最近いくつかのプロジェクトを見て、ついでにそれらのGitHubや監査レポートも読んでみた。正直、以前の自分も怠けていて「コードがオープンになっていればそれでいい」と思っていたが、しかし監査レポートがあるかどうかだけを見ても不十分だと分かった。



重要なのは大きく2点。1つ目は、監査レポートに「既知のリスク」や「推奨修正」が書かれているのに、実際には直されていないものがないか。こういうのは注意しておくべきだ。2つ目は、マルチシグの設定をアップグレードするときの内容で、誰が管理しているのか、何人が署名するのか、そしてロック期間がどれくらいか。この重要性は、BTCやETHの価格の上下よりもずっと高い。

最近のクロスチェーンブリッジの盗難事件についても、事後にオンチェーンの取引記録を見れば、マルチシグのアドレスは早い段階で疑わしいアドレスに変更されていた。ただ、誰も気づいていなかっただけだ。オラクルが異常なレートで提示してしまったあの件も同様で、確認にかかる時間をもう少し長く取れば、回避できる落とし穴がかなりある。

とにかく今は習慣ができた。新しいプールや新しい戦略がリリースされる前に、まずGitHubのcommit履歴を見て、最近アクセス権(権限)に関係するコードが変更されていないか確認する。多少遅くなっても、割られてから後悔するよりはずっといい。
原文表示
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については免責事項をご覧ください。
  • 報酬
  • コメント
  • リポスト
  • 共有
コメント
コメントを追加
コメントを追加
コメントなし