paint-brush
One 如何审计 DeFi 平台?经过@brianpasfield
1,049 讀數
1,049 讀數

One 如何审计 DeFi 平台?

经过 Brian Pasfield2022/04/19
Read on Terminal Reader
Read this story w/o Javascript

太長; 讀書

货币当局无法保证用户在 DeFi 中的资金安全。 巨大的金库和武装保安人员也不会跳进来帮助你。这一切都归结为代码的健全性。 不良做法。到处都是坏习惯。 DeFi 领域很常见的是匆忙推出产品,然后在产品推出后尝试修补和调整它们。 我们已经看到并且继续看到沿着这条路线进行的项目被黑客入侵或利用。 在加密世界中,用户依赖平台和代码,而不是人类做出决定。 密封代码是必须的。 经过许多审核需要成为默认设置,而不是 Web3 协议的必备条件。不计成本。 在这篇文章中,我将强调 DeFi 审计的重要性。我们还将探索理想的场景是什么样的,并反思边缘财经执行双重审计的第一手经验。

People Mentioned

Mention Thumbnail

Company Mentioned

Mention Thumbnail
featured image - One 如何审计 DeFi 平台?
Brian Pasfield HackerNoon profile picture


货币当局无法保证用户在 DeFi 中的资金安全。

巨大的金库和武装保安人员也不会跳进来帮助你。这一切都归结为代码的健全性。

不良做法。到处都是坏习惯。

DeFi 领域很常见的是匆忙推出产品,然后在产品推出后尝试修补和调整它们。


我们已经看到并且继续看到沿着这条路线进行的项目被黑客入侵或利用。

在加密世界中,用户依赖平台和代码,而不是人类做出决定。


密封代码是必须的。


经过许多审核需要成为默认设置,而不是 Web3 协议的必备条件。不计成本。


在这篇文章中,我将强调 DeFi 审计的重要性。我们还将探索理想的场景是什么样的,并反思边缘财经执行双重审计的第一手经验。

审计 101:你会受苦,但这是值得的!


审计涉及数十名具有网络安全专业知识的人员。


他们的工作是仔细检查每一行代码以识别:关键漏洞、潜在故障点、过度集中化,甚至是界面的简单性。


审计是一种很好的方式:


  1. 避免隧道视野。
  2. 获得一个全新的视角。
  3. 为可以更快扩展的项目奠定基础。


对于任何关心用户资金安全及其长期成功的项目或平台来说,它们都是必须的。


你只需要被黑一次就永远失去公众的信任。绝不能低估比你的 DeFi 竞争对手活得更久的重要性。


对于 Fringe 而言,使用 Primary Lending Platform 启动无障碍对于实现我们吸引高净值个人、金融机构和数百个 DeFi 项目周围社区的目标至关重要。因此,我们向自己承诺,我们会根据需要进行尽可能多的审核。

说到回合……


短语“尽可能多地进行必要的测试”意味着每个已修复的漏洞都需要重新测试以消除。


以下是它的工作原理:


当您开始审核时,您需要设置流程的范围。您决定审计公司审查哪些合同以及审查程度。理想情况下,您会审核整个协议,而不是几份合同。


审计中包含的每份合同都使其变得越来越耗时和昂贵。一些项目以偷工减料为动力。我们选择为协议寻找解决方案,以最大限度地减少合同的使用并充分利用它们。策略是游戏的名称!


审计公司的专家研究你的代码库。他们运行自动测试工具,应用广泛的已知漏洞,并手动检查漏洞。此过程会生成一份报告,团队将根据该报告来修复漏洞。从最重要到最不重要。


修补后,您应该将代码重新提交给审计公司。他们在寻找新引入的漏洞的同时重新测试了所有以前发现的漏洞。项目应该重复这个来回过程,直到审计人员不再发现任何长期存在的漏洞。

战争时期的双重审计


我已经强调了重新检查的重要性。 “审计”在所有情况下都应谨慎对待。通过一次检查不算作审计,没有重复测试就修复漏洞也不算。


甚至可以说,“寻求多方共识可能是实现真正安全的唯一途径”。因为每个审计公司都有可能阻碍真正审计的内部文化和固定程序。


来自彼岸的你好



拥有审计证书在纸上看起来不错,但除非你勤奋,否则你不会到达那里,这当然是一项艰苦的工作。总体而言,意想不到的收获是,一个人从被业内最优秀的人审查中学到了多少。每个参与其中的人现在都可以自豪地说,我们在工作中变得更加熟练,并且知道了我们以前不知道的事情。


审计出乎意料地让我们发现了多种调整机会和可能的实施。简而言之,它让我们变得更强大。我们学到了很多关于我们自己的协议、偏见和想法的知识。我们提出了一些很棒的概念,这些概念将有助于使该协议对寻求创新和安全性的用户更具吸引力。


DeFi 和 Web3 还很年轻。而且,如果我不得不从这个过程中得出一个结论,那就是我们作为一个生态系统,只能通过合作来改进。 DeFi 适合所有人,但它也适合所有人。