Defi项目进行审计可避免漏洞.docxVIP

Defi工程进行审计可防止漏洞 最近几个月，DeFi行业经历了些动乱，不少攻击和未披露漏洞被曝 光。 虽说Bug不可防止,但如果182采取582 一些62976有效措施仍可 减少问题发生的频率、并降低由此带来的负面影响。 作为审核员，我们希望在这方面提供一些帮助。为了让开发人员可以 优先考虑平安性问题，用户做好能早点提出一些棘手问题，只有当这 些问题得到满意答复之后，才能放心把钱投入到相应的协议工程里。 要想搞清楚DeFi工程开发团队的平安立场，本文会列出的一些有用 的问题，这些问题的答案并不能简单地用「对/错」来衡量，因为 某些团队（或独立开发人员）可能并没有足够资源来解决所有问题。 事实上，用户只能根据自己所能获得到的信息来判断是否愿意承受相 应的风险级别。 当然，我们希望下面这些问题能够推动DeFi工程朝正确的方向发 展。 管理员权限大多数知名DeFi协议都是以某种形式被中心化控制的，支持特定 「管理员」以强有力的方式进行干预。 虽然这种方式在平安性上有些好处，但也意味着你必须信任管理员不 会滥用自己的特权。另一方面，如果攻击者窃取了管理员私钥及其附 带的所有特权，那么也会增加工程风险。 管理员账户通常会采用几种可能的形式，包括：对单个地址、多重签 名钱包、以及由投票流程控制的去中心化自治组织（DAO）。这里要 询问的平安性问题包括： 管理员可以采取哪些特殊措施？ 能否暂停系统？ 能否修改余额？ 能否将代币/用户列入白名单/黑名单？ 能否升级系统子集？ 能否升级所有系统（等同于无所不能）？ 是否具有实施其他特殊措施的能力？ 上述行为中，哪些会有时延、哪些没有？ 如果有时延，具体会延长多久时间？ 有多少人具有管理员权限？ 在执行某些操作之前，必须获得多少个管理员批准? 是否有任何行政行为被链上治理控制，比方DAO? 对于拟议的协议更改，可以在哪里查询到最新状态? 上述某些信息已能在DefiWatch中进行跟踪。