Trop de problèmes avec les projets DeFi ? Il est temps pour les utilisateurs de poser des questions aux développeurs

Ces derniers mois, l'industrie DeFi a connu quelques turbulences, et de nombreuses attaques et vulnérabilités non divulguées ont été exposées.

Bien que les bugs soient inévitables, prendre des mesures efficaces peut encore réduire la fréquence des problèmes et réduire l'impact négatif qui en résulte.

En tant qu'examinateurs, nous aimerions apporter notre aide à cet égard. Pour que les développeurs accordent la priorité aux problèmes de sécurité, les utilisateurs doivent pouvoir poser tôt certaines questions difficiles. Ce n'est que lorsque ces questions reçoivent une réponse satisfaisante qu'ils peuvent investir de l'argent dans les projets de protocole correspondants en toute confiance.

Pour comprendre la position de sécurité de l'équipe de développement du projet DeFi, cet article listera quelques questions utiles. Les réponses à ces questions ne peuvent pas être simplement mesurées par "vrai/faux", car certaines équipes (ou développeurs indépendants) peuvent ne pas en avoir assez. ressources pour résoudre tous les problèmes. En fait, les utilisateurs ne peuvent juger s'ils sont prêts à supporter le niveau de risque correspondant qu'en fonction des informations qu'ils peuvent obtenir.

Bien sûr, nous espérons que les questions suivantes pourront pousser les projets DeFi dans la bonne direction.

Données : Le volume verrouillé DeFi sur la chaîne Terra est tombé à 23,3 milliards de dollars américains : Golden Finance News, selon les données DefiLlama, le volume verrouillé DeFi actuel sur la chaîne Terra est tombé à 23,34 milliards de dollars américains, soit une baisse de 17,33 % au cours des dernières 24 heures. Il se classe deuxième seulement derrière Ethereum dans la chaîne publique. Actuellement, les 3 principaux blocages DeFi de la chaîne Terra sont : Anchor (13,47 milliards de dollars), Lido (5,44 milliards de dollars) et Astroport (1,21 milliard de dollars). [2022/5/9 2:59:16]

Les protocoles DeFi les plus connus sont contrôlés de manière centralisée sous une forme ou une autre, permettant à des "administrateurs" spécifiques d'intervenir de manière puissante.

Bien que cette approche présente certains avantages en matière de sécurité, cela signifie également que vous devez faire confiance aux administrateurs pour qu'ils n'abusent pas de leurs privilèges. D'un autre côté, si un attaquant vole la clé privée de l'administrateur et tous les privilèges qui l'accompagnent, cela augmente également le risque du projet.

Données : Le volume total de blocage du protocole DeFi sur la chaîne Terra a atteint 13,7 milliards de dollars américains : Selon les informations du 18 décembre, les données DefiLlama ont montré que le volume total de blocage du protocole DeFi sur la chaîne Terra a atteint 13,7 milliards de dollars américains, un record. Actuellement, les 5 principales chaînes publiques avec le plus grand nombre de blocages sont Ethereum (148,05 milliards de dollars), BSC (16,45 milliards de dollars), Terra (13,7 milliards de dollars), Solana (11,54 milliards de dollars) et Avalanche (11,56 milliards de dollars). [2021/12/18 7:47:24]

Les comptes administrateur prennent généralement plusieurs formes possibles, notamment : l'accès à des adresses individuelles, des portefeuilles multi-signatures et des organisations autonomes décentralisées (DAO) contrôlées par un processus de vote. Les questions de sécurité à poser ici incluent :

     Quelles actions spéciales les administrateurs peuvent-ils entreprendre ?

Le système peut-il être mis en pause ?

Puis-je modifier mon solde ?

Les jetons/utilisateurs peuvent-ils être mis sur liste blanche/noire ?

Compound General Counsel : Le département du Trésor veut adopter le projet de loi sur les infrastructures pour \"capturer DeFi\" : selon les informations du 18 août, Jake Chervinsky, le General Counsel de Compound, estime que les dispositions relatives à la crypto-monnaie ont été ajoutées au projet de loi américain sur les infrastructures à la dernière minute. sont conçus pour "capturer DeFi". DeFi". Chervinsky a récemment déclaré dans un podcast que l'industrie avait été « piratée » par les dispositions fiscales sur la cryptographie du projet de loi sur les infrastructures. Alors que Chervinsky a noté que les discussions précédentes entourant le projet de loi sur les infrastructures n'avaient "rien à voir avec la cryptographie", il a attribué des motifs plus sinistres au rôle du département du Trésor dans l'influence du processus législatif. Il a reconnu que sa réclamation pouvait être une «théorie du complot», mais a suggéré que le département du Trésor pourrait chercher un autre moyen de «suivre» la dureté que l'ancien secrétaire au Trésor Steve Mnuchin a tenté d'imposer aux portefeuilles cryptés auto-hébergés. (Cointelegraph) [2021/8/18 22:21:44]

Un sous-ensemble du système peut-il être mis à niveau ?

Tous les systèmes peuvent-ils être mis à niveau (égal à l'omnipotence) ?

L'accord Rari Capital pour l'investissement intelligent DeFi a généré plus de 165 000 dollars américains de frais : le co-fondateur de Rari Capital, Jack Lipstone, a tweeté que l'accord d'investissement intelligent DeFi Rari Capital avait généré plus de 165 000 dollars américains de frais. [2021/1/26 13:33:04]

Est-il capable de mettre en œuvre d'autres mesures spéciales ?

Parmi les comportements ci-dessus, lesquels seront retardés et lesquels ne le seront pas ?

S'il y a un retard, combien de temps sera-t-il prolongé?

Combien de personnes ont des privilèges d'administrateur ?

Combien d'approbations d'administrateur doivent être obtenues avant que certaines actions puissent être effectuées ?

Existe-t-il une action administrative contrôlée par la gouvernance en chaîne, telle qu'un DAO ?

Où puis-je trouver le dernier état des modifications de protocole proposées ?

Certaines des informations ci-dessus peuvent déjà être suivies dans DefiWatch.

Zhu Jiawei : CeFi convient aux scénarios financiers complexes, et DeFi convient aux scénarios d'application plus simples et automatisés : du 27 au 28 octobre, le sommet du 7e anniversaire de Huobi s'est tenu en ligne, sur le thème "Block Chain Great Navigation Era". , les élites de l'industrie sont invitées à discuter du développement de l'industrie. Dans la section du sommet intitulée "Le vent souffle le drapeau, changements et aperçus de la logique de valeur des actifs numériques", Zhu Jiawei, COO du groupe Huobi, a prononcé un discours liminaire. Zhu Jiawei a déclaré que DeFi et CeFi existent pour répondre aux besoins des utilisateurs, mais que les formes de service aux utilisateurs sont différentes. CeFi est plus adapté aux scénarios financiers complexes, permettant de meilleures évaluations de crédit et de risque pour les utilisateurs grâce à des jugements humains et empiriques, et présente de nombreux avantages en termes de flexibilité et de liquidité des services de produits. DeFi convient à des scénarios d'application plus simples et automatisés, tels que le prêt hypothécaire d'actifs numériques. Dans un modèle simple, DeFi rend l'ensemble du processus plus efficace et moins coûteux. [2020/10/27]

La blockchain Ethereum regorge d'acteurs contradictoires et, en général, les développeurs devraient essayer d'éviter de faire des hypothèses sur le comportement des contrats dans d'autres systèmes. Cependant, dans de nombreuses applications DeFi, cela est presque impossible, car le service lui-même est construit sur des contrats existants.

Ainsi, en ce qui concerne les risques liés aux dépendances externes, les questions suivantes peuvent être utiles :

Sur quels oracles votre système s'appuie-t-il ?

De quels échanges votre système dépend-il ?

Quels contrats intelligents tiers sont utilisés pour construire votre système (comme OpenZeppelin) ?

Quels jetons votre système prend-il en charge ? Quelles hypothèses avez-vous faites sur la fonctionnalité de ces jetons ?

Pour les hackers au QI élevé, attaquer le protocole DeFi peut leur permettre d'obtenir d'énormes avantages financiers. Vous pouvez donc réellement essayer de créer un programme de primes pour offrir des récompenses financières à ceux qui fournissent des vulnérabilités système, afin que les vulnérabilités puissent être réduites par les pirates. Signaler des bogues via des programmes de primes est en fait bon pour la réputation des pirates, car ils n'ont pas à utiliser des moyens illégaux pour gagner de l'argent.

Afin de protéger les fonds des clients, toute entreprise exécutant un protocole DeFi devrait envisager un programme de primes contre les pirates.Voici quelques questions que nous pouvons poser sur le programme connexe et le processus de divulgation :

Le code source de votre contrat est-il accessible au public ?

Pouvez-vous trouver rapidement les informations de contact de sécurité sur votre site Web et votre référentiel GitHub ?

Avez-vous un programme de primes sur votre contrat ?

Quels contrats sont inclus dans le programme de primes ?

Quelle est la fourchette des montants des primes ?

Avez-vous déjà payé une prime auparavant ?

Avez-vous déjà refusé de payer des primes pour des rapports de bug ?

Pouvez-vous trouver rapidement les détails du programme de primes sur votre site Web et votre référentiel GitHub ?

Idéalement, ces informations peuvent être trouvées sur la page/section de sécurité du site Web officiel du projet, ou en utilisant la fonctionnalité SECURITY.md de GitHub.

Lorsqu'ils rencontrent un incident de sécurité, avec toutes sortes de nouvelles informations qui affluent constamment, il est souvent difficile pour les développeurs de trier leurs pensées, car il y aura un grand nombre d'utilisateurs posant toutes sortes de questions difficiles sur Twitter, Telegram, Discard. ..

Vous devez donc élaborer un plan pour vous assurer que les incidents de sécurité se développent dans une direction saine. Bien que cela n'ait pas beaucoup de sens pour l'équipe du projet DeFi de divulguer le plan complet, il est préférable qu'elle puisse répondre aux questions suivantes :

Avez-vous un plan écrit décrivant comment les incidents de sécurité seront traités ?

Quelles options votre plan envisageait-il ?

Si votre système est évolutif, toutes les étapes pour l'exécuter sont-elles documentées ?

Si une vulnérabilité est découverte qui met des fonds en danger, anticiperez-vous le problème pour protéger les fonds ?

L'audit n'est pas une panacée et tous les audits ne sont pas traités de la même manière. Cependant, pour les contrats DeFi, il reste une étape cruciale pour effectuer des audits de sécurité avant le déploiement officiel.

Bien que toutes les questions ne puissent pas avoir une "réponse correcte", les commentaires et les réponses donnés par l'équipe de développement du projet peuvent au moins permettre aux membres de la communauté de comprendre leur position en matière de sécurité. Les problèmes suivants méritent l'attention :

À quand remonte la dernière fois que votre projet a été audité ?

Quel effort (personne/heure) est requis pour le travail d'audit ?

Quelle entreprise vous a audité ?

Les rapports d'audit sont-ils accessibles au public ?

Quelles parties de votre système ont été exclues de l'audit ?

Votre contrat a-t-il été mis à jour depuis votre dernier audit ? En cas de mise à niveau, qu'est-ce qui a changé ?

Avez-vous une relation à long terme avec une entreprise de sécurité?

Les développeurs vérifient-ils mutuellement les demandes d'extraction (au moins dans les fichiers Solidity) dans GitHub avant que le code ne soit fusionné ?

Quelles parties du code du contrat seront couvertes par les tests unitaires ?

D'autres outils d'analyse de sécurité ont-ils été utilisés dans le processus ?

Pour les utilisateurs DeFi intéressés par le suivi de ces problèmes, un autre projet à surveiller est le score DeFi de ConsenSys, qui effectue la tâche difficile d'évaluer la qualité des audits et autres processus de sécurité sur divers projets DeFi majeurs.

Enfin, merci à Emilio et Ernesto (@eboado sur Telegram), tous deux développeurs Aave, et Jack de DeFi Score pour leurs commentaires sur une première ébauche de cet article.

Lien source : diligence.consensys.net

Rédigé par : John Mardlin, ConsenSys Diligence Security Engineer Traduit par : Lu Jiangfei

Tags：

Filecoin