OKX Web3：DeFi 世界最新避险攻略

DeFi在世界上最大的魅力是 每个人都有潜力成为巨型鲸鱼

但即使是巨型鲸鱼也不可能强大 它们吃肉,但被击中了

所以,在链子上玩,安全第一。

否则,你就得重新来过

这是特别邀请的街区链安全先锋BlockSec和 OKX Web3钱包安全小组特别安全问题的第05号议题,从实际指导的角度来看,为所有即将成为或已经成为巨鲸的用户以及项目方分享DeFi飞行战略,例如,如何查看审计报告、初步评估DeFi项目风险、项目方或巨鲸用户共有的指标和参数、如何构建监测概念、deFi安全标准等。

BlockSec安全小组:BlockSec是全球领先的“所有商店”连锁安全服务提供商,现已为300多个客户提供服务,其中包括MetaMask、Complus、Uniswap基金会、Forta、PancakeSwap和Puffer,他们通过白帽子援助收回了2 000多万美元的财政损失。

CEO & Co-Founder,BlackSec,是浙江大学的计算机教授,Aminer是全球最具影响力的学者,有50多篇主要论文和1万多段引言。 CTO & Co-Found Wu是浙江大学的计算机教授,曾是哨兵的共同创始人,带领团队在一些著名的项目中发现了数十个零日漏洞。

OKX Web3钱包安全小组:每个人都很高兴能够分享这一点。 OKX Web3安全小组主要负责在智能合同安全审计、钱包安全能力建设、基于链式项目安全监测等各个领域建立安全能力,为用户提供多种保护服务,如产品安全、财务安全、贸易安全等,并协助维护整个区块链的安全和生态。

问题1:分享用户实际遇到的几种去fifi风险案例

BlackSec安全小组:DeFi吸引了许多大户,因为其资产回报相对稳定。 许多项目,为了增加流动性,还积极邀请大户留下。 比如,我们经常看到一些大户将大宗资产存入DeFi的新闻报道。 当然,这些鲸鱼除了在参与DeFi项目时获得稳定回报外,还面临一些风险。 其次,我们分享了该行业公开存在的一些DFi风险案例:

案件一:2022年,在PolyNetwork安全事件中,6 000多亿美元的资产遭到袭击,据报告,鱼体内有1亿美元,尽管袭击者还了钱,但事件得到了圆满解决,鱼宣布,他们将在链条上竖立纪念碑纪念,但过程一定非常痛苦。

案件二:众所周知的DEX SushiSwap在2023年遭到袭击,大家族0xSifu损失了330万美元以上,仅他就损失了全部损失的90%。

案件三:在今年3月普里斯马安全事件中,17个钱包地址的损失总额为1 400万美元,每个钱包平均损失820 000美元,但4个用户的损失为80%,大部分被盗资产尚未追回。

最后,DeFi, 特别是主网络的DeFi, 因为煤气费不能忽视只有资产达到一定规模才能带来真正的收益(空投奖除外), DeFi项目的主要TVL通常由巨型鲸鱼贡献, 甚至其中的2%贡献了TVL的80%。当安全发生时,鲸鱼必然承受大部分损失。 “不能只看到巨型鲸鱼吃肉,他们也会挨打。 ”

OKX Web3钱包安全小组:随着链条上的世界繁荣,用户遇到的DeFi风险案件数量增加,链条安全始终是用户最基本和最重要的需要。

案例一:PlayDapp的特权账户泄漏。 2024年2月9日至12日,袭击者根据对以太的PlayDapp游戏平台的袭击,在未经批准的情况下创建并偷走了17.90亿人民解放军的标牌,损失约3,235万美元。 袭击者在人民解放军的标牌上添加了新的货币化器,创造了大量人民解放军,分散在多个连锁地址和交易所。

2024年4月19日,Hedgey Finance在Ethio和Arbitrum遇到重大安全漏洞,损失约4 470万美元,攻击者利用用户投入核实漏洞,为一项脆弱的合同获得授权,从合同中窃取资产。

问题2:能否总结一下目前DeFi地区存在的主要风险类型?

OKX Web3钱包安全小组:在实际个案中,我们已经解决了四种风险,这四种风险在目前的 DeFi 字段中是常见的。

第一类:捕鱼攻击:捕鱼攻击是一种常见的网络攻击,使受害者伪装成法律实体或个人,提供敏感信息,例如私人钥匙、密码或其他个人资料。

1) 假网站:攻击者创建的捕鱼网站与真正的DeFi项目相似,这促使用户签署授权书或转让交易。

2) 社会工程攻击:在Twitter上,攻击者利用高模账户或劫持项目政党Twitter或Discord账户发布虚假宣传或空投信息(实际上是一个捕鱼链),对用户发动捕鱼攻击。

3) 恶意情报合同:侵略者签发看来具有吸引力的知识合同或DeFi项目,以诱使用户批准其进入,从而窃取资金。

鲁格普尔(Rugpull)是DeFi领域独有的,它提到项目开发者在吸引大量投资后突然退出和消失,导致投资者的资金全部撤回。 鲁格普尔(Rugpull)通常出现在分散化的交易所和流动采矿项目中。 主要表现是:

(1) 流动性疏散:开发商在流动性池中提供大量流动资金,以吸引用户投资,然后突然收回所有流动资金,导致货币价格暴跌,投资者遭受重大损失。

2) 伪造项目:开发者创立了一个似乎合法的DeFi项目,通过虚假许诺和高回报吸引用户投资,但实际上没有任何真正的产品或服务。

(3) 更改合同授权:开发商可以使用后门或智能合同中的许可,随时改变合同规则或提取资金。

第三类:智能合同漏洞。智能合同是自动执行的代码,在链条上运行,一旦部署后不能更改。

(1) 重新排除空白:攻击者在最后一次通知完成之前重复了泄漏合同的呼吁,这造成了合同的内部状况问题。

(2) 逻辑错误:合同设计或履行中的逻辑错误,造成意外行为或空白。

3) 整数溢出:合同没有妥善处理整个数量,导致溢出或溢出。

(4) 操纵价格:攻击者通过操纵预言机器的价格进行攻击。

5) 准确性损失:由于浮点或整数准确性问题造成的记忆错误。

6) 缺乏投入验证:用户输入未经充分验证,造成潜在的安全问题。

第四类:治理风险:治理风险涉及项目的核心决策和控制机制,如果恶意使用,可能导致项目偏离预定目标,甚至造成严重的经济损失和信心危机。

(1) 私密密钥漏出

某些DeFi项目的特许账户由EOA(外部所有项目)或多号钱包控制,如果这些私人钥匙被泄露或被盗,攻击者可以自由操纵合同或资金。

(2) (2) 治理攻击

虽然一些DeFi项目采用了权力下放的治理方案,但以下风险依然存在:

• 借借施政象征物:攻击者借大量施政象征物,在短时间内操纵投票结果。

• 控制多数表决权:如果治理高度集中在少数人手中,他们可以通过集中表决权来控制整个项目的决策。

问题3:可以对DeFi项目的安全和风险水平进行初步评估的层面或参数是什么?

BlockSec安全小组:在参加DeFi项目之前,必须对项目进行总体安全评估,特别是,必要的安全尽职调查可以保证为更多参与者提供最大程度的财务安全。

首先,建议对项目代码安全进行全面评估,包括项目方是否经过一个在安全方面享有良好声誉的审计公司的审计和审计,是否涉及多个审计公司,以及是否审计了最新的代码。

第二,这取决于项目方是否部署实时安全监测系统;安全保证是静态的,没有解决项目在线时产生的动态安全问题;例如,项目方不适当地调整了项目的关键操作参数并增加了新的人才库。

第三,它取决于项目在紧急情况下自动反应的能力,这种能力被社区长期忽视了。 我们发现,在一些安全事件中,项目未能实现自动功能熔炼(或金融敏感熔炼 ) 。 在紧急情况下,项目处理安全事件的方法大多是手工操作的,事实证明这种方法无效甚至无效。

第四,它取决于项目方的外部依赖和外部依赖的稳健性,一个DeFi项目将依赖第三方项目提供的信息,如价格、流动性等。 有必要从外部依赖、外部依赖项目的安全、监测的可用性和外部依赖异常数据的实时处理等方面评估项目的安全性。

第五,项目方拥有相对良好的社区治理结构,其中包括项目方是否有重大事件社区投票机制,敏感行动是否过重签署,高管钱包是否引入了社区中立参与,以及是否有社区安全委员会。

最后,项目过去的历史也非常重要,需要对项目小组和项目核心成员的背景进行检查。

简言之,在参加DeFi项目之前,用户,特别是大型基金参与者,必须进行研究,审查项目参与方的安全投入和安全,从项目前对代码安全的审计到在项目上网后建造实时安全监测和自动反应能力,从外部依赖、治理结构和项目历史的角度来看,确保项目投资资金的安全。

OKX Web3钱包安全小组:虽然无法保证DeFi项目100%的安全,但用户可以通过多种方面对DeFi项目的安全和风险程度进行初步评估。

一、项目的技术安全

1. 智能合同审计:

(1) 检查项目是否由多个审计公司审计,审计公司是否有良好的声誉和经验。

(2) 核对审计报告中报告的问题的数量和严重性,以确保所有问题都得到解决。

(3) 检查项目部署代码是否与经审计的代码版本一致。

2. 公开来源:

(1) 检查项目代码是否公开来源,允许社区和安全专家审查,并帮助查明潜在的安全问题。

(2) 发展团队背景:了解项目开发团队的背景和经验,特别是其在街区链和安全领域的经验,以及团队的透明度和公开性。

3) 泄漏赏金计划:项目中是否有泄漏赏金计划鼓励安全研究人员报告泄漏?

3. 财政和经济安全

1) 财务锁定:检查智能合同中锁定的资金数额,以及更高的锁定可能意味着项目具有更高程度的信心。

(2) 交易的数量和流动资金:评估项目的数量和流动资金,这可能增加操纵价格的风险。

3) 货币的经济模式:评估项目货币的经济模式,包括货币分配、激励机制和通货膨胀模式。 比如,是否存在过度集中的货币持有等。

四、业务和管理安全

(1) 治理机制:了解项目的治理机制,了解是否有权力下放的治理机制,社区能否就重要决定投票,分析管理标牌的分配和投票权的集中程度,等等。

(2) 风险管理措施:项目是否制定了风险管理措施和应急计划,如何应对潜在的安全威胁和经济攻击,此外,在项目透明度和社区沟通方面,可以看出项目参与者是否定期发布项目进度报告和安全最新情况,是否积极与社区沟通并解决用户问题。

5. 市场和社区评估

(1) 社区积极性:评估社区活动和项目用户基础,其中活跃的社区通常意味着对项目的广泛支持。

(2) 媒体和社会媒体评价:分析媒体和社会媒体对项目的评价,了解用户和行业专家对项目的看法。

3) 伙伴和投资者:看看项目是否得到知名伙伴和投资者的支持,他们可以提高项目的信誉,但可以成为确定项目安全的一个决定性因素。

问题4:用户应如何看待审计报告、公开来源状况等?

BlockSec安全小组:对于审计过的项目,项目方通常主动通过官方渠道向社区公布审计报告。这些审计报告通常载于项目方档案、Github代码图书馆等。 还需要对审计报告进行真实性和识别,包括检查审计报告的数字签名、联系审计公司进行二次验证等。

如果投资者有这种审计报告,他们如何研究这种审计报告?

首先,这取决于审计报告是否由开放Zeppelin、Bits轨迹、BlockSec等一些高知名度的安保公司审计。

其次,这取决于审计报告中提到的所有问题是否都得到修复,如果不是,项目方未能修复的原因是否充分,在审计报告中也必须区分有效和无效的差距报告,由于审计报告没有统一的行业标准,安保审计公司将根据自己的安全观念进行项目差距风险评级和报告。

第三,这取决于项目方发布的审计报告的审计时间与最新项目更新之间的一致性(或接近性),以及审计报告中的项目代码是否涵盖项目方目前在线的所有代码,项目方通常出于经济和时间成本原因进行部分代码审计,在这种情况下,有必要确定已审计代码是否为核心协议代码。

第四,它取决于项目线上的代码是否得到验证(开源),以及验证代码是否与审计报告一致。 审计通常基于项目方的 Github 代码(而不是已经安装到该行的代码 ) 。

一般而言,阅读审计报告本身就更专业,建议让独立的第三方安全专家参与提供咨询意见的过程。

OKX Web3钱包安全小组:用户可以通过DFi项目干事网络或KOKLink等第三方网站查阅审计报告和智能合同的公开来源状况。

首先,寻找一个正式公告或网站。最可信的DeFi项目在其官方网站上展示其相关的档案信息,项目档案页上通常有一个“安全”、“审计”或“合同地址”页面,将审计报告和项目方部署的合同地址链接起来。 除了项目方的官方网站外,它通常还展示审计报告和在官方社交媒体,如Minde、Twitter等上部署的合同地址。

第二,在阅读项目方的官方网站后,您可通过 OKLink 浏览器搜索项目合同地址的部署情况,并查看 " 合同 " 一栏中 " 合同 " 一栏中地址的公开源码合同部署情况。

第三,一旦获得项目方的审计报告和部署合同的公开来源信息,项目方的审计报告在阅读审计报告时可受到以下关注:

(1) 了解审计报告的结构,对审计报告的内容有一个总体概念,其中大致分为概况、查明的问题、解决办法和建议以及审计结果。

2) 在阅读概况时,我们需要注意审计报告审计的范围和目标,审计通常标志着Github第一委员会提交审计文件,我们需要将审计报告中审计的文件与链条上的开放源码进行比较。

(3) 在阅读所查明的问题、解决办法和建议以及审计结果部分时,我们需要着重研究项目小组是否按照建议弥补了所查明的差距,项目方是否对修改进行了后续审计,以确保所有问题都得到适当处理。

4) 比较多份报告:如果项目进行了多次审计,请看每份审计报告之间的差异,并看项目的安全改进情况。

问题5:黑客历史、赏金程序、 DeFi 项目安全参考值?

OKX Web3钱包安全小组:黑客历史和奖励计划为DeFi项目的安全评估提供了一些参考价值,主要体现在以下领域:

首先,黑客历史

1) 发现历史差距:袭击的历史说明了项目中存在的具体安全差距,告知用户过去曾使用哪些安全问题,是否已经完全修复。

(2) 评估风险管理能力:项目如何应对历史安全事件并反映其管理风险和危机管理的能力;一个积极响应、及时弥补差距和补偿受影响用户的项目往往被视为更可靠和成熟的投资选择。

(3) 项目可信度:经常出现的安全问题可能降低用户对项目的信心,但如果项目表明有能力从错误中吸取教训和加强安全措施,他们也可以建立长期的可信度。

第二,赏金计划。

这些方案为项目安全评估提供了一个多层面参考值:

(1) 加强外部审计:赏金计划鼓励全球安全研究人员参与项目的安全审计。 这种安全测试的“空洞”办法可能暴露出内部审计可能忽视的问题,从而增加发现和解决潜在差距的机会。

(2) 验证安全措施的有效性:通过实际的赏金计划,项目可以测试其在业务领域的安全措施的有效性;如果报告的一个项目的赏金计划很长,但差距较小,这可能是项目相对成熟和安全的一个指标。

(3) 不断改进安全:赏金计划提供了一个不断改进的机制,随着新技术和新的攻击手段的出现,赏金计划帮助项目小组及时更新和加强其安全措施,以确保项目能够应对最新的安全挑战。

(4) 建立安全文化:项目对建立牢固的安全文化的承诺表现在项目存在奖励计划及其严肃性和活力。

5) 提高社区和投资者的信心:赏金计划的存在和效力可以向社区和潜在投资者表明项目对安全的重视。 这不仅可以增强用户的信任,还可以吸引更多的投资,因为投资者倾向于选择具有高度安全感的项目。

问题6:用户在参与DeFi时如何形成监测观念

BlackSec安全团队:例如,对于巨型鲸鱼用户来说,巨型鲸鱼主要是个人投资者或小团队的投资机构,它们拥有大量资金,但通常没有非常强大的安全团队或开发自身安全工具的能力。 到目前为止,几乎所有鲸鱼都没有足够的风险意识能力,否则它们就不会遭受如此巨大的损失。

由于巨大的损失风险,一些巨型鲸鱼用户有意识地依靠开放的安全工具来监测和感知风险。 现在有许多团队在做监视产品,但选择至关重要。 以下是几个关键要点:

首先,使用工具的成本。 许多工具虽然强大,但需要以不降低成本的方式进行编程和使用。 用户很难理解合同的结构,甚至收集地址。

第二,精确度。没有人想在晚上睡觉时连续得到几个警报, 结果发现它是假的,它打破了人们的心。因此,精确度是关键。

最近对加拉游戏的袭击据说是由于引进了不安全的第三方服务提供者,因此可靠的团队和可靠的产品至关重要。

迄今为止,还有许多巨型鲸鱼找到了我们,我们将建议采取专业的筹资办法,使巨型鲸鱼使用者能够维持财政安全,并在日常财务管理(如“挖掘”、察觉的风险,甚至紧急情况下提取资金)之间保持平衡。

问题7:参与提供DeFi安全咨询和如何应对安全风险

BlockSec安全小组:对于大型财务参与者来说,参加DeFi协议主要是确保委托人的安全,并投资于更彻底地研究可能的安全风险。

首先,必须判断项目方的安全关注和承诺程度,其中包括项目方是否进行了更彻底的安全审计,项目方是否进行了项目安全风险监测和自动反应,以及项目方是否有更好的社区治理机制。

2023年,我们看到一些众所周知的项目遭到袭击,包括Curve、KyberSwap、Euler Finance等。 不幸的是,在袭击发生时,大投资者往往缺乏及时有效的信息,也没有自己的安全监控和紧急疏散系统。

此外,投资者需要选择更好的安全伙伴来持续关注项目目标的安全性。 这是否是项目代码的升级、参数的重要变化等等,都需要及时得到理解和评估。

最后,需要保护私人钥匙的安全性。 对于需要定期交易的账户,最好通过将在线超标和离线私人关键安全解决方案结合起来,在单一地址和丢失单一私人钥匙后消除单一点风险。

如果投资项目面临安全风险,应怎么办?

人们认为,对于任何巨型鲸鱼或投资者来说,对安全事件的第一个反应必须是首先拯救资本并尽快提取资金。 但袭击者通常是快速的,往往无法手动操作,因此最好能够根据风险自动提取资金。

其次,在实际损失的情况下,除了总结经验教训外,还应积极鼓励项目方寻求安全公司帮助追踪和监测受损资金。 随着加密工业作为一个整体重视安全,回收率正在上升。

最后,就大型家庭而言,可以要求保安公司对其投资的其他项目进行评估。 许多袭击是一贯的,如五二化合物的准确性损失,而去年的许多项目也有类似的问题,并且不断遭到袭击。

OKX Web3钱包安全小组:在参与DeFi项目时,用户可以使用各种措施确保参与DeFi项目,减少财务损失风险,并受益于分散融资。我们在用户一级和 OKX Web3 钱包第二层这样做。

首先,用户:

1) 选择被审计项目:优先考虑由有声望的第三方审计公司(例如,Consensys Distrigence、Bits的轨迹、OpenZeppelin、Quantstamp、ABDK)审计的项目,并审查其公共审计报告,以弥补潜在风险和差距。

(2) 了解项目背景和团队:通过研究项目的白皮书、官方网站和发展团队背景,确保项目的透明度和可信度。

3) 多样化:如果您不将所有资金投资于单一的DeFi项目或资产,则多样化会降低风险。选择几种不同的DeFi项目,如借贷、DEX、农业等,以分散风险。

(4) 小型测试:在大宗交易之前,进行小型测试交易,以确保业务和平台的安全。

(5) 定期监测账户和应急反应:定期检查其DeFi账户和资产,及时发现不寻常的交易或活动。

6) 认真使用新项目:对刚刚上网或未经测试的新项目要谨慎。

(7) 与主流 Web3 钱包进行交易:只有主流 Web3 钱包与DeFi 项目互动,而主流 Web3 钱包提供更好的安全。

8) 防止捕鱼攻击:利用官方渠道下载钱包和应用程序,以确保软件的真实性。

第二,在 OKX Web3 钱包级别 :

我们为保护用户的财政安全提供了若干安全机制:

(1) 风险域名测试:当用户访问DAPP时, OKX Web3钱包将在域名一级进行测试分析,如果用户访问恶意的DAPP、拦截或警报,以防止用户被欺骗。

2) 磁盘代号检测: OKX Web3 钱包支持发展完善的发音检测能力, 积极保护钱包中的发音, 避免用户试图与发音互动。

3) 地址标签库: OKX Web3钱包提供了丰富的地址标签存储库,而 OKX Web3钱包在用户与可疑地址发生互动时提供即时警告。

(4) 交易前执行:在用户提交任何交易之前, OKX Web3 钱包模拟交易, 并展示资产的结果, 并授权用户进行更改以供参考 。

(5) 整合 DeFi 应用程序: OKX Web3 钱包已被纳入各种主流 DeFi 项目的服务,用户可以与整合的 DeFi 项目与 OKX Web3 钱包互动。 另外, OKX Web3 钱包建议 DEEX 路径、 交叉连接桥等。 DeFi 服务,以便为用户提供最佳的 DeFi 服务和最佳的天然气程序。

6) 更多的安保服务: OKX Web3钱包也在逐步增加更多的安保功能,并建设更先进的安保保护服务,为 OKX 钱包用户提供更好、更有效的安保。

问题8:不仅用户,而且DeFi项目所涉风险的类型以及如何保护这些风险?

blockSec安保小组:DeFi项目所涉风险类型包括代码安全风险、运行安全风险和外部依赖风险。

首先,代码安全风险。这就是,DeFi项目在代码层面可能带来的安全风险。对于DeFi项目来说,智能合同是其核心商业逻辑(传统的软件开发业务,如相对成熟的背对背处理逻辑),也是我们关注和讨论的重点,包括:

(1) 首先,从发展角度看,需要遵循行业承认的知识产权合同安全开发做法,例如用于防止重返的支票-效果-互动模式;此外,通常的功能是尽可能选择可靠的第三方人才库,以避免与重新发明轮子有关的未知风险。

第二是内部测试,这是软件开发的一个重要部分,可以帮助查明许多问题。 然而,就DeFI项目而言,单靠本地测试不足以暴露问题,在接近实际线路的部署环境中还需要进一步测试,使用Phalcon Fork等工具可以帮助。

最后,在测试完成后,进行了良好的第三方审计服务,虽然审计没有确保100%没有问题,但系统审计能够在很大程度上帮助项目方查明已知常见的安全问题类型,这些问题往往对开发商不熟悉,或由于思维方式不同而难以解决,当然,由于审计公司的专业精神和方向不同,在实践中建议,如果预算允许,应让两个或两个以上的审计公司参与实践。

第二,操作安全风险,即当项目在线运行过程中产生的安全风险。一方面,代码中可能仍然有未知的漏洞。即使代码已经完善、测试和审计,也可能存在无法察觉的安全风险,这在几十年软件开发的安全做法中得到了广泛证明;另一方面,除了代码层面的问题之外,项目在线时面临的额外挑战,如私人钥匙泄漏、系统关键参数错误等,可能带来严重后果和重大损失。

(1) 建立健全的私人钥匙管理:使用可靠的私人钥匙管理方法,如可靠的硬件钱包或基于多氯联苯的钱包解决方案。

(二) 业务监测:监测该系统对特权业务的实时可视化和项目业务的安全性。

3) 建立基于风险的自动反应机制:例如,如果发生攻击,BlockSec Phalcon可以自动封锁,以避免(进一步)损失。

(4) 避免特权业务的单一点风险:例如,利用Safe的多标志钱包进行特权业务。

第三,外部依赖的风险是指外部依赖项目存在所带来的风险,例如依赖其他DeFi协议提供的价格预测,但预测问题导致错误的价格计算。

(1) 选择可靠的外部伙伴,如行业承认和可靠的头条协议。

(2) 业务监测:类似于业务安全风险,但此处的监测基于外部依赖。

3) 建立针对风险的自动应对机制:类似于业务安全风险,但可采用不同的方式处理,例如转而依赖后援,而不是直接使用整个协议。

此外,我们向希望建立监测能力的国家提出了一些建议。

(1) 准确设定监测点:建立监测能力的第一步是确定协定的关键状态(可变)以及需要监测的地点。

2) 监测的准确性和及时性:监测的准确性意味着,报告错误和报告不足的情况不会太多,而且基本上没有精确的监测系统;及时性是作出反应的先决条件(例如,如果在部署可疑合同之后和在对攻击交易进行链锁之前能够发现及时性),否则只能用于事后分析,而事后分析对监测系统的业绩和稳定要求很高。

3) 需要自动化反应能力:准确和实时的监测可以建立自动反应,包括利用协议中断攻击等。 这就需要一个定制和可靠的自动反应框架,辅之以灵活性,根据项目方面的需要,定制反应战略,自动启动执行。

总体而言,加强监视能力需要专业的外部安保提供者的参与。

OKX Web3钱包安全小组:DeFi项目面临各种风险,主要分为以下几类:

(1) 技术风险:除其他外,这些风险包括智能合同漏洞和网络攻击,保护措施包括利用安全发展做法,雇用一家专业的第三方审计公司对智能合同进行全面审计,设立漏报奖励计划,鼓励白帽子黑客发现漏洞,以及建立资产隔离,以改善资金安全。

(2) 市场风险:主要包括价格波动、流动性风险、市场操纵和投资组合风险。保护措施包括使用稳定的货币和风险套期保值来防范价格波动,使用移动采矿和动态成本机制来解决流动性风险,严格审查DeFi协议支持的资产类型,以及使用分散化预测器来防止市场操纵,并通过不断创新和优化协议功能来应对竞争风险。

(3) 业务风险:主要包括人为错误风险和治理机制。保护措施包括建立严格的内部控制和操作程序,以减少人为错误的发生,使用自动化工具提高业务效率,设计健全的治理机制,以确保权力下放和安全平衡,例如引入投票延迟和多签名机制。在线项目的监测和应急计划,以及在发生异常时立即采取措施尽量减少损失。

4) 监管风险:法律合规要求和反洗钱/了解客户义务,保护措施包括聘请法律顾问,确保项目符合法律和监管要求,制定透明的合规政策,积极主动地执行反洗钱和反腐措施,以增强用户和监管者的信任。

问题9:DeFi项目小组如何评判和选择一个良好的审计公司?

BlockSec安全小组:DeFi项目如何判断和选择一个良好的审计公司,可以参考一些简单的标准:

(1) 是否审计了公认感兴趣的项目:这表明审计事务所得到了这些公认项目的承认。

(2) 被审计的项目是否受到攻击:虽然审计在理论上不能保证100%的安全,但经验表明,大多数被高知名度审计公司审计的项目都没有记录。

3) 审计质量是通过以往审计报告来判断的:审计报告是审计公司专业水平的一个重要指标,特别是在审计项目相同、审计范围相同的情况下,可以比较,重点是所发现的差距的质量(危险程度)和数量,以及是否通常被项目方采用。

(4) 专业从业人员:审计公司的组成,包括学术资格和专业背景,以及系统教育和专业经验,有助于确保审计质量。

注册有任何问题请添加 微信：MVIP619 拉你进入群

文章转载注明 网址：https://netpsp.com/?id=67294