EFI:DeFi项目：安全风险岂止于审计_DEFI

DeFi项目无论处于怎样的市场环境，做好安全审计工作都十分重要。那么，DeFi项目安全审计的主要内容，以及审计报告的作用究竟是什么？同时，DeFi项目通过完全审计后，是否就能保证万无一失？在安全审计之外，DeFi项目还存在哪些风险？希望本文能够提供些许启示。在过去几个月，DeFi项目层出不穷，创造了一波又一波的热度，成为了互联网金融科技的关注焦点。从DeFi生态系统来看，流动性挖矿，去中心化交易所，信用借贷等协议产品市场反响强烈，其过山车式的价值波澜牵引着无数投资者奔走入场。作为质押资产，大量ETH锁定在了各类DeFi协议产品中。知名数据分析平台DeFiPulse显示，目前DeFi中锁定的资产总价值已突破90亿美元，距离百亿大关近在咫尺。

DeFi社交交易平台Nested宣布上线Optimism:4月28日消息，DeFi社交交易平台Nested宣布上线Optimism，支持用户创建投资组合。据悉，当投资组合被其他用户复制时，创建者将获得特许权使用费。

此前报道，Nested完成750万美元A轮融资，亿万富翁Alan Howard领投，Polychain Capital的Joseph Eagan和Lily Liu等参投。[2022/4/28 2:36:09]

就在7月初，这一数据仅为20亿美元上下。短短两个月，锁仓总值上涨幅度到达了惊人的350%，投资者参与热情之狂热由此可见一斑。DeFi江湖，风云诡谲

然而，投资火爆的的背后，各种DeFi安全事件却频繁发生。伴随黑客对合约各部分漏洞的疯狂攻击，多个DeFi项目平台遭到了巨额损失。

Chainalysis发布全球DeFi采用指数：美国领跑，中国第四:加密分析公司Chainalysis发布全球DeFi采用指数，美国、越南、泰国、中国、英国分列前五。该指数对154个国家/地区进行了排名，由三个指标组成：Defi平台接收的链上加密货币价值，按人均购买力平价加权计算；Defi平台接收的总零售价值；以及Defi平台上的个人存款。Chainalysis指出，许多排名靠前的国家都是现在或之前存在大量加密货币价值流动的国家，通常是中高收入国家，或拥有发达的加密货币市场、尤其是强大的专业和机构市场的国家。除上述5国外，西欧国家排名也比较靠前。报告指出，从2019年4月到大约2020年6月，Defi协议的绝大多数网络流量来自北美，西欧从2019年9月左右占比开始增加。2020年6月前后，其他地区的流量越来越多，尤其是中亚和南亚，发送到Defi平台的总价值开始大幅增长。中国已是Defi交易量最大的国家之一，但东亚地区Defi协议网络流量份额相对于中心化加密货币服务仍比较低。（Fintech Times）[2021/8/26 22:39:01]

以太坊上DeFi协议总锁仓量环比上升4.37%:据欧科云链OKLink数据显示，截至今日十时，以太坊上DeFi协议总锁仓量约合517.8 亿美元，环比上升4.37%。

当前锁仓量排名前三的协议分别是Maker 62.4亿美元（+2.61%），WBTC 61.9亿美元（+0.75%）以及Compound 48.7亿美元（+0.17%）。[2021/2/25 17:50:28]

一般而言，DeFi项目的安全隐患中，最常见的是由代码逻辑错误引发的安全问题。8月，DeFi项目YamFinance推文称，其Rebase函数出现漏洞。这导致代币弹性供应失衡，YAM巨量超发，正常治理无法进行。此外，DeFi项目YFValue也发表声明称，其YFV质押池中存在漏洞，YFV计时器可能被恶意重置。其实，类似代码级别技术规范问题，如在项目上线前，能够接受第三方安全审计，应该是可以将问题扼杀在摇篮之中。或许正是出于这样的考虑，许多DeFi项目逐渐开始认识到安全审计的重要性，并选择资质过硬的安全公司加以执行。不论是对DeFi，还是其它区块链数字资产项目，造成投资风险的因素多种多样。如黑客攻击类，包括公链漏洞攻击、合约漏洞攻击、钱包漏洞攻击、项目方系统攻击等；规则钻空取巧类，包括利用业务逻辑空隙套利、利用系统漏洞扰乱应用环境、操控预言机喂价机制等；病投放类，包括制造并定向释放蠕虫、木马以及攻击性病；欺诈类，包括项目方套利跑路等不一而足。风险规避的利器：安全审计

Loon Network（路网）开启DeFi头矿挖矿新时代:据官方消息，Loon Network于2020.9.21日在Kcash钱包中开启了为期2个月的DeFi头矿挖矿业务，第一期截止目前15天已实现年化收益率约100%。

据了解，Loon旨在搭建DeFi底层去中心化系统，为所有用户提供简单、快捷、安全的DeFi技术和服务。全新的抵押LOON进行DeFi头矿挖矿的模式，开启挖矿新时代。[2020/10/6]

从投资者的角度看，要选择投资DeFi项目，如果候选项目自身加持“已审计”标签，其受信程度自然会提高不少。毕竟，类似Uniswap这样的头部DeFi项目也无法幸免黑客利用合约漏洞盗取资产的宿命。投资者单靠热度进行投资判断，其中泡沫不知深浅，很容易导致投资失败。有投资者甚至表示，安全审计与否，是他对一个DeFi项目的可信度和风险评估最重要的参考指标。

分析师：DeFi 流动性挖矿是未来趋势，但波场DeFi生态还需长期建设:NewBest 分析师分析表示，波场版YAM项目Pearl.finance结合AMPL、YFI、Compound模型，正式上线TAI挖矿产出Pearl，Pearl属于TAI旗下项目，形成连环套娃。以太坊DeFi流动性挖矿背后有Compound/dYdX/dForce等协议作为套利基础设施，即使没有平台币依旧有利润提供价值支撑；而波场DeFi生态因刚刚起步，若没有现金流项目支撑下，过早引入平台币容易引入死亡螺旋，无法构建TVL（锁仓值）和token价格的正循环。波场 DeFi 生态需要长期的建设，弯道超车的路径是结合有现金流支撑的DAPP或者支持类似NewBest有推广矩阵根节点收益模型支撑的项目，才有可能实现以太坊流动性挖矿生态的繁荣。（NewBest.io ）[2020/9/1]

诚然，要评估DeFi项目是否存在风险，从整体上讲，是否接受过安全审计是判断DeFi项目安全性的重要分水岭。这是由于，智能合约尚处于技术早期应用阶段，各方面，各阶段的技术漏洞难以避免。因此，作为前置风险规避措施，通过整体性安全审计是评价项目安全可信度的刚性指标。作为全球领先的区块链安全企业，成都链安根据完全自主研发的“Beosin-VaaS”智能合约自动形式化验证系统，并基于大量第三方合约安全审计经验，能够快速、准确地对合约代码规范性进行全局检查，从而排除溢出、重入等安全漏洞。通过形式化验证，黑客攻击类风险大大降低，同时，由于代码问题导致的规则钻空取巧问题可以基本杜绝。在审计报告中，受检DeFi项目的业务逻辑和功能描述将根据核查的真实情况进行披露。投资者通过审计报告，能够对项目方是否存在业务、功能等方面的虚假宣传进行比对检查。同时，项目概况、技术结构等方面也能被充分掌握和分析，并形成项目权限描述。此外，投资者还可根据审计报告考察项目方是否存在对合约资产进行“一键转款”的高风险性操作权限，以及是否存在背离去中心化思想的关键参数设置可能性，以此在最大程度上避免坠落人为操控投资者资金的风险情况。其实，安全审计并非“法力无边”总体而言，整数溢出等漏洞导致被动增发；不同ERC标准的代码融合产生结合性漏洞；管理者权限AdminKey的配置不合理导致中心化操控痕迹明显；平台迁移、新增流动性挖矿池诱发代币配置错误等问题，在安全审计和服务支持下能在最大范围内实现规避。

然而，市场行情的变化导致资产损失、流动性受阻；项目团队业务设计、运营逻辑不合理；发起者动机不良，不考虑项目长久发展，甚至卷款跑路；用户私钥管理不当，或是错误操作导致资产损失等诸多方面，仅靠安全审计显然是无法做到前置规避和彻底防范的。初心难守，慎心为上

技术信仰，价值共识，成就了DeFi项目空前火爆。面对来势凶猛的资金流，无论是技术高深的程序员，还是心怀壮志的项目创业者，初心难守亦是无奈现实。与此同时，对DeFi合约等项目的安全审计，即便恪尽职守、兢兢业业也无法预估结果，洞察人心异变。或许这本身就是技术永远无法超越的真实。

从古到今，围绕资产的博弈，从来就没有停止，只要有人参与，就永远不会停止。成都链安郑重提醒，DeFi项目的创业者，宁可技术落后不可人心腐败，安全审计绝不可避。同时，作为参与投资者，请务必慎重选择项目，时刻怀揣理性，数字资产高回报率的背后永远是无法预见的高风险。一转念，网络黑客可能存在身份的“黑白”之分，但黑与白的界限岂限于黎明，而安全风险又岂止于审计。

标签：EFIDEFDEFIESTbeFITTER HealthGDEFI币DeFinitionVesta Finance

TRX热门资讯