Preguntas que los usuarios de DeFi deben hacer a los desarrolladores

En los últimos meses, el ecosistema DeFi ha experimentado una gran agitación. Bajo varios ataques, también se han reportado muchas fallas sin explotar.

Aunque es inevitable que haya errores en el código, todavía hay muchas formas de reducir la frecuencia de los defectos y reducir el impacto negativo de los mismos.

Como auditor, queremos ayudar a los usuarios de DeFi a hacer algunas preguntas difíciles; el propósito de hacer estas preguntas, por un lado, es hacer que los desarrolladores consideren seriamente la prioridad de la seguridad del sistema y, por otro lado, permitir que los usuarios distingan las respuestas Consiga buenas ofertas e invierta dinero en esas ofertas.

Las siguientes preguntas pueden ayudar a los usuarios a comprender la posición del equipo de desarrollo de DeFi sobre la seguridad. Las respuestas no son necesariamente correctas o incorrectas, y no todos los equipos (o desarrolladores independientes) tienen los recursos para considerar completamente todos los aspectos. Pero en todo caso, los usuarios tienen derecho a conocer esta información para decidir los riesgos que están dispuestos a asumir.

Esperamos que las siguientes preguntas susciten debates más positivos en el futuro.

Permisos de administrador

La mayoría de los protocolos DeFi convencionales tienen algunos mecanismos centralizados que permiten que direcciones específicas de "administrador" intervengan en la operación del protocolo de manera sólida.

Hay beneficios de seguridad al hacer esto, pero significa que debe confiar en que estos "administradores" no abusarán de sus privilegios, y si estos administradores son pirateados, las consecuencias de la filtración de sus claves privadas serán aún peores.

Japón penalizará los intercambios encriptados que no cumplan con las sanciones rusas: el 14 de marzo, el gobierno japonés y los reguladores financieros penalizarán los intercambios encriptados que no cumplan con las sanciones rusas. Los intercambios de criptomonedas que realicen pagos no autorizados a personas sancionadas podrían recibir una multa de hasta 1 millón de yenes (USD 8500) y sus ejecutivos enfrentarán hasta tres años de prisión. Además, los reguladores financieros requieren que los intercambios informen cualquier transferencia sospechosa de este tipo. (CoinDesk) [2022/3/14 13:55:46]

Las cuentas de administrador pueden tomar la forma de una sola dirección, una billetera de múltiples firmas o un proceso de votación administrado por un DAO. Asi que,

1. ¿Qué acciones pueden tomar los administradores?

¿Suspender todo el sistema?

¿Cambiar el saldo de la cuenta?

¿Establecer lista blanca/lista negra de tokens/usuarios?

¿Actualizar un subsistema?

¿Actualizar todo el sistema? (equivalente a todopoderoso...)

¿Otros permisos?

2. Si se realizan las acciones anteriores, ¿existe algún mecanismo de ejecución diferida?

3. Si hay un tiempo de retraso, ¿cuánto tiempo es?

4. ¿Cuántas personas tienen privilegios de administrador?

5. ¿Cuánto consentimiento del administrador se requiere antes de realizar las acciones anteriores?

6. ¿Qué permisos controla el programa de gobernanza en cadena (es decir, DAO)?

7. ¿Dónde me dirijo para conocer las propuestas de actualización del protocolo?

XCOM (salchicha) lanzará la extracción de préstamos a las 20:00 el 22 de abril: según las noticias oficiales, XCOM lanzará la extracción de préstamos a las 20:00 el 22 de abril de 2021, hora de Beijing. XCOM es una plataforma defi integral en la cadena ecológica Huobi que admite préstamos con tasas de interés estables, préstamos rápidos y préstamos de crédito. XCOM no tiene minería previa ni recaudación de fondos, y los ingresos de la plataforma se devolverán a la comunidad en forma de recompra, quema y recompensa HT. [2021/4/22 20:48:02]

Las respuestas a algunas de las preguntas anteriores ya se pueden rastrear a través de DefiWatch.

Dependencias externas

Debido a que es una red abierta, Ethereum está lleno de atacantes con intenciones maliciosas, por lo que los desarrolladores no pueden asumir qué tipo de comportamiento tendrán los contratos fuera del sistema. Pero en muchas aplicaciones DeFi, se debe hacer tal suposición, porque el servicio en sí se construye sobre algunos contratos existentes.

Estas preguntas pueden ayudar a los usuarios a comprender los riesgos de las dependencias externas del proyecto.

1. ¿En qué oráculo (Oracle) se basa su sistema?

2. ¿De qué intercambios depende su sistema?

3. ¿Qué contratos inteligentes de terceros (por ejemplo, OpenZeppelin) usó para construir el sistema?

4. ¿Qué tokens admite su sistema y cuál espera que sea el comportamiento de estos tokens (contratos)?

Sistema de divulgación sólido y programa de recompensas.

Para los hackers talentosos, atacar los protocolos DeFi tiene un fuerte incentivo financiero para ellos. Tener un programa de recompensas incentiva la búsqueda y exposición de errores, en lugar de explotarlos. Para los hackers de sombrero blanco, exponer las vulnerabilidades del código a través del sistema de incentivos también es una buena manera de mejorar su propia reputación, tanto beneficiosa como ilegal.

Cualquier empresa que ejecute un protocolo DeFi, o un negocio que implique alojar dinero en línea, debe tener un sistema de recompensas. Aquí hay algunas preguntas que puede hacer sobre su programa de recompensas y el proceso de divulgación:

1. ¿Todos pueden ver su código de contrato?

2. ¿Es fácil encontrar información de contacto segura en su sitio web y en el repositorio de Git?

3. ¿Tiene su contrato un plan de recompensas?

4. ¿Qué contratos están incluidos en el plan de recompensas?

5. ¿Cuál es el monto específico del plan de recompensas?

6. ¿Alguna vez ha pagado bonos de su esquema de recompensas?

7. ¿Alguna vez te has negado a pagar por un informe de error?

8. Desde su sitio web y repositorio git, ¿es fácil encontrar los detalles del programa de recompensas?

Idealmente, esta información debe colocarse en la página "website.com/security" y puede usarse con la función SECURITY.md de Github.

Plan de Emergencia

Ante ciertas emergencias de seguridad, las nuevas noticias inundan como un torrente, y los usuarios siguen haciendo preguntas difíciles en Twitter, Telegram, Discord... En este momento, es difícil para los desarrolladores lidiar con una emergencia claramente.

Entonces, si hay un plan de contingencia, puede probar que el proyecto se está moviendo en una dirección segura. Puede que no sea realista pedir a los proyectos que revelen sus planes completos, pero aún podemos hacer las siguientes preguntas básicas para comprender:

1. ¿Tiene un esquema del plan para hacer frente a las emergencias?

2. ¿A qué emergencias se aplica su plan de emergencia?

3. Si su sistema es actualizable, ¿están documentados estos pasos de actualización?

4. Si encuentra una laguna en el sistema que puede poner en riesgo los fondos, ¿puede proteger los fondos de manera preventiva a través de planes de emergencia?

Auditoría y Desarrollo de Seguridad

La auditoría no es una panacea, y el contenido de la auditoría siempre es más o menos diferente, pero la auditoría es un paso crucial antes de implementar cualquier contrato DeFi.

Las siguientes preguntas no necesariamente tienen "respuestas correctas", pero los miembros informados de la comunidad deberían poder ver la postura del equipo de desarrollo sobre la seguridad a partir de las respuestas del proyecto.

1. ¿Cuándo fue su última auditoría?

2. ¿Cuánta energía se invirtió en esta auditoría (una hora por desarrollador de estándares)?

3. ¿Qué agencia realizó la auditoría?

4. ¿Es público el informe de auditoría?

5. ¿Hay alguna parte de su sistema que no haya sido cubierta por la auditoría?

6. ¿Ha actualizado el contrato desde la última auditoría? Si es así, ¿qué se actualizó?

7. ¿Tiene una cooperación a largo plazo con algún equipo de seguridad?

8. ¿Los desarrolladores revisan el código entre ellos (al menos los archivos de Solidity) antes de fusionar el código?

9. En su código de contrato, ¿cuál es la proporción de pruebas unitarias?

10. Durante el proceso de auditoría, ¿ha utilizado otras herramientas de análisis de seguridad?

Tags：

MATIC