Инструкция от Hacken: Как да изберем сигурна платформа за отглеждане на доходност?

Търсенето на най-добра платформа за отглеждане на доходност е актуален въпрос.Вече сте проучили и изчели лайт пепърите и знаете средните APY на пазара. Следващата голяма стъпка е да разгледаме сигурността. Толкова много въпроси. Откъде да започна и какво е важно? Как да изчислим рисковете? Къде да вземем обективни данни? Колко време ще отнеме?

Ако все още не знаете какво представлява yeld farming/ отглеждане на доходност, проверете в Leech Protocol блога.

С малко експертна помощ можете лесно да извършите свое собствено точно и ефективно във времето Due Diligence.

Обединихме усилия с водеща компания за блокчейн киберсигурност Hacken, за да получим отговорите на нашите изисквания. Избрахме Hacken, защото те са експерти в индустрията в одитите на интелигентни договори и знаят всичко за блокчейн сигурността. CoinMarketCap и CoinGecko признават одитните доклади на Hacken, което говори много за тяхното признание в индустрията. Hacken е в челните редици на стандартите за одит на интелигентни договори в цялата индустрия, и са част от екипа на участниците в спецификацията на EthTrust. С пет години опит, 180 партньора и повече от 1000 защитени клиенти, Hacken е сред най-добрите одитори по сигурността на блокчейн.

Ето едно ръководство стъпка по стъпка от експертите по киберсигурност на Hacken за това как да изберете най-сигурната платформа за отглеждане на доходност.

Стъпка 1. Проверете обхвата и възможността за одит на смарт контракти

Невъзможно е да се надцени значението на интелигентните договори за платформите за отглеждане на доходност. Интелигентният договор представлява код, който управлява и автоматизира транзакциите. Обикновено се състои от множество функции, като стейкинг, теглене, заемане и т.н., които задвижват операциите в DeFi платформите.

Надеждните интелигентни договори работят както е необходимо всеки път без никаква възможност за манипулация. За съжаление интелигентните договори без уязвимости са рядко явление.

Най-честите са:

1. Повторно влизане
2. Oracle манипулация
3. Отгоре и отдолу
4. Предни позиции
5. Зависимост от времево клеймо
6. Отказ на услуга
7. Griefing, и Force Feeding

Тези вероятни уязвимости позволяват пробиви на данни или изтичане на частни ключове. Добрата новина е, че платформите за отглеждане на доходност могат да се справят с тези уязвимости с външен одит. Външният одит е основен задълбочен преглед на кода, за да се гарантира, че всички функции на кода на интелигентния договор работят по предназначение без никакви скрити вратички. Писането на перфектен код е почти невъзможно, защото разработчиците са само хора, които понякога правят грешки. Твърдението е актуално и поради причина, когато разработчиците са ограничени от време и ресурси.

Интелигентните договори са жизненоважни за сигурни платформи, но не всички одити са еднакви. Уместността и покритието са два основни въпроса, които трябва да разгледате. Одитът трябва да е подходящ и да обхваща целия проект. Web3 проектите обикновено имат множество интелигентни договори, за да гарантират, че всичките им функции работят по предназначение. Всички договори (не само един) трябва да бъдат одитирани.

1. Проверете броя на интелигентните договори спрямо броя на одитираните интелигентни договори. Бъдете внимателни, ако броят на одитираните договори е значително нисък.
2. Проверете за уместност. Внедреният код трябва напълно да съответства на кода, който е бил одитиран. Всяка по-голяма промяна между двете е основателна причина за предпазливост.

Проверка на уместността и обхвата на одита с пример

Стъпка 1. Намиране на Public Audit/ Публични одити

Нека да разгледаме един от клиентите на Hacken, Zharta — платформа за кредитиране. Забележете значката „Проверено от Hacken“ на уебсайта им.

За пълно удобство уебсайтът на Hacken предоставя списък на всички публични одити, които е изпълнил. Можем лесно да намерим одита на Zharta тук.

Стъпка 2. Намеране на хранилище на кодова база

Първо, нека се насочим към раздела „Обхват“ на страница 4. Имаме връзка към хранилището и потвърждаваме. Хранилището тук съответства на кодовата база, която Hacken одитира.

Стъпка 3. Проверете уместността на одита

Насочете се към тяхната GitHub хранилище,
забележете датата на последния ангажимент за ./protocol-v1/contracts/ (отбелязано в червено).

Датата на последната проверка съвпада с датата на одита на Hacken. В резултат на това одитът е 100% уместен (към деня на писане).

Стъпка 4. Проверете обхвата на одита

В същата папка (protocol-v1/contracts/) преброихме броя на ключовите файлове — 12 интелигентни договора на езика за програмиране Vyper. В папката protocol-v1/interfaces преброяваме 11 договора.

Неееее, нека сравним това число с това, което е в одиторския доклад. Отидете отново до одитния доклад на Hacken и намерете раздела Обхват на одита за Четвъртия преглед на обхвата

Одитът от Hacken прегледа 12 договора в папката ./contracts и 11 договора в папката ./interfaces. Кодовата база на Zharta се захранва от същия брой договори. Следователно одитът обхваща почти 100% от ключовата функционалност във веригата.

Step 5. Какво ще кажете относно уязвимостите?

It’s finally time to look at found issues inside the report. Hacken found 2 critical issues, 16 high, 5 medium, and 4 low. Three iterations later, Zharta developers resolved almost everything. You can read more about each found issue and how it was fixed in the report. Also, the final audit score is 8.4

Време е да направим заключение

• Всички високи, средни и критични проблеми са коригирани.
• Одитът е уместен, тъй като данните от последното ангажиране съвпадат с датата на прегледа.
• Одитът обхваща всички договори в ./contracts и .interfaces папки.

Лендинг платформата Zharta има почти перфектно одитно покритие и уместност с много висок резултат от 8,4. Не всички одитори обаче са толкова старателни. За съжаление имаме стотици крипто проекти с ниско покритие и кодова база, която вече не е актуална.

Отново можете да проверите показателите за релевантност на одита и обхват на одита в CER.live, но все още не всички проекти са изброени там.

Стъпка 2. Сигурен ли е блокчейн протокола?

Одитът на протокола е различен от одита на интелигентен договор. Агрегаторите на доходност могат да взаимодействат с един или повече блокчейни. Leech, например, работи в 12+ блокчейни. Някои вериги, като Ethereum или Avalanche, са добре подредени с минимални опасения за сигурността. Новите вериги са по-малко признати и не се радват на същото ниво на доверие. DefiLlama изброява 290 протокола за отглеждане на добиви, работещи общо в повече от 50 вериги.

Не можете да приемете, че всеки от тях е безопасен. Нова верига може да спечели доверие чрез външен одит на блокчейн. За да проверите дали блокчейн е одитиран, отидете на неговия уебсайт и проверете за страницата за сигурност. Като алтернатива информацията за одита може да бъде извлечена от хранилището на проекта в раздела Сигурност на CoinGecko.

Стъпка 3. Проверка на миналите действия

Основната цел на проверката на миналото е да се сведе до минимум рискът от внезапни изненади. Не всички основатели имат най-добрите намерения в ума си. Някои развиват своя бизнес за отглеждане на доходност с единствената цел да избягат с активите на потребителите и инвеститорите. Никога повече няма да ги видите и никой няма да ви върне парите. Подобни изненади се случват почти всеки месец, така че стойте настрана от подобни проекти.

Репутацията е всичко в среда без доверие. Потърсете страници на LinkedIn, видео интервюта и друга ценна информация за основателите на платформата. Кои са те? Дали са DeFi експерти с доказан опит или аматьори с рискови идеи и без доверие? Разбираме, че някои проекти са малки, някои нямат достатъчно медийно отразяване, а някои искат да останат анонимни. Поради изброените причини разгледайте най-близките партньори на платформата, функции в медиите и присъствие в социалните медии. Също така разгледайте уебсайтовете или ресурсите на партньорите за споменавания на проекта.

Наличието на надежден сертификат също помага. Например, нашите клиенти могат да покажат сертификат „Proofed by Hacken“ на уебсайтовете си, за да докажат, че са легитимен бизнес, който се отнася сериозно към сигурността. CER.live, CoinGecko и CoinMarketCap също отразяват информация за киберсигурността на проекта.

Стъпка 4. Разгледайте обективните оценки за киберсигурност

Насърчаваме Ви да правите собствени проучвания, но можете да разчитате на публични ресурси, за да направите процеса на DD по-ефективен от гледна точка на разходите. Не вършете една и съща работа два пъти. На пазара има доверени играчи с единствената цел да проверяват Web3 проектите за сигурност.

Насочете се към CER.live, безплатна услуга, предлагаща най-обективния резултат за сигурност за крипто проекти. Намерете подробна разбивка на сигурността на платформа за доходност, която ви интересува. Въведете името на платформата и всичко е готово. Веднага получавате достоверни данни за рейтинг на сигурност, одит на токени, релевантност на одита на токени, одит на платформата, пазарна капитализация, награди за търсене на бъгове, застраховка и предишни инциденти. Независимите изследователи на CER.live събират и проверяват десетки индикатори за сигурност, за да предоставят на инвеститорите тази помощна програма безплатно.

Колко надежден е CER.live? CoinGecko, най-добрият агрегатор на данни в целия крипто свят, разчита на данните на CER.live за своя рейтинг на доверие. Резултатът за киберсигурност на CER.live съставлява 20% от общия резултат за доверие на CoinGecko. Говорейки за оценка на доверието, не забравяйте да го проверите за вашия проект. Нещо повече, всеки може да погледне как изследователите на данните във веригата на CER.live определят рейтинги благодарение на публична методология за оценка на криптовалути с пълна точкова система.

Коя е най-добрата платформа за отглеждане на доходност по отношение на сигурността?

Най-добрата платформа за отглеждане на крипто доходност е тази, която съчетава най-високите APY с най-ниските рискове за отглеждане на доходи.

Киберсигурността е жизненоважен резултат за всяка платформа за отглеждане на доходност. Високите печалби и изключителните характеристики нямат значение, когато потребителите губят средства от хакери. За да изпреварите пазара, трябва да мислите дългосрочно и да обърнете внимание на сигурността. Като възможна алтернатива — можете да загубите пари.

Как губите пари във фарминга за доходност? Отговорът е прост — не се интересувате от Due Diligence.

Киберсигурността е от първостепенно значение за платформите за отглеждане на доходност. На теория отглеждането на доходност трябва да генерира значителна възвръщаемост на инвестициите. В действителност потребителите на крипто рискуват да загубят всичко поради евентуални хакове, експлойти или измами. Експертите на Hacken предоставиха информация за избора на най-сигурната платформа за отглеждане на доходност в четири прости стъпки:

(1) рейтинги за киберсигурност

(2) подходящи и пълни одити на интелигентни договори

(3) одити на протоколи

(4) проверка на миналото на основателите.

Тези четири стъпки съставляват основата на печеливша оценка на риска.

Освен това, когато избирате фарминг платформа или трезори, запомнете основите на инвестирането във фарминг с доходност:

• Токеномика на платформата за отглеждане на доходност. Как проектът прави пари? Платформа, която отпечатва токени като награда без основен механизъм за приходи, трябва да ви сигнализира аларма.
• Какъв е делът на алгоритмичните монети? Разберете кои токени се използват за фарминг и имайте предвид, че алгоритмичният е най-опасният тип стабилни монети.
• Какъв е размерът на пула и крайната дата? Не бъдете последният, който влиза, или в противен случай ще загубите от въздействието върху цената.
• Проучете кога са добри моменти за влизане и излизане. Какви са мрежите и монетите, използвани за това? Ще имате ли проблеми с ликвидността? Има ли такси или периоди на замразяване на активи?
• Сега е време за пробно стартиране. Когато изберете платформа, която отговаря на критериите ви, вземете $10 (или всяка сума, която ви е удобна) и проверете как работи всичко. Пробно изпълнение например ще ви помогне да видите дали APY се показва правилно. Понякога има грешка във фронт енда при показване на награди за ден.

Следвайте Leech Protocol:

Website | Light Paper | Twitter | Discord | GitHub | Telegram

Оригинална статия: линк