paint-brush
Como auditar plataformas DeFi?por@brianpasfield
1,049 leituras
1,049 leituras

Como auditar plataformas DeFi?

por Brian Pasfield2022/04/19
Read on Terminal Reader
Read this story w/o Javascript

Muito longo; Para ler

A segurança dos fundos dos usuários em DeFi não é garantida pelas autoridades monetárias. Cofres enormes e seguranças armados também não aparecem para ajudá-lo. Tudo se resume à solidez do código. Práticas Ruins. Práticas ruins em todos os lugares. É bastante comum que o espaço DeFi lance produtos com pressa e tente corrigi-los e ajustá-los assim que forem lançados. Vimos e continuamos a ver projetos que seguem esse caminho sendo hackeados ou explorados. No mundo criptográfico, os usuários dependem de plataformas e códigos, não de seres humanos tomando decisões. Código hermético é uma obrigação. Passar por muitas auditorias precisa ser o padrão, não é bom ter protocolos Web3. Independente do gasto. Nesta peça, destacarei a importância das auditorias DeFi. Também exploraremos como seriam os cenários ideais e refletiremos sobre a experiência em primeira mão da Fringe Finance na realização de uma auditoria dupla.

People Mentioned

Mention Thumbnail

Company Mentioned

Mention Thumbnail
featured image - Como auditar plataformas DeFi?
Brian Pasfield HackerNoon profile picture


A segurança dos fundos dos usuários em DeFi não é garantida pelas autoridades monetárias.

Cofres enormes e seguranças armados também não aparecem para ajudá-lo. Tudo se resume à solidez do código.

Práticas Ruins. Práticas ruins em todos os lugares.

É bastante comum que o espaço DeFi lance produtos com pressa e tente corrigi-los e ajustá-los assim que saírem.


Vimos e continuamos a ver projetos que seguem esse caminho sendo hackeados ou explorados.

No mundo criptográfico, os usuários dependem de plataformas e códigos, não de seres humanos tomando decisões.


Código hermético é uma obrigação.


Passar por muitas auditorias precisa ser o padrão, não é bom ter protocolos Web3. Independente do gasto.


Nesta peça, destacarei a importância das auditorias DeFi. Também exploraremos como seriam os cenários ideais e refletiremos sobre a experiência em primeira mão da Fringe Finance na realização de uma auditoria dupla.

Audits 101: Você VAI sofrer, mas vale a pena!


Uma auditoria envolve dezenas de pessoas com experiência comprovada em cibersegurança.


O trabalho deles é examinar cada linha de código para identificar: vulnerabilidades críticas, possíveis pontos de falha, excesso de centralização e até a simplicidade de sua interface.


As auditorias são uma ótima maneira de:


  1. Evite a visão de túnel.
  2. Obtenha uma nova perspectiva.
  3. Defina as bases de um projeto que pode ser dimensionado mais rapidamente.


Eles são essenciais para qualquer projeto ou plataforma que se preocupa com a segurança dos fundos dos usuários e seu sucesso a longo prazo.


Você só precisa ser hackeado uma vez para perder a confiança do público para sempre. Não se deve subestimar a importância de permanecer vivo por mais tempo do que seus concorrentes DeFi.


Para Fringe, o lançamento sem problemas com a Plataforma de Empréstimo Primário é essencial para atingir nosso objetivo de atrair indivíduos com alto patrimônio líquido, instituições financeiras e as comunidades ao redor de centenas de projetos DeFi. Então, prometemos a nós mesmos que passaríamos por quantas rodadas de auditoria fossem necessárias.

Falando em Rodadas…


A frase “ passe por quantas rodadas forem necessárias ”, implica que cada vulnerabilidade corrigida precisa ser testada novamente até o esquecimento.


Veja como funciona:


Ao iniciar uma auditoria, você precisa definir o escopo do processo. Você decide quais contratos a empresa de auditoria examina e em que grau. Idealmente, você teria todo o seu protocolo auditado, não alguns contratos.


Cada contrato incluído em uma auditoria o torna cada vez mais demorado e caro. Alguns projetos consideram um incentivo para cortar custos. Optamos por encontrar soluções para o protocolo que minimizassem o uso de contratos e os aproveitassem ao máximo. Estratégia é o nome do jogo!


Os especialistas da empresa de auditoria estudam sua base de código. Eles executam ferramentas de teste automático, aplicam uma ampla variedade de explorações conhecidas e verificam manualmente as vulnerabilidades. Esse processo gera um relatório sobre o qual a equipe irá agir, corrigindo as vulnerabilidades. Do mais ao menos crítico.


Depois de corrigido, você deve reenviar seu código para a empresa de auditoria. Eles testam novamente todas as vulnerabilidades identificadas anteriormente enquanto procuram outras recém-introduzidas. O projeto deve repetir esse processo de ida e volta até que os auditores não encontrem mais nenhuma vulnerabilidade permanente.

Auditoria dupla em tempos de guerra


Eu enfatizei a importância das novas verificações. "Auditoria" deve ser tomada com nuances em todos os casos. Passar por uma única verificação não conta como auditoria, nem corrigir vulnerabilidades sem testes repetidos.


Pode-se até dizer que "buscar o consenso multiempresarial pode ser a única maneira de alcançar a verdadeira segurança". Uma vez que toda empresa de auditoria tem uma cultura interna e procedimentos fixos que podem impedir uma verdadeira auditoria.


Olá do outro lado



Ter um certificado de auditoria parece bom no papel, mas você não chega lá a menos que seja diligente, o que certamente é um trabalho árduo. No geral, o inesperado é o quanto se aprende ao ser examinado pelos melhores do ramo. Todos os envolvidos podem agora dizer com orgulho que nos tornamos mais qualificados em nossos trabalhos e sabemos coisas que não sabíamos antes.


A auditoria, inesperadamente, nos permitiu descobrir múltiplas oportunidades de ajustes e possíveis implementações. Resumindo, nos fortaleceu. Aprendemos muito sobre nosso próprio protocolo, preconceitos e ideias. Criamos alguns conceitos excelentes que ajudarão a tornar o protocolo mais atraente para usuários que buscam inovação e segurança.


DeFi e Web3 são jovens. E, se eu tivesse que tirar apenas uma conclusão desse processo, seria que nós, como um ecossistema, só podemos melhorar colaborando. DeFi é para todos, mas também é para todos.