企业培训资讯_企业培训干货

当前位置:首页 > 名师团队 > 导师语录

DeFi 用户应该向开发者提出的质询-鸭脖官网

发布时间:2021-04-07    来源:鸭脖官网88077

本文摘要:过去几个月来,DeFi 生态经历了极大的动荡不安,数次反击之下,许多并未被利用过的缺失也被报导出来。

鸭脖官网

过去几个月来,DeFi 生态经历了极大的动荡不安,数次反击之下,许多并未被利用过的缺失也被报导出来。虽然代码中无可避免不会有 bug,但还是有很多方法能减少缺失再次发生的频率,以及减少缺失带给的负面影响。作为一个审计员,我们想协助 DeFi 用户问一些较为锐利的问题;问这些问题的目的,一方面是让开发人员严肃去考虑到系统安全性的优先级,另一方面,让用户能辨别出有问得好的协议,然后把钱投放这些协议。

以下问题能协助用户理解 DeFi 研发团队对于安全性的立场,答案不一定有是非之分,而且也不是每个团队(or 独立国家开发者)都有资源全盘考虑到所有方面。但不论如何,用户有权利告诉这些信息,来要求自己不愿忍受的风险。我们期望通过以下发问,促成先前积极开展更加多正面的辩论。1. 管理员权限大部分的主流 DeFi 协议都不存在一些中心化的机制——容许特定的 “管理员” 地址以强硬态度的手段介入协议的运营。

鸭脖官网

这样做到虽然在安全性上有益处,但这意味著你必需坚信这些 “管理员” 会欺诈他们的特权;而且但凡这些管理员遭黑客攻击,他们的私钥泄漏所带给的后果不会更为相当严重。管理员账户可以是以下几种形式:单一地址、多重亲笔签名钱包,或是由 DAO 管理的投票过程。那么,网卓新闻网,· 管理员能采行哪些措施?停止整个系统?改动账户余额?设置 代币/用户 的 白名单/黑名单 ?升级某个子系统?升级整个系统?(等同于万能...)其他权限?· 如果采行上述不道德,否有延后继续执行机制?· 如果有延迟时间,那是多长?· 多少人有管理员权限?· 采行上述不道德前,必须经过多少管理员表示同意?· 有哪些权限是由链上管理程序(即 DAO)来掌控的吗?· 我该去哪里理解建议改版协议的议案?以上某些问题的问早已可以通过 DefiWatch 追踪理解。

2. 外部倚赖因为是公开发表的网络,以太坊上弥漫着不怀好意的攻击者,因此开发者无法假设本系统外的合约一定会采行什么样的不道德。但在许多 DeFi 应用于中又被迫做出这样的假设,因为服务本身就是在有数的一些合约上建构出来的。这些问题能协助用户理解该项目在外部倚赖上不存在的风险。

· 你的系统倚赖什么应验机(Oracle)?· 你的系统倚赖什么交易所?· 你用什么第三方智能合约(如,OpenZeppelin)来创建系统?· 你的系统反对哪些代币,你对这些代币(合约)的不道德模式有怎样的预期?3. 可信的的透露系统和奖励计划对于才华横溢的黑客来说,反击 DeFi 协议对他们具有强劲的金钱欲望。制订奖励计划能鼓舞大家找到并揭发漏洞,而非铁环漏洞。

鸭脖官网

对于白帽黑客来说,通过鼓舞系统揭发代码漏洞也是提升自身声誉的好方法 —— 既有益处又不违法。任何公司要运营 DeFi 协议,或是牵涉到在线托管地金钱的业务,都应当另设奖励系统。

鸭脖官网

你可以就他们的奖励计划及透露流程明确提出以下问题:· 你们的合约代码需要被所有人看见吗?· 从你们的网站和 git 代码库,需要很更容易寻找安全性的联系方式吗?· 你们的合约是不是设置奖励计划?· 哪些合约在奖励计划内?· 奖励计划明确金额是?· 你们否缴纳过奖励计划的奖金?· 对于 bug 报告,你们否曾拒绝接受缴纳过?· 从你们的网站和 git 代码库,需要很更容易地寻找奖励计划的详细信息吗?理想情况下,这些信息应当放到 “website.com/security” 页面下,而且能配上 Github 的 SECURITY.md 功能用于。4. 应急预案当面临某些安全性突发状况的时候,新的消息如潮水般黄泥来,用户持续在 Twitter、Telegram、Discord 上明确提出棘手的问题......,这时候开发者很难头脑清楚地应付突发状况。所以如果有应急预案的话,就能证明项目于是以朝着安全性方向发展。拒绝项目公开发表他们原始的计划有可能不过于现实,但我们还是能明确提出以下基础的问题去侧面理解:· 你们否有处置脑溢血安全事件的计划庐山会议?· 你们的应急预案限于于哪些紧急情况?· 如果你们的系统是可升级的,这些升级步骤否记录在案?· 如果你们找到某个系统漏洞有可能让资金面对风险,你们否能通过应急预案先发制人,维护资金安全性?5. 审核与安全性发展审核并非万灵丹,而且审核的内容总多多少少有点区别,但对于部署任何的 DeFi 合约之前,展开审核是至关重要的一步。

下面的问题不一定有 “准确答案”,但学识渊博的社区群众们,应当能从项目的问中显现出研发团队对于安全性的立场。· 你们最近一次审核是什么时候?· 这次审核投放了多少精力(以标准开发者的一小时来做到单位)?· 哪个机构做到的审核?· 审计报告公开发表吗?· 你们系统中有任何部分是没被涵括在审核的范围内吗?· 最近一次审核之后,你们有对合约展开改版吗?如果有,改版了什么?· 你们有和哪个安全性团队展开长年合作吗?· 在拆分代码之前,开发者不会彼此做到 code review 吗(最少检查 Solidity 文件)?· 你们的合约代码中,做到过单元测试的比重是多少?· 审核过程中,你们用过其他的安全性分析工具吗?。


本文关键词:鸭脖官网

本文来源:鸭脖官网-www.kirstendunstforum.com

分享到:
相关推荐MORE+
04-20 原创还记得阿德里亚诺吗?曾经的大罗接班人,如今流星陨落!

本文摘要:原标题还忘了阿德里亚诺吗?原标题还忘了阿德里亚诺吗?曾经多次的大罗继承人,现在流星落入罗纳尔多和阿德里亚诺出生在里卢,都是右脚中心,年龄差距6岁,阿德本可以成为罗尼在巴西队的继承人,但他像流

04-20 国际冠军杯-格雷茨卡破门特奥伤退拜仁1-0米兰_鸭脖官网

本文摘要:原题目 国际冠军杯-格雷茨卡角球锦赛伤退 拜仁慕尼黑1-0米兰中国北京时间7月21日早上9时,今年国际冠军杯在国外在路易斯维尔少年儿童公益慈善生态公园体育场馆以后进行,拜仁慕尼黑凭着前半场伤

04-20 鸭脖官网-洪崖洞酒店推荐 观赏夜景的最佳选择!

本文摘要:“山在城内,城在山上”,重庆是在我国著名的“重庆”,来到重庆,很多人会想要去洪崖洞解放碑这种地区去玩,而洪崖洞的夜景最是漂亮。“山在城内,城在山上”,重庆是在我国著名的“重庆”,来到重庆,很

04-20 当之无愧高人气!《埃罗芒阿老师》有望出第二季_鸭脖官网

本文摘要:原题目:实至名归低人气值!《埃罗芒阿老师》将来可能出有第二季重改成动漫《埃罗芒阿老师》做为人气值最少春天番,在各种评选网络投票上都占据了第一名的方向。原题目:实至名归低人气值!《埃罗芒阿老师

【鸭脖官网】猫和老鼠手游饮料大全 药水效果汇总 鸭脖官网_CF手游刀锋寨 常用走位方法详解
热门文章
鸭脖官网:即使远离网络 也难摆脱黑客攻击
鸭脖官网_通过区块链技术为可持续生活创造基础
鸭脖官网-预言机如何「预言」
苹果推出新的流媒体服务应对竞争
聚焦京交会丨AI福利逐渐释放,产业应用也在机遇与挑战中前行
11月,一起去巴塞罗那,领略智慧城市领域的“奥斯卡”【鸭脖官网】
鸭脖官网_从电子设备散热简史 看腾讯黑鲨游戏手机3的“三明治”液冷散热
旧iPhone最巧妙的10种用途【鸭脖官网】
科学家开发出解决多种癌症“脑转移”的方法
一颗小行星预计5月初飞掠地球 735万千米外与地球交会
学前该不该学拼音?踩住了“刹车”但“惯性”仍在
荣耀手机预装华为AppGallery亮相 全球花粉超2.2亿-鸭脖官网
iPod之父法德尔 下一个乔布斯还是下一个拉里·佩奇:鸭脖官网
双语科技百科(近现代成就) 第88期:京广铁路_鸭脖官网
DeFi 用户应该向开发者提出的质询-鸭脖官网
客户案例
×