最近 olhei alguns projetos e, por acaso, fui dar uma vista de olhos nos respetivos GitHub e relatórios de auditoria. A verdade é que antes eu também era preguiçoso e pensava: “se o código está aberto, está feito”, mas depois percebi que só saber se existe um relatório de auditoria não chega.



O que é realmente importante são dois pontos: primeiro, ver se no relatório de auditoria há “riscos conhecidos” ou “recomendações de correção” que não tenham sido implementadas — nesse caso, é preciso ter atenção; segundo, a configuração do multisig na atualização: quem o gere, quantas pessoas têm de assinar e qual é o período de bloqueio. Isto é mais importante do que as subidas e descidas do preço das moedas.

A história dos roubos nas pontes cross-chain é um bom exemplo. Depois, ao analisar o registo de transações on-chain, os endereços do multisig já tinham sido alterados para endereços suspeitos há algum tempo, só que ninguém reparou. Também na vaga de cotações anómalas do oráculo: quando se espera mais um pouco pelo período de confirmação, dá para evitar imensos problemas.

De qualquer forma, entretanto criei o hábito. Antes de entrar um novo pool ou lançar uma nova estratégia, primeiro revejo os registos de commit do GitHub e verifico se houve alterações relacionadas com permissões nos mais recentes. Melhor ir devagar do que se arrepender depois de ser “dizimado” e ficar sem nada.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
  • Recompensa
  • Comentar
  • Republicar
  • Partilhar
Comentar
Adicionar um comentário
Adicionar um comentário
Nenhum comentário
  • Fixado