Пошуки найкращої платформи для фармінгу тривають. Ви вже вивчили light papers і знаєте середній річний дохід на ринку. Наступний великий крок - вивчити про безпеку. Так багато питань. З чого почати і що важливо? Як розрахувати ризики? Де взяти об'єктивні дані? Скільки часу це займе?
Якщо ви не знаєте, що таке прибутковий фармінг, ознайомтеся з нашим блогом Leech Protocol.
З невеликою допомогою експертів ви можете легко провести власну точну та ефективну за часом Комплексну юридичну перевірку, щоб бути на крок попереду.
Ми об'єдналися з провідною компанією з кібербезпеки блокчейну Hacken, щоб отримати відповіді. Ми обрали Hacken, тому що вони є експертами в галузі аудиту смарт-контрактів і знають все про безпеку блокчейну. CoinMarketCap і CoinGecko визнають аудиторські звіти Hacken, що говорить про їх визнання в індустрії. Hacken знаходиться в авангарді галузевих стандартів аудиту смарт-контрактів, оскільки є одним з розробників специфікації EthTrust. Маючи п'ятирічний досвід роботи, 180 партнерів і понад 1000 захищених клієнтів, Hacken є одним з найкращих аудиторів безпеки блокчейну.
Ось покрокова інструкція від експертів з кібербезпеки Hacken про те, як обрати найбезпечнішу платформу для майнінгу.
Крок 1. Перевірте обсяг та актуальність аудиту смарт-контрактів
Неможливо переоцінити важливість смарт-контрактів для платформ для прибуткового фармінгу. Смарт-контракт - це код, який регулює та автоматизує транзакції. Зазвичай він складається з декількох функцій, таких як внесення, виведення, кредитування тощо, які забезпечують роботу DeFi-платформи.
Безпечні смарт-контракти завжди працюють за призначенням, не залишаючи жодних лазівок для маніпуляцій. На жаль, смарт-контракти рідко бувають без вразливостей.
Ось найпоширеніші з них:
Reentrancy. (Програму розроблено таким чином, що одна й та сама копія її інструкції в пам'яті може бути одночасно використана кількома користувачами або процесами. При цьому користувач може ініціювати безліч транзакцій і потенційно перевищити баланс свого рахунку, завдавши шкоди проєкту).
Маніпуляції з оракулами
Переповнення та недоповнення
Front-running (маніпулювання ціною)
Timestamp Dependence(Майнер може трохи змінити мітку часу блоку, кількість блоків і середній час на виведення токенів)
Відмова в обслуговуванні
Griefing та Force Feeding (зловживання механікою фармінгу)
Всі ці вразливості уможливлюють витік даних або приватних ключів.
Хороша новина полягає в тому, що платформи для прибуткового фармінгу можуть усунути ці вразливості за допомогою зовнішнього аудиту. Зовнішній аудит - це, по суті, ретельна перевірка коду, щоб переконатися, що всі функції коду смарт-контракту працюють за призначенням без будь-яких прихованих лазівок. Написати ідеальний код практично неможливо, оскільки розробники - це всього лише люди, які час від часу припускаються помилок. Це особливо актуально, коли розробники обмежені в часі та ресурсах.
Смарт-контракти є життєво важливими для безпечних платформ, що приносять прибуток, але не всі аудити створені рівними. Релевантність та охоплення - це два основних питання, які ви повинні враховувати. Аудит повинен бути релевантним і охоплювати весь проект. Web3-проекти, як правило, мають кілька смарт-контрактів, щоб гарантувати, що всі їхні функції працюють за призначенням. Всі контракти (а не тільки один) повинні бути перевірені.
Перевірте кількість смарт-контрактів vs кількість перевірених смарт-контрактів. Будьте обережні, якщо частка перевірених контрактів дуже низька.
Перевірте релевантність. Розгорнутий код повинен повністю відповідати коду, який пройшов аудит. Будь-які значні розбіжності між ними є вагомою причиною для настороженості.
Перевірка доречності та обсягу аудиту на прикладі
Крок 1. Знайдіть публічний аудит
Давайте подивимось на одного з клієнтів Hacken, Zharta - кредитну платформу. Зверніть увагу на значок "Аудит від Hacken" на їхньому сайті.

Зручно, що на сайті Hacken можна знайти перелік усіх публічних аудитів, які він провів. Ми можемо легко знайти аудит "Zharta" тут.

Крок 2. Знайдіть сховище кодової бази
Спочатку перейдемо до розділу "Scope" на сторінці 4. Тут є посилання на репозиторій та комміти. Репозиторій тут відповідає кодовій базі, яку перевіряв Hacken.

Крок 3. Перевірте релевантність аудиту
Опинившись у їхньому репозиторії GitHub, зверніть увагу на дату останнього коміту для ./protocol-v1/contracts/ (виділено червоним кольором).

Дата останнього комміту збігається з датою аудиту Hacken. Таким чином, аудит є 100% релевантним (на день написання статті).
Крок 4. Перевірте обсяг аудиту
У цій же папці (protocol-v1/contracts/) ми підрахували кількість ключових файлів - 12 смарт-контрактів на мові програмування Vyper. У папці protocol-v1/interfaces ми нарахували 11 контрактів.

Ні, давайте порівняємо цю цифру з тим, що міститься в аудиторському звіті. Знову перейдіть до аудиторського звіту Hacken і знайдіть розділ "Обсяг аудиту", де йдеться про четвертий обсяг перевірки.


Під час аудиту Hacken було перевірено 12 контрактів у папці ./contracts та 11 контрактів у папці ./interfaces. Така ж кількість контрактів лежить в основі кодової бази Zharta. Таким чином, аудит охоплює майже 100% ключової функціональності мережі.
Крок 5. А як щодо вразливостей?

Нарешті настав час поглянути на знайдені проблеми всередині звіту. Hacken знайшов 2 критичні проблеми, 16 високого рівня, 5 середнього та 4 низького. Через три ітерації розробники Zharta вирішили майже всі проблеми. Детальніше про кожну знайдену проблему і те, як вона була виправлена, ви можете прочитати у звіті. Також, фінальна оцінка аудиту становить 8.4

Час підбивати підсумки
Всі високі, середні та критичні проблеми були виправлені.
Аудит є актуальним, оскільки дані останнього коміту збігаються з датою перевірки.
Аудит охоплює всі контракти в папках ./contracts та .interfaces.
Кредитна платформа Zharta має майже ідеальне охоплення та релевантність аудиту з дуже високою оцінкою 8.4. Однак не всі аудити є настільки ретельними. На жаль, у нас є сотні криптовалютних проектів з низьким охопленням і кодовою базою, яка вже не є актуальною.
Знову ж таки, ви можете перевірити метрики Audit Relevance та Audit Scope на CER.live, але поки що там перераховані не всі проекти.
Крок 2. Чи безпечний Блокчейн Протокол ?
Аудит протоколу відрізняється від аудиту смарт-контрактів. Агрегатори дохідності можуть взаємодіяти з одним або декількома блокчейнами. Leech, наприклад, працює з 12+ блокчейнами. Деякі мережі, такі як Ethereum або Avalanche, добре зарекомендували себе з мінімальними проблемами безпеки. Нові мережі менш відомі і не користуються таким же рівнем довіри. DefiLlama перераховує 290 протоколів прибуткового фармнігу, які працюють у більш ніж 50 мережах.
Не можна вважати, що кожен з них є безпечним. Нова мережа може завоювати довіру, пройшовши зовнішній аудит блокчейну. Щоб перевірити, чи перевіряється блокчейн, перейдіть на його веб-сайт і перевірте сторінку безпеки. Крім того, інформацію про аудит можна отримати з репозиторію проекту у вкладці "Безпека" в CoinGecko.
Крок 3. Перевірка даних
Важливою метою перевірки даних є мінімізація ризику Rug Pull(несподіване видалення ліквідності токена розробниками проекту, внаслідок чого ціна активу падає до нуля, а інвестори втрачають усі свої гроші). Не всі засновники мають найкращі наміри. Деякі розвивають свій бізнес з прибуткового фармінгу з єдиною метою - втекти з активами користувачів та інвесторів. Ви їх більше ніколи не побачите, і ніхто не поверне ваші гроші. Rug Pull відбувається майже щомісяця, тому тримайтеся подалі від шахрайських проектів.
Репутація - це все за умов відсутності довіри. Шукайте сторінки в LinkedIn, відеоінтерв'ю та іншу цінну інформацію про засновників платформи. Хто вони? Експерти DeFi з перевіреним послужним списком чи аматори з ризикованими ідеями, які не заслуговують на довіру? Ми розуміємо, що деякі проекти невеликі, деякі не мають достатнього висвітлення в ЗМІ, а деякі хочуть залишитися анонімними. Тому зверніть увагу на найближчих партнерів платформи, згадки у ЗМІ та присутність у соціальних мережах. Крім того, зверніть увагу на веб-сайти або ресурси партнерів, щоб знайти згадки про проєкт.
Наявність надійної сертифікації також допомагає. Наприклад, наші клієнти можуть розміщувати на своїх сайтах сертифікат "Proofed by Hacken", щоб довести, що вони є законним бізнесом, який серйозно ставляться до безпеки. CER.live, CoinGecko і CoinMarketCap також відображатимуть інформацію про кібербезпеку проекту.

Крок 4. Ознайомтеся з об'єктивними рейтингами кібербезпеки
Ми заохочуємо проводити власні дослідження, але ви можете покладатися на загальнодоступні ресурси, щоб зробити процес DD більш економічно ефективним. Не робіть ту саму роботу двічі. На ринку є надійні гравці, які займаються перевіркою Web3-проектів на предмет безпеки.
Перейдіть на CER.live, безкоштовний сервіс, що пропонує найбільш об'єктивну оцінку безпеки для криптопроектів. Знайдіть детальний аналіз безпеки платформи, яка вас цікавить. Введіть назву платформи, і все готово. Тепер ви отримаєте достовірні дані про рейтинг безпеки, аудит токенів, релевантність аудиту токенів, аудит платформи, ринкову капіталізацію, баг-баунті, страхування та попередні інциденти. Незалежні дослідники CER.live збирають і перевіряють десятки показників безпеки, щоб надати інвесторам цю утиліту безкоштовно.
Наскільки надійним є CER.live? CoinGecko, найбільший агрегатор даних у всьому криптовалютному світі, покладається на дані CER.live у своєму рейтингу довіри. Рейтинг кібербезпеки CER.live становить 20% від загального рейтингу довіри CoinGecko. Говорячи про Trust Score, обов'язково перевірте його для свого проекту. Більше того, будь-хто може подивитися, як дослідники мережі даних CER.live виставляють рейтинги завдяки публічній методології оцінки криптовалют з повною системою балів.
Яка платформа для майнінгу найкраща з точки зору безпеки?
Найкраща платформа для майнінгу криптовалют - це та, яка поєднує в собі найвищі показники APY з найнижчими ризиками майнінгу.
Кібербезпека є життєво важливим фактором для будь-якої платформи для прибуткового фармінгу. Високий прибуток і видатні функції не мають значення, коли користувачі втрачають кошти через хакерів. Щоб випередити ринок, ви повинні мислити довгостроково і приділяти увагу безпеці. Як можлива альтернатива - ви можете втратити гроші.
Як можна втратити гроші при прибутковому фармінгу? Відповідь проста - ви не дбаєте про Комплексну юридичну перевірку.
Кібербезпека має першорядне значення для платформ для прибуткового фармінгу. Теоретично, прибутковий фармінг повинен приносити значний прибуток на вкладені інвестиції. В реальності ж користувачі криптовалют ризикують втратити все через болючі зломи, експлойти або шахрайство. Експерти Hacken розповіли, як вибрати найбільш безпечну платформу для прибуткового фармінгу за чотири простих кроки:
(1) рейтинги кібербезпеки
(2) релевантні та відповідні аудити смарт-контрактів
(3) аудит протоколів
(4) перевірка засновників.
Ці чотири кроки складають основу успішної оцінки ризиків.
Крім того, при виборі фармінгу і сховищ пам'ятайте про основи інвестування в прибутковий фармінг:
Токеноміка платформи прибуткового фармінгу. Як проект заробляє гроші? Платформа, яка печатає токени в якості винагороди без жодного механізму отримання доходу, повинна викликати подив.
Яка частка алгоритмічних монет? Дізнайтеся, які токени використовуються для прибуткового фармінгу, і майте на увазі, що алгоритмічні - найнебезпечніший тип стейблкоінів.
Який розмір пулу і дата закінчення? Не входьте в пул останніми, інакше ви втратите на цінових коливаннях.
Вивчіть, як входити і виходити. Які мережі і монети використовуються для входу і виходу? Чи будуть у вас проблеми з ліквідністю? Чи існують комісії або періоди заморожування активів?
Тепер настав час для тестового запуску. Коли ви вибрали платформу, яка задовольняє ваші критерії, візьміть $10 (або будь-яку іншу суму, з якою вам комфортно) і перевірте, як все працює. Тестовий запуск, наприклад, допоможе вам побачити, чи правильно відображається APY. Іноді при відображенні винагород за день виникають помилки у фронтенді.
Зацікавила ця тема? Продовжуйте обговорення на Leech Protocol Discord.
Приєднуйтесь до Hacken в Discord для отримання останніх новин про кібербезпеку у Web3.
Website | Light Paper | Twitter | Discord | GitHub | Telegram

