本系列文章節選自 OKX Web3 與 BlockSec 聯合策劃的 "安全特刊 05",旨在探討 DeFi 用戶及 DeFi 項目方所面臨的安全問題。
Q1:可以運用哪些標準或指標來初步評估一個 DeFi 項目的安全性和風險狀況?
BlockSec 安全團隊: 在投資 DeFi 項目之前,必須對項目進行全面的安全評估。對於投入資金較大的參與者而言,這一點尤為重要,必要的安全盡職調查可以最大程度確保資金安全。
首先,建議對項目的代碼安全性進行全面評估,包括項目是否經過具有良好安全聲譽的審計公司審計、是否有多家審計公司參與,以及最新的代碼是否經過審計。通常來說,如果線上運行的代碼已由多家聲譽良好的安全公司審計,將大幅降低遭受安全攻擊的風險。
其次,觀察項目方是否部署了實時安全監控系統至關重要。安全審計確保的是靜態安全,無法解決項目上線後產生的動態安全問題。例如,項目方不當調整關鍵運營參數或新增資金池的情況。如果項目方採用了實時安全監控系統,其運營安全水平將高於未採用此類方案的協議。
第三,評估項目的自動化應急響應能力,這是經常被忽視的一個方面。我們觀察到,在許多安全事件中,項目缺乏針對關鍵功能的自動熔斷機制。事實證明,人工處理緊急情況的效率低下,且有時效果不佳。
第四,審視項目對外部依賴的依賴程度及其穩健性。DeFi 項目通常依賴第三方數據,如價格和流動性。因此,需要評估外部依賴項的數量、外部依賴項目的安全性,以及項目方是否對來自外部依賴的異常數據有監控和實時處理機制。一般來說,依賴頂級項目且對外部數據具有容錯處理及實時異常監控的項目會更安全。
第五,項目方是否具備相對良好的社區治理結構是關鍵。這包括項目方是否有針對重大事件的社區投票機制、敏感操作是否透過多重簽名完成、多重簽名錢包是否引入了中立的社區參與,以及是否有社區安全委員會等。這些治理結構可以提高項目的透明度,並減少用戶資金被項目方詐騙(Rugpull)的可能性。
最後,項目方的歷史背景也非常重要。必須對項目團隊及核心成員進行背景調查。如果項目核心成員在以往的項目中有多次遭受攻擊或實施詐騙(Rugpull)的歷史,那麼這類項目的安全風險將相對較高。
總結來說,在參與 DeFi 項目之前,用戶(尤其是大額資本持有者)應做好調研,從項目上線前的代碼安全審計,到上線後實時安全監控與自動響應能力的建設,審視項目方的安全投入與防護措施;同時從外部依賴關係、治理結構及項目方歷史背景等多個維度進行盡職調查,以確保自身投入的資金安全。
OKX Web3 錢包安全團隊: 雖然 DeFi 項目的安全性無法得到絕對保證,但用戶可以透過考慮以下關鍵維度來衡量其安全性和風險狀況。
- 項目技術安全性:
- 1)檢查項目是否已由多家聲譽卓著且經驗豐富的審計機構進行審計。
- 2)審閱審計報告中提出的問題數量及嚴重程度,並確保所有問題均已修復。
- 3)驗證已部署的代碼是否與已審計過的版本一致。
- 代碼開源情況:
- 1)確認項目的代碼是否開源,這允許社區和安全專家進行審閱,從而發現安全問題。
- 2)調查開發團隊背景、他們在區塊鏈和安全領域的經驗,以及團隊資訊的透明度和公開程度。
- 3)漏洞賞金計畫(Bug Bounty):查看是否有漏洞賞金計畫,以激勵安全研究人員報告漏洞。
- 金融與經濟安全性:
- 1)鎖倉資金(TVL):檢查智慧合約中鎖定的資金規模,資金規模越大往往代表對項目的信任度越高。
- 2)交易量與流動性:評估項目的交易量與流動性;低流動性可能會增加價格被操縱的風險。
- 3)代幣經濟模型:評估代幣經濟學,包括代幣分配、激勵機制和通貨膨脹模型,並檢查是否有代幣持有過於集中的情況。
- 運營與管理安全性:
- 1)治理機制:了解項目的治理結構,是否有去中心化治理,以及社區是否能對重大決策進行投票。分析治理代幣的分配情況以及投票權的集中度。
- 2)風險管理措施:確定項目是否有針對安全威脅和經濟攻擊的風險管理與應急預案。此外,考慮項目的透明度與社區溝通情況,例如是否有定期進度報告、安全更新及積極的社區互動。
- 市場與社區認知:
- 1)社區活躍度:評估社區經營狀況與用戶基數;活躍的社區通常代表項目獲得了廣泛支持。
- 2)媒體與社交媒體情緒:分析項目在媒體和社交媒體上的口碑,了解用戶與行業專家的觀點。
- 3)合作夥伴與投資人:查看項目是否有知名合作伙伴與投資人的支持,這能增加項目的可信度,但不應作為判斷安全性的唯一指標。
Q2:用戶應如何查看審計報告和開源狀態等資訊?
BlockSec 安全團隊: 對於經過審計的項目,項目方通常會透過官方渠道公開分享審計報告。這些報告通常可在項目說明文件、Github 代碼倉庫及其他渠道找到。此外,必須驗證審計報告的真實性,包括檢查審計報告的數位簽章,並直接聯繫審計公司進行二次確認。
那麼,投資者拿到審計報告後該如何閱讀呢?
首先,檢查審計報告是否由聲譽卓著的安全公司出具,例如 BlockSec、OpenZeppelin、Trail of Bits 等領先的審計公司。
其次,檢查審計報告中提到的問題是否已修復,若未修復,需評估項目方的解釋。審計標準隨公司而異,應區分有效漏洞與無效漏洞。優先關注有效的核心發現,並考慮尋求獨立安全專家的審核。
第三,確保審計報告的時間與項目近期的更新保持一致。核實審計是否涵蓋了所有當前的線上代碼,因成本考量,項目往往只審計部分模組。重點關注核心協議代碼是否包含在審計範圍內。
(註:原文重複提及,已合併建議)
第四,確認項目的線上代碼是否開源並與審計報告一致。通常審計是基於 Github 代碼而非已部署版本。如果線上代碼未開源或與審計的代碼存在重大偏差,這類差異值得密切關注。
總結來說,閱讀審計報告是一項高度專業的工作,建議在過程中引入獨立的第三方安全專家提供諮詢意見。
OKX Web3 錢包安全團隊: 用戶可以透過官方渠道或如 OKLink 等第三方平台獲取 DeFi 項目的智慧合約審計報告與開源狀態。常見的查看步驟如下:
首先,尋找官方公告或網站。大多數值得信賴的 DeFi 項目會在官方網站上展示相關文件資訊。在項目的文檔頁面中,通常會有一個關於「安全」、「審計」或「合約地址」的頁面連結,指向審計報告與部署後的合約地址。除官方網站外,項目方通常也會在 Medium、Twitter 等官方社交媒體上發布審計報告與部署地址資訊。
其次,在查閱官方網站後,可以使用 OKLink 瀏覽器查詢項目方提供的合約地址,並在「合約(Contract)」欄位中查看該地址部署的合約原始碼。
第三,在獲得項目方的審計報告與開源代碼資訊後,可以開始閱讀報告。閱讀時應注意以下幾點:
- 1)理解審計報告的結構,對內容建立整體概念。審計報告通常分為引言、發現問題、解決方案與建議,以及審計結果。
- 2)閱讀引言時,需關注審計的範圍與目標。審計報告通常會標註所審計文件對應的 Github Commit Id,用戶需對比審計報告中的文件與鏈上已部署的開源代碼是否一致。
- 3)審閱「發現問題」、「解決方案與建議」及「審計結果」時,確保項目團隊已根據建議修復漏洞,並進行了複審以確認所有問題均已解決。
- 4)比較多份報告。對於經歷過多次審計的項目,對比不同時間點的報告可追蹤項目安全性的提升情況。
Q3:在評估 DeFi 項目安全性時,黑客攻擊史和漏洞賞金計畫的重要性為何?
OKX Web3 錢包安全團隊: 黑客攻擊史和漏洞賞金計畫為 DeFi 項目的安全評估提供了重要的參考價值,主要體現在以下方面:
首先,黑客攻擊歷史:
- 1)揭示歷史漏洞:攻擊歷史可以展示項目過去存在過哪些具體的安全漏洞,使用戶了解哪些問題被利用過,以及這些問題是否已得到徹底修復。
- 2)評估風險管理能力:項目如何應對歷史安全事件,可以反映其面對危機的風險管理能力。一個能夠積極回應、及時修復漏洞並彌補受損用戶的項目,通常被認為是更可靠、更成熟的投資選擇。
- 3)項目信譽:頻繁的安全問題可能會降低用戶對項目的信任,但如果項目能體現出從錯誤中學習並強化安全措施的能力,這也能建立起長期的品牌信譽。
其次,漏洞賞金計畫:
在 DeFi 及其他軟件項目中實施漏洞賞金計畫,是提高安全性及發掘潛在漏洞的重要策略。這些計畫為項目的安全評估帶來多方面的參考價值:
- 1)加強外部審計:漏洞賞金計畫鼓勵全球安全研究人員參與項目的安全審計。這種「眾包」形式的安全測試能發現內部審計可能忽略的問題,從而提高發現並解決潛在漏洞的機會。
- 2)驗證安全措施的有效性:透過漏洞賞金計畫,項目可以在實踐中檢測安全措施的效果。如果一個項目的漏洞賞金計畫運行已久但鮮有嚴重漏洞被報告,這可能是一個指標,說明該項目相對成熟且安全。
- 3)持續安全改進:漏洞賞金計畫提供了一種持續改進的機制。隨著新技術與攻擊手段的出現,漏洞賞金計畫能協助項目團隊及時更新並加強防禦措施,確保項目能應對最新的安全挑戰。
- 4)建立安全文化:項目是否設有漏洞賞金計畫,以及該計畫的執行力度與活躍度,能反映出項目團隊對安全的態度。一個活躍的漏洞賞金計畫體現了項目對建立紮實安全文化的承諾。
- 5)增強社區與投資者信心:漏洞賞金計畫的存在及其有效性,能向社區與潛在投資者證明項目對安全的重視程度。這不僅能提升用戶信任,還可能吸引更多投資,因為投資者往往傾向於選擇那些展現出高度安全責任意識的項目。
