DeFiプロトコルの究極のセキュリティガイド
TVLが高いからといって絶対的な安全性を意味するわけではなく、監査報告書も盲目的に信じるべきではない。著者:Ignas
翻訳:Crush、Biteye コア貢献者
FTX の崩壊は、自己管理とリスク管理の重要性を証明しました。しかし、DeFi にはまだ多くの脆弱性、Rug Pull、契約のバグが存在し、ちょっとした不注意でお金を失うことがあります。
今日は、資産を守るためにプロジェクトの安全性を評価する方法についてお話しします。
もしあなたが経験豊富なスマートコントラクト開発者で、プロジェクトコードの安全性を自分で確認できるのであれば、それは素晴らしいことですが、ほとんどの人はそうではないと信じています。
したがって、他のデータに基づいてプロジェクトを評価するしかありませんが、これはある程度の信頼を伴います。
TVL が高いと必ず安全?
多くの人が、スマートコントラクトに預けた資産の価値を基に DeFi プロジェクトの良し悪しを評価していることは周知の事実です。そのため、多くの人が TVL はある程度このプロジェクトの安全性を反映していると考えています。
ロックされた資産が多ければ多いほど、そのプロトコルの安全性が高いことを示しています。多くの資金をロックできるプロトコルは、預けた人々が十分な調査を行い、安全性を確認した上でお金を預けていると考えられます。
残念ながら、TVL はしばしば誤った安全感を与えます。一方で、高い TVL のプロトコルはより安全だと考えられますが、同様にハッカーもこれらのプロトコルを攻撃のターゲットにすることがあります。なぜなら、これらのプロトコルを攻撃することでより多くの利益を得られるからです。もう一方で、低い TVL が必ずしもプロトコルが安全でないことを意味するわけではありません。
したがって、TVL のみでプロトコルの安全性を判断するのは、少し曖昧です。
私たちは TVL に基づいて既存の DeFi プロジェクトをランキングしました:
この図を見た後
あなたはまだ高い TVL が必ず安全を意味すると考えますか?
図の中で、あなたが信頼できないと思うプロトコルはどれですか?なぜですか?
自分で確認する
「信頼せず、確認する」というのが私たちがスマートコントラクトの監査を行う理由です。そうでなければ、監査は必要ないかもしれません。コードはオープンソースであり、コミュニティはコード内のすべての問題を見つけることができます。しかし、コミュニティは正しい動機、インセンティブ、または専門知識を持っていないかもしれません。
したがって、監査人は十分に専門的でなければなりませんが、さらに重要なのは、監査人自身が問題を起こさないことです。たとえば、有名な監査会社 Certik が監査した多くのプロジェクトが依然としてハッキングされていることからも、予防が難しいことがわかります。
同時に、監査会社は自分たちの評判を築いています。彼らが監査(および安全と評価した)プロトコルがハッキングされると、専門的でない印象を与えます。実際、Certik は 3422 以上のプロジェクトを監査しているため、その中にはハッカー攻撃や脆弱性が存在することも避けられません。
したがって、監査を行ったからといって、プロトコルが安全であるとは限りません。私はいくつかのプロジェクトが「監査を完了した」と誇らしげに発表するのを見ましたが、監査報告書を読むと、実際の安全スコアは非常に低いことがわかりました。
私が得た教訓は、プロジェクト側の監査発表を盲目的に信じるのではなく、実際の監査報告書を読んで結果を確認することです。
監査報告書を読むのが苦手な場合は?
実際、多くの人は監査報告書を読みませんが、Certik にはすべての監査済みプロジェクトのデータダッシュボードがあります。このダッシュボードでは、プロジェクトの「信頼スコア」を確認でき、数字が高いほど安全を示します。
他の監査機関、たとえば Hacken も同様のデータダッシュボードを持っています。または、監査の要約を簡単に読むこともできます。たとえば、以下の Trader Joe の例は、Paladin によって監査されました。
訳注:Trader Joe は Avalanche 上のワンストップ取引プラットフォームで、取引と貸付機能を提供し、レバレッジ取引を可能にします。
ここからのデータを見ると、Trader Joe はすべての中高リスクの問題を修正しましたが、低リスクの問題については一部が未修正のままです。
監査は始まりに過ぎない
プロジェクトの安全性を評価するには、さらに多くの要素を考慮する必要があります:
十分なテスト
バグバウンティプログラム
ドキュメントの公開と透明性
管理コントロール
オラクルドキュメント
考慮すべき点は非常に多く、すべてを自分で確認するのは大変です。ここで、DeFi Safety に言及せざるを得ません。彼らはこれらのプロトコルを検証し、安全スコアを提供します。
彼らが提供する結果に基づいて、Liquity Protocol、Synthetix、Angle Protocol がすべての検証済み DeFi プロトコルの中で最も安全であることがわかります。
DeFi Safety では、さらに詳細な内容を確認できます。たとえば、Liquity Protocol は形式的検証がまだ必要です。
訳注:コンピュータハードウェアおよびソフトウェアシステムの設計プロセスにおける形式的検証の意味は、特定の形式的な規範または属性に基づいて、数学的手法を使用してその正確性または非正確性を証明することです。
さらに、Exponential DeFi を通じて、ウォレットの投資ポートフォリオの安全性評価を行うこともできます。
「ウォレット評価」機能は、現在の投資のリスク分析を提供します。たとえば、Tetranode の資産の中には、450 万ドルの資産がリスクの高い(C ランク)プロトコルに預けられています。
訳注:Tetranode は匿名の古代のクジラで、約 10 億ドルの暗号資産を持っているとされ、2009 年にビットコインに触れ、その後も常に高い信仰を持ち続けています。
Elemental DeFi はプロジェクト評価に基づいてスコアを提供し、評価には資産リスク、コード品質、資産が保管されているブロックチェーンの安全性が考慮されます。このシンプルでわかりやすいリスク説明は、私のお気に入りです。
たとえば、Abracadabra のステーブルコイン MIM は、直接警告を出します:SPELL を担保として使用することは不良債権を引き起こす可能性があります。
訳注:Abracadabra は生息資産ステーブルコインプロトコルで、ユーザーは生息証明書を担保にしてプロトコルのネイティブステーブルコイン MIM を鋳造できます。
わからないことがあれば質問する
最後に紹介する方法は、プロジェクトのコミュニティに直接参加し、以下のいくつかの質問を考えることです:
彼らには保険基金がありますか?
彼らは質問を避けますか?
彼らは安全性を向上させるために何をしていますか?
たとえば、私は以前 Stargate チームに、プロジェクトがハッカーによる侵入を防ぐための保険基金を持っているかどうかを尋ねたことがあります。しかし、時には正確な答えを得るのが簡単ではなく、プロジェクト側はさまざまな回りくどい方法で質問を避けることがよくあります。これは危険信号のように思え、警戒を強めざるを得ません。
しかし、何が起こっても、DeFi はまだ若く、長い道のりがありますので、すべての卵を一つのバスケットに入れない方が良いでしょう!
