DeFi项目-审核和多签（MISG）

DeFi项目-审核和多签（MISG）

作者：@YvesLaRose

我一直在努力收集我的想法，以便撰写这篇文章，因为最近EOS DeFi领域发生了很多变化。 我想以一种易于阅读的形式来总结EOS Nation电报组的讨论，同时也有一些东西可供将来参考。

披露：我专门写这篇文章有两个原因

●一位代币持有者联系我，他认为一个在其多签权限许可列表中添加EOS Nation的项目是骗局项目。

●看来EMD项目已经是骗局无疑了。

我的目标是拥有尽可能广泛的覆盖面，因此，我会尽量说得不那么复杂——对这些概念有深刻理解的人可能会觉得我把某些事情过于简单化了，这就是我的意图。

审核VS开源

我们现在在EOS中看到的是那些选择对合约进行审核或跳过审核并开放源代码的项目，这些代码实质上为所有人打开了大门。两者各有利弊，我确实想详述这一点。关键是我们通常应该看到其中的一个。

一个潜在的危险信号是项目两者都没有

还需要注意的重要一点是，执行审核或开放源代码不会消除代码中出现问题的风险（有意或无意），它只是减轻了一部分风险，甚至在一定程度上大大降低了风险，但这不是完全证明。它们都是通过建立初始的基础信任层来改善与代币持有者的关系的手段。我知道有几家公司提供过与EOS合作的审核服务：Slowmist，PeckShield，EOS42和Sentnl。根据与这四个团队合作的经验，我认为它们是有能力且值得信赖的。但是，我需要重复一遍——审核不能消除风险，但是可以在很大程度上减轻风险。请记住这一点。执行审核的过程是一个反复的过程，可能会持续数天，并且旨在弥补代码中的任何潜在漏洞。如果项目执行审核，但部署的代码版本不同（未经审核），则没有任何意义。需要确保已部署的代码与审核代码的哈希匹配。通常，审核员在给出批准印章时会将其标记为“提及”（即，我们已经审核了此代码，并且部署的代码与我们审核的哈希值匹配）。

多签权限VS上帝权限

这是一个棘手的问题，请耐心等待。MSIG是多签的缩写——它只是增加了多个合约方对特定合约进行更改的要求。更改可以是从合约本身内部的代码修改到功能执行的任何内容。 MSIG之所以出色有很多原因，主要是放弃了对特定合约的唯一授权——去中心化其所有权。

EOS具有一组功能强大的基础层权限功能，可以与MSIG一起使用。需要调整的两个主要参数是：阈值和权重。

●阈值是必须达到的门槛，达到或超过此具体数字才能对合约具有权限；

●权重是分配给每个参与者的值。当确定满足阈值要求后，会把权重加上。

例如，假设某合约的设定阈值为三。在权限集中，有五个帐户，每个帐户的权重为一。为了更改帐户，需要这些帐户中的任何三位达成共识才能达到设置的门槛。

每个EOS帐户都有一个Owner（所有者）密钥和一个Active（激活）密钥。

●所有者权限可以执行任何所需的操作，包括更改Active密钥和权限集。

●在许多情况下，活动权限仅是eosio.code合约本身。

请注意，对于大多数项目，您会在Owner权限看到MSIG，但不一定在Active权限看到MSIG。这是有点棘手的地方……

任何帐户都可以添加到MSIG权限列表中。这不需要征得所述帐户所有者的同意。

为什么这很重要？例如，拥有一个MSIG帐户确实在一定程度上增加了一层安全性（正如我上面提到的，它的确去中心化了合约所有权），但是如果不遵循其他标准，这可能是肤浅的。MSIG帐户的存在并不意味着合约没有任何问题。

●始终查看代码是否已审核或开源。

●始终检查MSIG参与者是否是已知的和受信任的实体。

●始终检查阈值和权重设置；还有多少其他实体需要批准更改才能达成共识。

关于共识的问题，这一点无关紧要。礼貌地说，这是一个很好的形式，可以让项目伸出援手，询问特定实体是否希望成为MSIG的当事方，但是正如您现在所知道的，这是没有必要的。 我们无法指导和审查每个项目，我们无法做到这一点，没有足够的时间来这样做。

列入MSIG名单并不非表示对该项目存在默认认可

在EOSNation，我们已接受列入MSIG列表的项目，以帮助将合约去中心化作为对代币持有者和开发人员的一般服务。我们同意在满足上述条件时这样做，因为这在一定程度上有助于确保没有人可以随意转移资产。但是，随着生态系统的发展和更多项目的部署，这种情况已不再具有可扩展性。因此，我先前关于同意的评论是不必要的。在某些时候，项目将不可避免地分配受信任的实体，并且仅在需要或进行更改时才提供帮助。审核过程如果被接受，将在那时完成。值得注意的是，除非绝对必要，否则您通常不希望对代码进行修改，因此这可能永远不会发生。只要代币持有者理解我上面写的内容，就可以了。一个MSIG帐户并不意味着它没有风险，就像审计一样，它只是一个额外的保护层，可以减少可能的风险，而不是消除风险。

我在开始这篇文章的时候披露了这篇文章的具体时间，让我来解释两个问题。

●一个几乎没有实用程序，沟通不畅，拥有可疑的通证经济，一个匿名团队以及资产价值下跌的项目不会使它成为骗局。

●据我所知，EMD没有经过审核，不是开源的，并且Owner和Active密钥是相同的，而不是MSIG。

感谢您的阅读，我希望这有助于阐明这些概念，并随着我们的生态系统进入下一阶段的增长，将帮助您做出明智的决定。

原文地址：

https://app.voice.com/post/@yves/defi-projects-audits-and-msigs-1599628148-1

关联阅读

FIO代币凭什么能一夜10倍？先了解它的基本信息

https://bihu.com/edit/1278359335

最近备受追捧的FIO 协议到底是什么？

https://bihu.com/article/1848981138

FIO路线图——更多功能即将实现，发展潜力足够

https://bihu.com/edit/1349619384

抓住区块链行业域名风口，FIO的去中心化域名优势

https://bihu.com/article/1713177590

【FIO】优秀的费用设定才能带来优秀的生命力

https://bihu.com/article/1533668259

FIO已经为去中心化的商业应用做好准备

https://bihu.com/edit/1643296398

EOS Cannon

社群官网：https://eoscannon.io

官方twitter：https://twitter.com/cannon_eos

—-

编译者/作者：EOSCannon

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。