital, devem fazer sua pesquisa, desde a auditoria de segurança do código antes do lançamento do projeto até a construção de capacidades de monitoramento de segurança em tempo real e resposta automática após o lançamento, examinar o investimento em segurança e a proteção do projeto, e realizar a devida diligência sob as perspectivas de dependências externas, estrutura de governança e histórico do projeto para garantir a segurança dos fundos investidos.

Equipe de Segurança da Carteira OKX Web3: Embora a segurança absoluta em projetos DeFi não possa ser garantida, os usuários podem avaliar seus perfis de segurança e risco considerando estas dimensões-chave.

  1. Segurança Técnica do Projeto:
  • 1)Verifique se o projeto foi auditado por múltiplas empresas de auditoria respeitáveis e experientes.
  • 2)Revise o número e a gravidade dos problemas relatados nos relatórios de auditoria e garanta que todos foram resolvidos.
  • 3)Verifique se o código implantado corresponde à versão que foi auditada.
  1. Código Open Source:
  • 1)Determine se o código do projeto é open source, permitindo que a comunidade e especialistas em segurança revisem e potencialmente encontrem problemas de segurança.
  • 2)Investigue o histórico da equipe de desenvolvimento, sua experiência em blockchain e segurança, e o nível de transparência e informações públicas disponíveis sobre a equipe.
  • 3)Programa de Recompensa por Bugs: Verifique a existência de um programa de recompensa por bugs para incentivar pesquisadores de segurança a reportar vulnerabilidades.
  1. Segurança Financeira e Econômica:
  • 1)Fundos Bloqueados: Examine a quantidade de fundos bloqueados em contratos inteligentes, pois valores mais altos podem indicar maior confiança no projeto.
  • 2)Volume de Negociação e Liquidez: Avalie o volume de negociação e a liquidez do projeto; baixa liquidez pode aumentar o risco de manipulação de preços.
  • 3)Modelo Econômico de Token: Avalie a tokenomia, incluindo distribuição de tokens, mecanismos de incentivo e modelos de inflação, e verifique a concentração excessiva de tokens, entre outros aspectos.
  1. Segurança Operacional e de Gestão:
  • 1)Mecanismos de Governança: Compreenda a estrutura de governança do projeto, se possui governança descentralizada e se a comunidade pode votar em decisões importantes. Analise a distribuição dos tokens de governança e a concentração do poder de voto.
  • 2)Medidas de Gestão de Risco: Determine se o projeto possui medidas de gestão de risco e planos de contingência para lidar com potenciais ameaças de segurança e ataques econômicos. Além disso, considere a transparência do projeto e a comunicação com a comunidade, como relatórios regulares de progresso, atualizações de segurança e engajamento proativo com a comunidade.
  1. Percepção do Mercado e da Comunidade:
  • 1)Engajamento da Comunidade: Avalie a atividade da comunidade e a base de usuários do projeto; uma comunidade ativa frequentemente indica amplo suporte ao projeto.
  • 2)Sentimento na Mídia e nas Redes Sociais: Analise a recepção do projeto na mídia e nas redes sociais para compreender as perspectivas dos usuários e especialistas do setor.
  • 3)Parcerias e Investidores: Verifique se o projeto conta com o apoio de parceiros e investidores reconhecidos, o que pode conferir credibilidade ao projeto, mas não deve ser o único determinante de sua segurança.

Q2: Como os usuários devem revisar relatórios de auditoria e o status de código aberto, entre outros aspectos?

Equipe de Segurança BlockSec: Para projetos auditados, a equipe do projeto normalmente compartilha os relatórios de auditoria abertamente por meio de canais oficiais. Esses relatórios de auditoria geralmente são encontrados na documentação do projeto, repositórios de código no Github e outros canais. Além disso, é necessário verificar a autenticidade dos relatórios de auditoria, incluindo a verificação da assinatura digital do relatório de auditoria e o contato com a empresa de auditoria para confirmação secundária.

Então, como os investidores devem ler tais relatórios de auditoria quando os tiverem?

Em primeiro lugar, verifique se o relatório de auditoria foi elaborado por empresas de segurança com alta reputação, como BlockSec, OpenZeppelin, Trail of Bits e outras empresas líderes de auditoria.

Em segundo lugar, verifique se os problemas mencionados no relatório de auditoria foram corrigidos e, caso contrário, avalie as justificativas do projeto. Distinga entre vulnerabilidades válidas e inválidas, pois os padrões de auditoria variam entre as empresas. Priorize os achados válidos e considere contratar seus próprios especialistas em segurança para uma revisão independente.

Em terceiro lugar, certifique-se de que o prazo do relatório de auditoria esteja alinhado com as atualizações recentes do projeto. Verifique se a auditoria abrange todo o código online atual, pois os projetos frequentemente auditam apenas partes do código devido a restrições de custo. Concentre-se em verificar se o código central do protocolo foi incluído na auditoria.

Em quarto lugar, certifique-se de que o prazo do relatório de auditoria esteja alinhado com as atualizações recentes do projeto. Verifique se a auditoria abrange todo o código online atual, pois os projetos frequentemente auditam apenas partes do código devido a restrições de custo. Concentre-se em verificar se o código central do protocolo foi incluído na auditoria.

Em quinto lugar, confirme se o código online do projeto é open source e corresponde ao relatório de auditoria. Normalmente, as auditorias são realizadas no código do Github, não na versão implantada. Se o código implantado não for open source ou divergir significativamente do código auditado, essa discrepância merece atenção cuidadosa.

Em resumo, a leitura de relatórios de auditoria é uma tarefa altamente especializada, e recomenda-se a contratação de especialistas independentes de segurança terceirizados para fornecer opiniões de consultoria durante o processo.

Equipe de Segurança da Carteira OKX Web3: Os usuários podem acessar relatórios de auditoria de contratos inteligentes de projetos DeFi e o status de código aberto por meio de plataformas oficiais ou de terceiros, como o OKLink. As etapas comuns para revisar essas informações incluem:

Em primeiro lugar, procure anúncios ou sites oficiais. A maioria dos projetos DeFi confiáveis exibirá as informações de documentação relevantes em seu site oficial. Na página de documentação do projeto, geralmente há um link para o relatório de auditoria e o endereço do contrato implantado pelo projeto em "Segurança", "Auditoria" ou "Endereço do Contrato". Além do site oficial do projeto, eles geralmente exibem o relatório de auditoria e as informações do endereço do contrato implantado nas redes sociais oficiais, como Medium, Twitter, etc.

Em segundo lugar, após ler o site oficial do projeto, você pode usar o navegador OKLink para consultar as informações do endereço do contrato fornecido pelo projeto e visualizar as informações do código open source do contrato implantado nesse endereço na coluna "Contrato".

Em terceiro lugar, após obter o relatório de auditoria do projeto e as informações do código open source do contrato implantado, você pode começar a ler o relatório de auditoria do projeto. Ao ler o relatório de auditoria, preste atenção aos seguintes pontos:

  • 1)Compreenda a estrutura do relatório de auditoria e tenha um conceito geral do conteúdo do relatório de auditoria. O relatório de auditoria é dividido aproximadamente em Introdução, Problemas Encontrados, Soluções e Recomendações, e Resultados da Auditoria.
  • 2)Ao ler a Introdução, precisamos prestar atenção ao escopo e aos objetivos do relatório de auditoria. O relatório de auditoria geralmente marca o Github Commit Id dos arquivos auditados, e precisamos comparar se os arquivos auditados no relatório de auditoria são consistentes com o código open source implantado na cadeia.
  • 3)Ao revisar os itens "Problemas Encontrados", "Soluções e Recomendações" e "Resultados da Auditoria", certifique-se de que a equipe do projeto tenha abordado as vulnerabilidades conforme as recomendações e realizado auditorias de acompanhamento para confirmar que todos os problemas foram resolvidos.
  • 4)Compare múltiplos relatórios. Para projetos com múltiplas auditorias, compare os relatórios para acompanhar os aprimoramentos de segurança do projeto.

Q3: Qual é a importância do histórico de ataques e dos programas de recompensa por bugs na avaliação da segurança de projetos DeFi?

Equipe de Segurança da Carteira OKX Web3: O histórico de ataques hackers e os programas de recompensa por bugs fornecem certo valor de referência para a avaliação de segurança de projetos DeFi, refletido principalmente nos seguintes aspectos:

Em primeiro lugar, o histórico de ataques hackers

  • 1)Revela vulnerabilidades históricas: O histórico de ataques pode demonstrar as vulnerabilidades de segurança específicas que o projeto apresentou no passado, permitindo que os usuários entendam quais problemas de segurança foram explorados e se esses problemas foram completamente resolvidos.
  • 2)Avalia as capacidades de gestão de risco: A forma como o projeto responde a incidentes de segurança históricos pode refletir sua capacidade de gerenciar riscos e lidar com crises. Um projeto que responde positivamente, corrige vulnerabilidades em tempo hábil e compensa os usuários afetados é geralmente considerado uma escolha de investimento mais confiável e madura.
  • 3)Reputação do projeto: Problemas de segurança frequentes podem diminuir a confiança dos usuários no projeto, mas se o projeto conseguir demonstrar a capacidade de aprender com os erros e fortalecer as medidas de segurança, isso também pode construir sua reputação a longo prazo.

Em segundo lugar, programas de recompensa por bugs

A implementação de programas de recompensa por bugs em DeFi e outros projetos de software é uma estratégia importante para melhorar a segurança e descobrir vulnerabilidades potenciais. Esses programas trazem múltiplos aspectos de valor de referência para a avaliação de segurança dos projetos:

  • 1)Aprimora a auditoria externa: Os programas de recompensa por bugs incentivam pesquisadores de segurança de todo o mundo a participar da auditoria de segurança dos projetos. Essa abordagem de "crowdsourcing" para testes de segurança pode revelar problemas que as auditorias internas podem negligenciar, aumentando assim as chances de descobrir e resolver vulnerabilidades potenciais.
  • 2)Verifica a eficácia das medidas de segurança: Por meio de programas de recompensa por bugs, os projetos podem testar a eficácia de suas medidas de segurança na prática. Se o programa de recompensa por bugs de um projeto estiver em execução há muito tempo, mas poucos problemas graves forem relatados, isso pode ser um indicador de que o projeto é relativamente maduro e seguro.
  • 3)Melhoria contínua da segurança: Os programas de recompensa por bugs fornecem um mecanismo de melhoria contínua. À medida que novas tecnologias e métodos de ataque surgem, os programas de recompensa por bugs ajudam as equipes de projeto a atualizar e fortalecer suas medidas de segurança em tempo hábil para garantir que o projeto possa lidar com os desafios de segurança mais recentes.
  • 4)Estabelece uma cultura de segurança: Se um projeto possui um programa de recompensa por bugs e o nível de seriedade e atividade desse programa pode refletir a atitude da equipe do projeto em relação à segurança. Um programa de recompensa por bugs ativo demonstra o comprometimento do projeto com o estabelecimento de uma cultura de segurança sólida.
  • 5)Aumenta a confiança da comunidade e dos investidores: A existência e a eficácia de um programa de recompensa por bugs podem provar à comunidade e aos potenciais investidores a ênfase do projeto na segurança. Isso pode não apenas aumentar a confiança dos usuários, mas também pode atrair mais investimentos, pois os investidores tendem a escolher projetos que demonstram um alto senso de responsabilidade em segurança.
Sign up for the latest updates
Санкции OFAC против картеля Синалоа: отслеживание средств в блокчейне

Санкции OFAC против картеля Синалоа: отслеживание средств в блокчейне

OFAC ввёл санкции против сети картеля Синалоа за отмывание доходов от фентанила. Мы отследили шесть адресов в MetaSleuth: средства проходят почти исключительно через депозитные адреса централизованных бирж.

Анализ уязвимости Zcash Orchard | Еженедельник BlockSec
Security Insights

Анализ уязвимости Zcash Orchard | Еженедельник BlockSec

Критическая уязвимость в цепи Orchard Zcash: отсутствие ограничения равенства в гаджете ECC halo2 позволяло незаметно подделывать ZEC через двойное расходование. Уязвимость существовала 4+ лет, обнаружена ИИ-аудитом (Anthropic Opus 4.8, исследователь Тейлор Хорнби), устранена экстренным обновлением NU6.2.

Платформа комплаенса блокчейна: требования к инфраструктуре CEX на 2026 год

Платформа комплаенса блокчейна: требования к инфраструктуре CEX на 2026 год

Техническое руководство для CEX по обновлению комплаенса в 2026 году: KYT, атрибуция сущностей, скоринг рисков, кейс-менеджмент, автоматизация политик и API-интеграция с KYC, антифрод и SIEM-системами.