Cách phát hiện các lực kéo thảm tiềm năng trong DeFi

Nếu bạn là nhà đầu tư DeFi, một trong những cảm giác đau đớn nhất trên thế giới là trải qua cái được gọi là “thảm họa”, thường liên quan đến việc các nhà phát triển của dự án từ bỏ dự án và lấy sạch tiền của họ. Điều này có thể xảy ra theo một số cách, chẳng hạn như khi nhà phát triển bắt đầu thanh khoản ban đầu, đẩy giá lên và sau đó rút thanh khoản, ngăn không cho chủ sở hữu thoát khỏi vị trí của họ. Một phương pháp phổ biến khác là khởi chạy một trang web nhưng đóng cửa sau khi thu hút hàng trăm nghìn tiền gửi.

Theo dữ liệu của Ciphertrace, trong nửa cuối năm 2020, gần 99% các vụ gian lận lớn và biển thủ tiền là do các giao thức DeFi thực hiện các vụ lừa đảo kéo thảm và thoát khỏi các vụ lừa đảo.

Các ví dụ đáng chú ý về việc kéo tấm thảm DeFi vào năm 2020 bao gồm: Lv.FinanceEmerald MineYfdexf.FinanceSharkTronUnicatsCompounder.Finance

Chúng tôi đã bị lừa đảo hai lần trong lịch sử đầu tư của mình và chúng tôi hoàn toàn hiểu cảm giác như thế nào khi số tiền khó kiếm được của bạn bị những kẻ lừa đảo đánh cắp.

Trong bài đăng này, chúng tôi cố gắng giúp bạn điều hướng DeFi và có khả năng phát hiện các dấu hiệu của sự kéo thảm.

Mã hợp đồng thông minh chưa được xác minh

Hợp đồng thông minh thường được mở cho bất kỳ ai xác minh, để công chúng có thể xem mã hoạt động như thế nào và kiểm tra bất kỳ chức năng đáng ngờ nào.

Triển khai mã chưa được xác minh vào chuỗi khối có nghĩa là không ai có thể xem những gì được viết trong mã. Các tác nhân độc hại có thể thực thi mã độc bất cứ lúc nào và chuyển tiền bị khóa trong hợp đồng thông minh sang các địa chỉ khác mà không có sự cho phép của bạn.

Phát triển gấp rút và triển khai các ví dụ về hợp đồng chưa được xác minh

Hầu hết các dự án hợp pháp đều mất hàng tháng để lên kế hoạch, xúc tiến và triển khai. Nếu bạn tìm thấy bằng chứng cho thấy một dự án đang được phát triển và triển khai một cách vội vàng, thì nó cần được lưu ý ngay lập tức.

Ví dụ: nhiều dự án sao chép Uniswap chỉ đơn giản là phân tách cơ sở mã Uniswap và thực hiện các thay đổi nhanh chóng đối với giao diện người dùng trong khi vẫn còn rất nhiều công việc chưa hoàn thành. Đây là tất cả các dấu hiệu của một tấm thảm tiềm năng.

Trong trường hợp Wineswap lừa người dùng 344.000 đô la, nhà phát triển đã không buồn thay đổi tên của mã thông báo trong hợp đồng và chỉ sử dụng Sushiswap.

Ví dụ: nhiều dự án rẽ nhánh không cung cấp bất kỳ lợi ích hoặc tính năng độc đáo nào, thay vào đó, chúng chỉ thực hiện các chỉnh sửa giao diện người dùng đơn giản cho các dự án phổ biến và tự đóng gói lại thành một dự án hợp pháp, khiến chúng có khả năng thực hiện kéo thảm cao.

WaveSwap, một chiến dịch truyền thông xã hội giả mạo giao diện người dùng tương tự như Pancakeswap

Hoạt động truyền thông xã hội có thể bị làm giả thông qua bot và phần mềm tự động. Các bot tự động này có thể thích, chuyển tiếp tin nhắn, bình luận và chia sẻ các bài đăng trên quy mô lớn trong khi tham gia các chiến dịch airdrop.

Ví dụ về các tài khoản mạng xã hội giả mạo có vẻ rõ ràng, có rất ít hoặc không có hoạt động nào khác ngoài việc thích hoặc đăng lại các bài đăng và nội dung được quảng cáo.

tài khoản bot có thể

Khi tiếp cận một giao thức DeFi, hãy kiểm tra các tài khoản mạng xã hội của nó - Twitter, Telegram, Discord để biết hoạt động của bot. Người dùng và người tham gia có hợp pháp không hay họ đang giả dạng người dùng?

Chưa được kiểm toán hoặc được kiểm toán bởi một công ty kiểm toán không xác định

Vì các giao thức DeFi được kết nối với phần còn lại của DeFi và có thể nắm giữ hàng triệu hoặc hàng tỷ đô la tiền của khách hàng, kiểm toán đóng một vai trò quan trọng trong việc đưa ra ý kiến ​​thứ hai về chất lượng của hợp đồng thông minh. Tuy nhiên, kiểm toán không phải là hoàn hảo và nhiều giao thức đã bị tấn công mặc dù đã được kiểm toán bởi các công ty có uy tín.

Lớp bảo mật đầu tiên là để hợp đồng thông minh được kiểm toán bởi một công ty kiểm toán có uy tín. Theo chúng tôi, các công ty kiểm toán uy tín bao gồm PeckShield, Trail of Bits, Quantstamp và Slowmist.

Các công ty kiểm toán sẽ xem xét cơ sở mã của dự án và tùy thuộc vào mức độ nghiêm trọng của chúng, phát hiện ra các vấn đề có thể cần phải khắc phục. Sau cuộc kiểm toán, báo cáo kiểm toán có thể được công bố.

Ví dụ kiểm toán để kiểm tra mã

Dựa vào các công ty kiểm toán kém uy tín hơn có thể gây ra rủi ro đáng kể cho tiền của người dùng, vì họ có thể làm giảm chất lượng kiểm toán hoặc có thể không có kinh nghiệm kiểm toán hợp đồng thông minh phức tạp. Một số dự án có thể sử dụng nhiều kiểm toán viên để kiểm tra mã hợp đồng thông minh nhằm xác định độ tin cậy của giao thức.

Sử dụng nền tảng đánh giá của bên thứ ba như DeFi Safety cũng có thể giúp giảm bớt lo ngại về nhiều yếu tố như chất lượng mã, nhóm, quy trình kiểm tra, quy trình bảo mật và kiểm soát truy cập.

An toàn DeFi

Không có khóa thời gian hoặc đa chữ ký

Hợp đồng thông minh thường có thể được nâng cấp hoặc có các chức năng được gọi bởi quản trị viên, thường là địa chỉ nơi hợp đồng được triển khai.

Các chức năng này có thể bao gồm tạo nhóm thanh khoản mới hoặc thay đổi các tham số giao thức, chẳng hạn như phí rút tiền trong trường hợp AMM.

Khóa thời gian thường là một đoạn mã xếp hàng đợi các thay đổi của hợp đồng thông minh sau ký quỹ dựa trên thời gian, về cơ bản là khóa chức năng của hợp đồng thông minh cho đến khi một khoảng thời gian xác định trước trôi qua. Ví dụ: nếu hợp đồng có thời gian khóa là 48 giờ, thì mọi thay đổi được thực hiện thông qua hợp đồng thông minh phải được xếp hàng đợi và chỉ có thể được thực hiện sau 48 giờ.

Khóa thời gian cung cấp cho người dùng đủ thời gian để phản ứng với các thay đổi của hợp đồng thông minh và nếu họ phản đối một thay đổi cụ thể, họ có thể rút tiền từ giao thức trước khi thay đổi được thực hiện.

Pancakeswap sử dụng khóa thời gian 6 giờ để giúp người dùng có thời gian phản ứng với các thay đổi giao thức.

Nếu không có khóa thời gian, quản trị viên hoặc quản trị hợp đồng thông minh có thể gửi một giao dịch độc hại ngay lập tức và phá vỡ toàn bộ giao thức. Một số dự án có thể sử dụng multisig thay vì timelocks để thực thi các thay đổi đối với giao thức. Trong trường hợp đa chữ ký, trong đó cần có nhiều chữ ký để thực hiện giao dịch, giao dịch có thể được thiết lập để được đa số người ký ủy quyền trước khi được gửi trên chuỗi.

Nhiều giao thức sử dụng multisig để kiểm soát các tham số. Ví dụ: Curve là người đồng ký tên vào đa chữ ký quản trị của yEarn Finance, quản lý việc đúc các mã thông báo YFI mới. Nếu một dự án không có những điều kiện này thì hãy cực kỳ thận trọng vì nhà phát triển có toàn quyền kiểm soát tiền gửi của bạn và có thể rút hoặc chuyển chúng theo ý muốn.

Có nhiều cách mà một dự án mới có thể lừa lấy tiền của bạn và các phương pháp trên không phải là cách duy nhất để bảo vệ số tiền khó kiếm được của bạn.

Trên thực tế, nếu điều gì đó có vẻ quá tốt đối với bạn hoặc bạn cảm thấy nghi ngờ bằng trực giác, hãy tránh nó. Không có lý do gì để mạo hiểm tất cả số vốn của bạn chỉ để tham lam kiếm thêm vài đô la.

DeFi có thể là một không gian nguy hiểm vì đó là một không gian không được kiểm soát với nhiều tác nhân độc hại đang cố lừa bạn từng bước — từ kỹ thuật xã hội đến cố gắng khiến bạn chuyển giao cụm từ hạt giống của mình.

Lưu ý của biên tập viên: Tiêu đề ban đầu là "Cách phát hiện một tấm thảm tiềm ẩn trong DeFi", tiêu đề của bài viết này đã được sửa đổi theo khả năng đọc của kênh liên lạc; Tác giả: Stakingbits​

Nguồn: trung bình

Tuyên bố miễn trừ trách nhiệm: Cointelegraph Chinese là một nền tảng thông tin tin tức blockchain và thông tin được cung cấp chỉ thể hiện quan điểm cá nhân của tác giả, không liên quan gì đến vị trí của nền tảng Cointelegraph China và không cấu thành bất kỳ lời khuyên đầu tư và tài chính nào. Độc giả được yêu cầu thiết lập các khái niệm tiền tệ và khái niệm đầu tư chính xác, đồng thời nâng cao nhận thức về rủi ro một cách nghiêm túc.