了解有关这两种风险评估模型以评估DeFi平台的信息

关键事实：

分析师Chris Blec展示了如何评估DeFi项目的安全性。

开源计划分析协议的集中性和财务风险。

在了解了bZx平台遭受的攻击后，去中心化金融（DeFi）的生态系统比以往任何时候都更加重要，并成为研究和深入分析的对象，并且凸显了这些系统可以实现去中心化或集中化的程度他们有很多这样的项目。

在所有这些讨论中，也出现了那些担心向用户告知使用分散式平台时他们将承受多少风险以及他们应该知道或应该信任的内容的人。因此，在本文中，我们将介绍两个模型，这些模型使我们能够确定在DeFi部门运营时所面临的风险。

著名分析师Chris Blec于二月发布了一份文档，其中概述了用于各种分散式应用程序（dApps）的投资组合周围的运营安全性。

运营安全（OPSEC）是识别可能对潜在攻击者有用的友好行动的过程，是否对它们进行了适当的分析并与其他数据分组以揭示关键信息或机密数据。 OPSEC使用对策来减少或消除对手的利用。

根据该标准，Blec调查了部署的方法通过十三项DeFi项目来保护资金免受黑客攻击。他评估了八项功能，包括时间锁定，多重签名安全性以及有关管理员密钥的其他详细信息。

Blec在他评估的DeFi项目的各种协议中发现的弱点之一是：几乎所有的私有密钥都授予允许更改的管理权限以及对智能合约的改进，如果这种权力落入恶意手中，则会使用户的资金面临风险。

这一发现使分析人员咨询了这些项目，他们在做什么以保护授予管理特权的密钥？

基于此，他发现的希望并不大：?我发现的是，您必须信任协议或项目。您必须相信他们说的话。您必须能够完全信任说您的资金安全的核心团队。这样做的原因是这些协议都不可能我可以向您证明您的管理密钥是100％安全的?。

Blec在该文件随附的视频中指出，他从对话，博客文章，GitHub存储库等中收集了尽可能多的信息，以查找有关他所评估项目的OPSEC信息。

发现他们中的几个通过添加临时延迟来保护其管理密钥。这意味着当某人使用管理特权执行智能合约更新（以太坊中的事务发送）时，此操作将保持超时，具体取决于每个协议确定的时间延迟。

这就是dYdX迟到三天的方式。另一方面，佛法只有七天。然后还有其他没有时间锁定的设备，这意味着没有延迟，就像TokenSets和Aave一样。克里斯·布雷克（Chris Blec）对此解释说：

这意味着，例如，如果某个化合物在社区中发生某些事情，而社区却不喜欢它，那么他们将有两天的时间来评估私钥是否已被泄露，并确定是否有人要执行恶意交易。在这两天中，他们将能够使其无效或采取某些措施来保存受到破坏的内容，这就是阻塞时间背后的想法。

要研究的另一个元素是多重签名密钥，它在DeFi平台上授予一些管理特权。

使用这些密钥，可以签署用于更新生态系统的任何交易。例如，令牌集具有这些多重签名中的3个中的2个。这意味着您的系统需要三个私钥，但是只有两个私钥必须同意授权发送给更新智能合约的任何交易。此外，它没有时间锁定，因此更新会立即处理。

在这一点上，Blec补充说，项目无法证明所有多重签名密钥都在唯一的人手中。

?我以dYdX为例，并不意味着我在指责他们。他们有三个密钥中的两个，但是没有办法证明这三个密钥一直存在并且将永远由三个不同的个人拥有。

一个人可能创建了三个密钥并分发了它们，但先前保留了一个副本，这会将三个密钥留给一个人拥有。从那里开始，许多不同的事情可能会出错，因此不能将其视为良好的OPSEC的证据，”他解释说。

Blec还考虑了要求保护的管理密钥OPSEC，作为评估DeFi生态系统协议安全系统的决定性特征。

在他周围，他发现评估的大多数项目都不需要任何对应信息来提供有关如何保护其私钥的数据。。例如，大院使用由核心团队成员实施的离线多方程序。另一方面，Aave使用保存在冷藏库中的钥匙和投票系统。

“我并不是要指责任何人说谎，而是要说我们必须相信他们所说的每一句话，而不是相信这些情况的代码。因此，这条线也迫使我们信任他们所说的话，这不能证明他们的OPSEC，”他补充说。

在Blec编写的表格的以下列中，他比较了所考虑的13种协议的经过验证的OPSEC管理密钥，但此后得出了相同的结论：没有什么是可验证的。

这就是为什么分析师建议每个用户进行自己的调查的原因。您可以使用Blec考虑的标准来确定哪些是您最喜欢的协议，以及您将信任哪些协议来存入资金和进行投资。

从这个意义上说，分析人员认为，评估正在运行的风险以及每种协议正在考虑的措施是至关重要的，以避免攻击或利用漏洞。它提供的一个相关事实是，提供最少信息的协议就是那些对用户带来最大风险的协议。

当您决定信任DeFi项目时，请问自己是否真的信任这些人，问自己是否认为种子关键短语不会放在咖啡桌上，或者问自己是否完全确定创始人的堂兄不知道存放种子种子的房子里的保险箱。

克里斯·布莱克（Chris Blec）根据他对13个分散式金融项目所采用方法的研究得出了这张图表，这对用户学习在这些平台上操作时确定其风险很有用。资料来源：克里斯·布莱克（Chris Blec）社交媒体。

要仔细查看此表，可以在此处访问它。

衡量您面临的风险

考虑到风险并不总是清晰可见，并且通常对于普通用户而言很难解释，因此可以使用DeFi分数来衡量风险。关于社区驱动的标准，以评估在贷款平台上运营的风险分散的。

该模型基于分数，该分数允许基于各种影响因素（例如，智能合约风险，集中化风险和财务风险）来衡量每个项目中的运营风险。

该模型使用从0到10的分数来限定这些特征中的每一个。一目了然，无需技术知识即可评估风险。尽管最初由ConsenSys发布，但DeFi Score现在是开源的。

借助DefiScore，用户无需技术知识即可确定在分散式平台上进行操作的风险。资料来源：DeFiScore。

有关该项目的更多信息，请查看官方GitHub，该站点还包含完整白皮书的链接。

相对于所使用的平台，最流行的资产类型（DAI，USDC，WBTC等）进行了排名。10分是最好的，等于表明资产没有风险。另一方面，得分为0表示存在很大程度的风险，因此，应不惜一切代价避免资产（或平台）。

就智能合约风险而言，该分析基于确定借贷平台基础代码的安全性。该分数使我们能够确定协议的验证程度，以及存在何种类型的系统以不断消除智能合约代码中的缺陷。具体来说，考虑了智能合约审核，错误奖励计划和正式验证。

该方案评估的另一个特征是财务风险。这是关于平台金融工具背后的机制如何工作的。这考虑到了区域差异例如流动性，工具波动性和抵押要求。

例如，通过检查两个数据来评估附带风险，这两个数据均来自链中的数据。第一点是抵押率的30天指数移动平均线（EMA）。第二点是使用其网站上指定的CVaR（有条件风险值）模型（也称为预期赤字模型）对担保投资组合进行分析。

关于集中化，该模型基于管理密钥和预言的使用来评估风险，重点是确定单个实体可以在何种程度上轻松地操纵它们。

到目前为止，DeFi Score整合了七个不同的贷款平台：Compound Finance，dYdX，Fulcrum（bZx），Nuo（Nuo Network），DDEX，Aave和Oasis。这些与DeFi中使用的16种流行加密货币一起列出：DAI，USDC，ETH，WBTC，REP，ZRX，BAT等。目前，化合物的评级最高，而绿洲则被列为最高风险。

Compound首先获得评分的原因之一是因为Open Zeppelin进行了正式审核，该审核是智能合同风险缓解工作的代理（对评分的最大影响）。

尽管如此，该审计在去年八月发现，尽管建立了适当的安全系统，但是激励计划和所使用的特权角色可能适得其反。同样，有些人警告用户不会意识到在此平台上成为贷方可能涉及的财务风险。

—-

原文链接：https://www.criptonoticias.com/seguridad-bitcoin/modelos-medicion-riesgo-evaluar-plataformas-defi/

原文作者：globalcryptopress

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。