# Гайд від Hacken: Як обрати платформу для безпечного прибуткового фармінгу?

By [Muxailo](https://paragraph.com/@muxailo) · 2023-02-06

---

Пошуки найкращої платформи для фармінгу тривають. Ви вже вивчили light papers і знаєте середній річний дохід на ринку. Наступний великий крок - вивчити про безпеку. Так багато питань. З чого почати і що важливо? Як розрахувати ризики? Де взяти об'єктивні дані? Скільки часу це займе?

Якщо ви не знаєте, що таке прибутковий фармінг, ознайомтеся [з нашим блогом Leech Protocol.](https://www.leechprotocol.com/blog)

З невеликою допомогою експертів ви можете легко провести власну точну та ефективну за часом Комплексну юридичну перевірку, щоб бути на крок попереду.

Ми об'єдналися з провідною компанією з кібербезпеки блокчейну [Hacken](https://hacken.io/), щоб отримати відповіді. Ми обрали Hacken, тому що вони є експертами в галузі аудиту смарт-контрактів і знають все про безпеку блокчейну. CoinMarketCap і CoinGecko визнають аудиторські звіти Hacken, що говорить про їх визнання в індустрії. Hacken знаходиться в авангарді галузевих стандартів аудиту смарт-контрактів, оскільки є одним з розробників [специфікації EthTrust.](https://entethalliance.org/enterprise-ethereum-alliance-advances-smart-contract-security-with-ethtrust-specification/) Маючи п'ятирічний досвід роботи, 180 партнерів і понад 1000 захищених клієнтів, Hacken є одним з найкращих аудиторів безпеки блокчейну.

Ось покрокова інструкція від експертів з кібербезпеки Hacken про те, як обрати найбезпечнішу платформу для майнінгу.

**Крок 1. Перевірте обсяг та актуальність аудиту смарт-контрактів**

Неможливо переоцінити важливість смарт-контрактів для платформ для прибуткового фармінгу. Смарт-контракт - це код, який регулює та автоматизує транзакції. Зазвичай він складається з декількох функцій, таких як внесення, виведення, кредитування тощо, які забезпечують роботу DeFi-платформи.

Безпечні смарт-контракти завжди працюють за призначенням, не залишаючи жодних лазівок для маніпуляцій. На жаль, смарт-контракти рідко бувають без вразливостей.

[Ось найпоширеніші](https://hacken.io/discover/most-common-smart-contract-vulnerabilities/) з них:

1.  Reentrancy. (Програму розроблено таким чином, що одна й та сама копія її інструкції в пам'яті може бути одночасно використана кількома користувачами або процесами. При цьому користувач може ініціювати безліч транзакцій і потенційно перевищити баланс свого рахунку, завдавши шкоди проєкту).
    
2.  Маніпуляції з оракулами
    
3.  Переповнення та недоповнення
    
4.  Front-running (маніпулювання ціною)
    
5.  Timestamp Dependence(Майнер може трохи змінити мітку часу блоку, кількість блоків і середній час на виведення токенів)
    
6.  Відмова в обслуговуванні
    
7.  Griefing та Force Feeding (зловживання механікою фармінгу)
    
    Всі ці вразливості уможливлюють витік даних або приватних ключів.
    
    Хороша новина полягає в тому, що платформи для прибуткового фармінгу можуть усунути ці вразливості за допомогою зовнішнього аудиту. Зовнішній аудит - це, по суті, ретельна перевірка коду, щоб переконатися, що всі функції коду смарт-контракту працюють за призначенням без будь-яких прихованих лазівок. Написати ідеальний код практично неможливо, оскільки розробники - це всього лише люди, які час від часу припускаються помилок. Це особливо актуально, коли розробники обмежені в часі та ресурсах.
    

Смарт-контракти є життєво важливими для безпечних платформ, що приносять прибуток, але не всі аудити створені рівними. Релевантність та охоплення - це два основних питання, які ви повинні враховувати. Аудит повинен бути релевантним і охоплювати весь проект. Web3-проекти, як правило, мають кілька смарт-контрактів, щоб гарантувати, що всі їхні функції працюють за призначенням. Всі контракти (а не тільки один) повинні бути перевірені.

1.  Перевірте кількість смарт-контрактів vs кількість перевірених смарт-контрактів. Будьте обережні, якщо частка перевірених контрактів дуже низька.
    
2.  Перевірте релевантність. Розгорнутий код повинен повністю відповідати коду, який пройшов аудит. Будь-які значні розбіжності між ними є вагомою причиною для настороженості.
    

**Перевірка доречності та обсягу аудиту на прикладі**

**Крок 1. Знайдіть публічний аудит**

Давайте подивимось на одного з клієнтів Hacken, [Zharta](https://www.zharta.io/) - кредитну платформу. Зверніть увагу на значок **"Аудит від Hacken"** на їхньому сайті.

![](https://storage.googleapis.com/papyrus_images/7cb3a523bf90365bbcdf17d977d8225e564ce521b51c87e9d43737f4b2b4992c.png)

Зручно, що на сайті Hacken можна знайти перелік усіх [публічних аудитів](https://hacken.io/audits/), які він провів. Ми можемо легко знайти аудит "Zharta" тут.

![](https://storage.googleapis.com/papyrus_images/750fe0caec9f560a2f80f8aee9e5e936f50dc25ced897cff052f9ab8f0586806.png)

**Крок 2. Знайдіть сховище кодової бази**

Спочатку перейдемо до розділу "Scope" на сторінці 4. Тут є [посилання](https://github.com/Zharta/protocol-v1) на репозиторій та комміти. Репозиторій тут відповідає кодовій базі, яку перевіряв Hacken.

![](https://storage.googleapis.com/papyrus_images/cee84b3c0d8a343868c0469cf76b1a4331dbf3b63ff8f9c92d01379703d83eae.png)

**Крок 3. Перевірте релевантність аудиту**

Опинившись у їхньому репозиторії GitHub, зверніть увагу на дату останнього коміту для **./protocol-v1/contracts/** (виділено червоним кольором).

![](https://storage.googleapis.com/papyrus_images/7424502c2ac7e5eddc182f6744735ebed8a562d904e5db1933690b435aff86c0.png)

Дата останнього комміту збігається з датою аудиту Hacken. Таким чином, аудит є 100% релевантним (на день написання статті).

**Крок 4. Перевірте обсяг аудиту**

У цій же папці (protocol-v1/contracts/) ми підрахували кількість ключових файлів - 12 смарт-контрактів на мові програмування Vyper. У папці **protocol-v1/interfaces** ми нарахували 11 контрактів.

![](https://storage.googleapis.com/papyrus_images/702a2f3f774832eecb9291a8ce0b7c329aa62c6784a92f2c1d4d18d0b9770926.png)

Ні, давайте порівняємо цю цифру з тим, що міститься в аудиторському звіті. Знову перейдіть до аудиторського звіту Hacken і знайдіть розділ "Обсяг аудиту", де йдеться про **четвертий обсяг перевірки.**

![](https://storage.googleapis.com/papyrus_images/3969eee05c033aa15150e4e5a7fd4addc09fc0a619c64b43c1e23b546a18207b.png)

![](https://storage.googleapis.com/papyrus_images/cf0e6871873206e2014bac0ef2bc390cf5be0f0f0da973a3bf6004b26f7f31cc.png)

Під час аудиту Hacken було перевірено 12 контрактів у папці **./contracts** та 11 контрактів у папці **./interfaces.** Така ж кількість контрактів лежить в основі кодової бази Zharta. Таким чином, аудит охоплює майже 100% ключової функціональності мережі.

**Крок 5. А як щодо вразливостей?**

![](https://storage.googleapis.com/papyrus_images/962f8c70cef3ef44daa2109da704ff4dbf4743bdba51a92fa58c586faffe7676.png)

Нарешті настав час поглянути на знайдені проблеми всередині звіту. Hacken знайшов 2 критичні проблеми, 16 високого рівня, 5 середнього та 4 низького. Через три ітерації розробники Zharta вирішили майже всі проблеми. Детальніше про кожну знайдену проблему і те, як вона була виправлена, ви можете прочитати у звіті. Також, фінальна оцінка аудиту становить 8.4

![](https://storage.googleapis.com/papyrus_images/8f6b66f12eba0a64279e5e3d63407901c3d1f272feaa2784c0e83049ac799d8d.png)

**Час підбивати підсумки**

*   Всі високі, середні та критичні проблеми були виправлені.
    
*   Аудит є актуальним, оскільки дані останнього коміту збігаються з датою перевірки.
    
*   Аудит охоплює всі контракти в папках ./contracts та .interfaces.
    

Кредитна платформа Zharta має майже ідеальне охоплення та релевантність аудиту з дуже високою оцінкою 8.4. Однак не всі аудити є настільки ретельними. На жаль, у нас є сотні криптовалютних проектів з низьким охопленням і кодовою базою, яка вже не є актуальною.

Знову ж таки, ви можете перевірити метрики Audit Relevance та Audit Scope на [CER.live](https://cer.live/), але поки що там перераховані не всі проекти.

**Крок 2. Чи безпечний Блокчейн Протокол ?**

Аудит протоколу відрізняється від аудиту смарт-контрактів. Агрегатори дохідності можуть взаємодіяти з одним або декількома блокчейнами. Leech, наприклад, працює з 12+ блокчейнами. Деякі мережі, такі як Ethereum або Avalanche, добре зарекомендували себе з мінімальними проблемами безпеки. Нові мережі менш відомі і не користуються таким же рівнем довіри. [DefiLlama](https://defillama.com/yields) перераховує 290 протоколів прибуткового фармнігу, які працюють у більш ніж 50 мережах.

Не можна вважати, що кожен з них є безпечним. Нова мережа може завоювати довіру, пройшовши зовнішній аудит блокчейну. Щоб перевірити, чи перевіряється блокчейн, перейдіть на його веб-сайт і перевірте сторінку безпеки. Крім того, інформацію про аудит можна отримати з репозиторію проекту у вкладці "Безпека" в CoinGecko.

**Крок 3. Перевірка даних**

Важливою метою перевірки даних є мінімізація ризику Rug Pull(несподіване видалення ліквідності токена розробниками проекту, внаслідок чого ціна активу падає до нуля, а інвестори втрачають усі свої гроші). Не всі засновники мають найкращі наміри. Деякі розвивають свій бізнес з прибуткового фармінгу з єдиною метою - втекти з активами користувачів та інвесторів. Ви їх більше ніколи не побачите, і ніхто не поверне ваші гроші. Rug Pull відбувається майже щомісяця, тому тримайтеся подалі від шахрайських проектів.

Репутація - це все за умов відсутності довіри. Шукайте сторінки в LinkedIn, відеоінтерв'ю та іншу цінну інформацію про засновників платформи. Хто вони? Експерти DeFi з перевіреним послужним списком чи аматори з ризикованими ідеями, які не заслуговують на довіру? Ми розуміємо, що деякі проекти невеликі, деякі не мають достатнього висвітлення в ЗМІ, а деякі хочуть залишитися анонімними. Тому зверніть увагу на найближчих партнерів платформи, згадки у ЗМІ та присутність у соціальних мережах. Крім того, зверніть увагу на веб-сайти або ресурси партнерів, щоб знайти згадки про проєкт.

Наявність надійної сертифікації також допомагає. Наприклад, наші клієнти можуть розміщувати на своїх сайтах сертифікат "[Proofed by Hacken](https://hacken.io/certification/)", щоб довести, що вони є законним бізнесом, який серйозно ставляться до безпеки. CER.live, CoinGecko і CoinMarketCap також відображатимуть інформацію про кібербезпеку проекту.

![](https://storage.googleapis.com/papyrus_images/9104c8803374d5bc9371a7e414a03642b4ccbb325fb0e5b051b7ae3a0d1ff3c3.png)

**Крок 4. Ознайомтеся з об'єктивними рейтингами кібербезпеки**

Ми заохочуємо проводити власні дослідження, але ви можете покладатися на загальнодоступні ресурси, щоб зробити процес DD більш економічно ефективним. Не робіть ту саму роботу двічі. На ринку є надійні гравці, які займаються перевіркою Web3-проектів на предмет безпеки.

Перейдіть на [CER.live,](https://cer.live/cryptocurrency-security-rating) безкоштовний сервіс, що пропонує найбільш об'єктивну оцінку безпеки для криптопроектів. Знайдіть детальний аналіз безпеки платформи, яка вас цікавить. Введіть назву платформи, і все готово. Тепер ви отримаєте достовірні дані про рейтинг безпеки, аудит токенів, релевантність аудиту токенів, аудит платформи, ринкову капіталізацію, баг-баунті, страхування та попередні інциденти. Незалежні дослідники CER.live збирають і перевіряють десятки показників безпеки, щоб надати інвесторам цю утиліту безкоштовно.

Наскільки надійним є CER.live? CoinGecko, найбільший агрегатор даних у всьому криптовалютному світі, покладається на дані CER.live у своєму рейтингу довіри. Рейтинг кібербезпеки CER.live становить 20% від загального рейтингу довіри CoinGecko. Говорячи про Trust Score, обов'язково перевірте його для свого проекту. Більше того, будь-хто може подивитися, як дослідники мережі даних CER.live виставляють рейтинги завдяки [публічній методології оцінки криптовалют з повною системою балів.](https://cer.live/methodology/cryptocurrencies)

**Яка платформа для майнінгу найкраща з точки зору безпеки?**

Найкраща платформа для майнінгу криптовалют - це та, яка поєднує в собі найвищі показники APY з найнижчими ризиками майнінгу.

Кібербезпека є життєво важливим фактором для будь-якої платформи для прибуткового фармінгу. Високий прибуток і видатні функції не мають значення, коли користувачі втрачають кошти через хакерів. Щоб випередити ринок, ви повинні мислити довгостроково і приділяти увагу безпеці. Як можлива альтернатива - ви можете втратити гроші.

**Як можна втратити гроші при прибутковому фармінгу? Відповідь проста - ви не дбаєте про Комплексну юридичну перевірку.**

Кібербезпека має першорядне значення для платформ для прибуткового фармінгу. Теоретично, прибутковий фармінг повинен приносити значний прибуток на вкладені інвестиції. В реальності ж користувачі криптовалют ризикують втратити все через болючі зломи, експлойти або шахрайство. Експерти Hacken розповіли, як вибрати найбільш безпечну платформу для прибуткового фармінгу за чотири простих кроки:

(1) рейтинги кібербезпеки

(2) релевантні та відповідні аудити смарт-контрактів

(3) аудит протоколів

(4) перевірка засновників.

Ці чотири кроки складають основу успішної оцінки ризиків.

Крім того, при виборі фармінгу і сховищ пам'ятайте про основи інвестування в прибутковий фармінг:

*   Токеноміка платформи прибуткового фармінгу. Як проект заробляє гроші? Платформа, яка печатає токени в якості винагороди без жодного механізму отримання доходу, повинна викликати подив.
    
*   Яка частка алгоритмічних монет? Дізнайтеся, які токени використовуються для прибуткового фармінгу, і майте на увазі, що алгоритмічні - найнебезпечніший тип стейблкоінів.
    
*   Який розмір пулу і дата закінчення? Не входьте в пул останніми, інакше ви втратите на цінових коливаннях.
    
*   Вивчіть, як входити і виходити. Які мережі і монети використовуються для входу і виходу? Чи будуть у вас проблеми з ліквідністю? Чи існують комісії або періоди заморожування активів?
    
*   Тепер настав час для тестового запуску. Коли ви вибрали платформу, яка задовольняє ваші критерії, візьміть $10 (або будь-яку іншу суму, з якою вам комфортно) і перевірте, як все працює. Тестовий запуск, наприклад, допоможе вам побачити, чи правильно відображається APY. Іноді при відображенні винагород за день виникають помилки у фронтенді.
    

Зацікавила ця тема? Продовжуйте обговорення на [Leech Protocol Discord.](https://discord.com/invite/leechprotocol)

Приєднуйтесь до [Hacken в Discord](https://discord.gg/hacken) для отримання останніх новин про кібербезпеку у Web3.

[**Website**](https://www.leechprotocol.com/) **|** [**Light Paper**](https://drive.google.com/file/d/1nKxmgeikWiePytVLEaemKcpZ8VZIGkRo/view) **|** [**Twitter**](https://twitter.com/LeechProtocol) **|** [**Discord**](https://discord.com/invite/FGVmZycXsd) **|** [**GitHub**](https://github.com/Leech-Protocol) **|** [**Telegram**](https://t.me/LeechProtocolOfficial)

---

*Originally published on [Muxailo](https://paragraph.com/@muxailo/hacken)*
