本文由AXEL团队编译
原文作者:JASON WU
原文标题:The Code Is Key: Solutions for Overcoming DeFi Security Breaches
实施全面安全审查,保证在尽职调查和质量保证过程中实施最佳实践,DeFi的发展前景无限。
去中心化金融(DeFi)引起了主流金融技术群体的关注。虽然DeFi行业因提供从贷款到支付的创新数字金融解决方案而受到称赞,但发生了很多备受关注的安全漏洞,导致进展受阻。相比传统银行服务,遵守安全准则能够确保DeFi解决方案可以更好地为用户提供更即时、安全和可靠的网络。
安全威胁掩盖了新的DeFi市场机会
疫情期间,政府采取居家隔离措施进行疫情防控,因大量不良贷款和财政救助金处理需求,主流金融银行系统早已崩溃。企业和个人等待数周才能拿到政府救助金,而这原本只需要几小时。疫情期间,DeFi支持者早已知晓的金融系统缺陷被曝光:无法直接即时获得资金。
在疫情期间,经济金融受到重创且银行无法向中小企业贷款,创业公司和企业家遭受了巨大的经济损失。随着政府提前取消临时刺激计划,大型企业的基本信贷额度被切断。在这种新的经济形势下,DeFi能够去除传统支付繁琐的手动流程,实现即时交易且成本低廉,可以为资金获取和支付处理提供清晰、切实可行的解决方案。
尽管该技术应用前景广阔,但DeFi解决方案批评者仍认为安全问题会继续阻碍点对点金融网络的增长和主流采用。通过高效智能合约集成,结合优质编码,DeFi平台可以充分保护用户资金,防止以后再次发生黑客攻击,例如今年年初dForce网络遭受的黑客攻击。
DeFi行业从dForce黑客攻击中吸取的教训
2019年,DeFi取得了很多突破性进展,DeFi社区为此举办了庆祝活动。这些成就包括可观的投资轮(Andreessen Horowitz斥资1500万美元投资MakerDAO)和名企入场(ConsenSys以Codefi新产品套件名义加入DeFi生态系统)。今年2月,DeFi实现了另一个重要的里程碑:锁定到去中心化贷款合同的贷款首次突破10亿美元大关。
然而,4月份,有消息称去中心化金融协议dForce网络的中国平台Lendf.me遭到黑客攻击,涉案金额高达2500万美元,这给了DeFi社区当头一棒。不过,剧情随后反转。没过几天,黑客几乎退还了全部涉案金额。事后,DeFi行业分析人员努力研究这种大规模攻击发生的原因。其中有很多人提到黑客设计了很复杂的算法。
在从多方面分析dForce黑客行为后,攻击原因就很清楚了,那就是dForce未做到全面尽职调查。dForce没有进行尽职调查,说明使用的代码并非原创,而是从DeFi贷款市场领先企业Compound那里复制而来;几乎没有安全审查或审计;没有针对智能合约的紧急停止流程。
在dForce遭遇攻击事件后,DeFi社区能否更好地应对将来的安全威胁?如果DeFi行业在编码和尽职调查中将安全审查和最佳实践视为第一要务,那么它在为全球用户提供真正切实可行的数字金融解决方案方面的实力不容小觑。
DeFi安全解决方案
要保护用户、增强DeFi网络安全性能,进行全面的外部安全审查、使用原始代码、启动测试网来保证安全措施有效性只是首要基本措施而已。为保证智能合约安全和质量,编写测试脚本和迁移脚本又快又有效。可以通过部署其他高级审核工具来弥补此方法的不足,例如代码覆盖率、手续费成本分析、使用Mainnet fork ganache进行测试、代码风格检查和持续集成。
部署了相关高级安全审查工具后,值得随时调用任何资源进行外部安全审查。这不仅使潜在投资者感到满意,而且列出了在编码阶段可能被忽略的任何潜在问题。选择精通DeFi技术的安全审查公司有助于加快审查过程,节省时间和金钱。
审核完成后,下一步应该就是启动测试网。这既可以节约宝贵的时间,还有机会发现网络故障。邀请社区成员和团队测试智能合约。把时间和资源花在测试网络阶段是较为明智的做法,因为一旦启动beta主网,就很难修复问题了。启动测试网是与社区成员互动的机会,也是在公布启动beta主网前为主网上线做好准备的机会。在测试网络启动期间采取这些措施,有助于获得用户吸引力和社区关注度。
内部安全审查的最后阶段应包括有奖捉漏计划:邀请社区成员参与安全漏洞有奖发现活动。该活动分为两个阶段:beta版发布前和发布后。发布前的有奖捉漏好处是可以邀请黑客测试智能合约,让其指出漏洞。Beta版发布后,应不断向黑客社区开放有奖捉漏计划。这样可以确保找出并适时解决所有潜在的安全故障,降低黑客攻击风险。
安全解决方案为DeFi带来了光明前景
全球借贷双方需要更多的金融解决方案和替代方案来管理财富。迄今为止,主流金融服务未能提供切实可行的数字金融解决方案。银行也受到安全漏洞的困扰,例如窃取用户信用卡和登录信息的在线欺诈计划和黑客攻击。
疫情期间,中心化系统的漏洞曝光,银行在快速有效处理付款方面承受着巨大压力,因此中心化系统的安全性可能再次受到质疑。同时,这个新的市场环境也体现了DeFi解决方案的巨大潜力,即将财务控制权重新还给用户,提供更好、更安全的传统银行业务替代方案。
随着存款、付款和贷款等新型金融产品的增长,DeFi领域也取得了重大进展。为了让DeFi社区受益于DeFi领域已经取得的进展,如上所述,实施安全最佳惯例成为当务之急。通过确保用户安全并防止外部黑客入侵,DeFi即将为主流所采用。最后,在新的数字时代下,全面的安全审查和质量保证将为该行业的发展繁荣提供必要的信任度和透明度。