DeFi半年被盗1亿刀，参与流动性挖矿，比赚100倍更重要的是安全，代码审计合约

当人们在享受DeFi流动性挖矿的饕餮盛宴，沉迷于YFI 45天暴涨10000倍的财富神话时，却将“区块链安全”这个最值得关注的因素抛之脑后，殊不知，黑客并不会因为我们的麻痹大意而变动的“心慈手软”。

从宏观层面来看，据区块链安全机构慢雾统计，2009年至今，加密黑客已经通过290种不同方式掠夺超130亿美元资金。其中，基于以太坊的协议蒙受了超过1.42亿美元的损失，ERC-20的漏洞被利用也已造成11.5亿美元的损失，占比8.8%。

从微观层面来看，7月1日，由于VETH智能合约漏洞，致使黑客仅使用0.9 ETH就盗走了919299 VETH（价值90万美元）；6月29日，黑客在Balancer上用dydx的闪电贷不断交易通缩币，利用Balancer的合约漏洞获利90万元；4月19日，Lendf.Me遭到黑客攻击，价值约2500万美金的加密资产被盗......

当然，这只是冰山一角，据统计上半年被盗DeFi总资产超过亿美元，占DeFi总资产的1%。在区块链行业做投资，比“赚100倍”更重要的是“安全、安全、还是安全”。

那么作为投资者，在参与某个DeFi项目时，如何判断该项目是不是安全呢？就以阿风最近正在研究的Defibox（EOS一站式DeFi应用）为例，至少要从四个方面来考量，分别是1）安全审计、2）合约多签、3）开放监督、4）代码开源。

另外说明一下，之所以会研究这个项目，是因为Defibox提供Key/USDT、Key/EOS交易对，其中兑EOS的交易对，流动池的Key数量达到6.6亿，能够满足99.99%以上币乎作者的变现需求。支持一键链接Mykey钱包，参与流动性挖矿。

1、安全审计，标配要求

首先，DeFi项目最需要的就是安全审计，这是因为专业的区块链审计公司会从众多层面严格把关，有了这些专业机构的严格审计，就算黑客想要动脑筋，也要有所忌惮。

这里就以Defibox智能合约审计为例。

根据网站公开数据，Defibox的智能合约经过了慢雾与派盾的双重审计，其中派盾在7月份对Defibox进行了3次审计，8月份进行了1次审计，审计结果为合格，并出具了审计报告；慢雾在7月份对Defibox进行了1次审计，8月份进行了2次审计，审计结果为合格，并出具了审计报告。

这里需要注意，出据具专业的审计报告相当重要，说明项目真的被审计过了，而不是忽悠。当然，项目方并不会全文公布设计报告。

派盾审计报告（节选）

慢雾审计报告（节选）

有人会问，为啥要审计DeFi项目的智能合约？这是因为智能合约本质是一段运行在区块链网络中的代码，智能合约负责完成用户所提交的功能需求。例如在Uniswap交易，如何确认一笔交易完成，你手中的USDT已经兑换成ETH，并扣掉你的USDT，同时支付相应的ETH，这就是智能合约来判断，如果合约出了问题，那岂不是完全混乱了？

但是，所有智能合约都是人编写的，既然是人编写的，就一定会出现错误和缺陷。安全审计公司的职责就是通过对智能合约的全面检查，针对合约的潜在安全风险进行审核并提供改进方案，以确保上线项目的智能合约代码安全。

我提到的Defibox智能合约已通过著名区块链安全公司（派盾和慢雾）的安全审计，这就给代码的安全性提供了重要保障。

第二，智能合约最好具备多钱功能。

2、合约多签，安全基石

虽然有安全机构的代码审查，但是这也并不能保证代码绝对安全，项目自身设计逻辑其实才是安全的基础，在笔者看来Defibox采用的合约多重签名（Multi-signature），构成了智能合约的安全基石。

多重签名，就是对合约的每一次修改与部署进行多方确认，只有得到足够多的节点共同签名确认，最新版的智能合约才可被成功部署上链。

着重补充，虽然合约多签并不能避免因合约BUG所导致的资产损失，但是安全系数呈指数增加。

举个例子，多签减少系统风险有点像并联电路的工作原理，多线路并联的结果就是，当一条线路出故障，电力并不会中断，因为其他并联电路依然在确保电路正常工作。多签智能合约中如果一个节点除了故障，或者想要作恶，当其它智能合约工作正常，就不会导致安全事故。

我们仅以Defibox实行的合约账户多重签名为例，Defibox将资产管理权分散给EOS超级节点、安全公司、知名钱包，让资金管理权实现去中心化，即便是Defibox基金会也无法私自挪用合约内的用户资产，进一步保障用户的资产安全。

此外，Defibox联合多家EOS超级节点、安全公司、知名钱包共同对智能合约进行多重签名，实现核心资产的去中心化管理，目前，Defibox已获得11个节点的多签支持。

最后，Defibox还实行1+3的多签规则，也就是在Defibox基金会一方签署的基础上，合约的部署仍然需要另外3个节点签名确认。

接下来就是开放监督了，这是项目对自身安全性负责人的体现。

3、代码漏洞赏金计划，开放监督

我们知道，所有知名互联网公司都会出台代码漏洞赏金计划，像Google/FB/Twitter/Alibaba/Lenovo/APPLE/Amazon等等，但凡我们听过的互联网公司都会实行这一计划。

其目的是就是鼓励“道德黑客”积极参与项目生态建设的有益尝试。通过“赏金计划”的发布，用奖励前置的方式发现“问题”或“缺陷”，进而强化预警性和项目安全性。如提交了有关于影响Defibox的合约安全漏洞，且对此类漏洞进行了保密，直到我们的工程师解决了该漏洞，就可获得相应漏洞等级的奖励。

目前大多数知名的DeFi项目均出台了代码漏洞赏金计划。

根据The Block Research在8月下旬出台的一份针对DeFi项目安全审计与合约漏洞赏金计划的调查报告显示，目前DeFi项目的重大Bug的中位数上限奖金范围为25000美元。借贷协议Aave是关键bug的最高奖金项目，对于一个关键且容易被利用的披露，奖励金额为25万美元。

低风险Bug赏金的中位数是1000美元，其中Curve的2500美元是这批项目中最高的。

目前，Defibox已推出漏洞赏金计划，尽量消除可能存在的安全漏洞和潜在风险。

总结一下，赏金计划其实就是主动向“白帽子黑客”伸出橄榄枝，为项目提高安全性，降低项目风险。

最后，如果项目方能够做到代码开源，就是锦上添花了。

4、代码开源，体现自信

我们知道，区块链技术是一个大账本，可供很多人查看使用，这个大的账本需要多方参与合作。但是在合作过程中，如何迅速的建立互信，如何让更多合作伙伴将业务直接建立在陌生平台上，最好的办法就是开源代码。

代码开源之后，更多志同道合的伙伴得到实际的帮助，其他开发者可以从项目的代码里得到灵感，做出更好的项目。

总之，如果项目的开发繁荣了，那么项目必然会变的更加安全。就像开发者数以万计的BTC势必会比开发者寥寥无几的BTG更加安全，就是这个道理。

据了解，目前Defibox正在规划合约代码的完全开源，并将团队已有的经验分享出去，这也是自信与开放的体现。

灰度投资年中报告：

（上）灰度加密资产年中报告，大量新入机构大幅加仓ETH，增持LTC、BCH，入场节奏急剧提升

（下）灰度投资年中报告，大量机构入场大动作加仓ETH，增持LTC、BCH，入场节奏快速提升

灰度深度毒奶：

（上）比特币“量化紧缩”与央行“量化宽松”

（下）比特币“量化紧缩”与央行“量化宽松”

—-

编译者/作者：阿风1989

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。