差点就踩坑了,越想越害怕…



Há um projecto que看着挺热闹,GitHub 的星星也不少,审计报告贴了一堆,什么 Trail of Bits、Certik 都挂着. Eu estava a pensar deitar lá uns trocos para brincar, mas por impulso fui ver melhor o endereço de multi-assinatura de upgrade deles — e pronto, o owner 权限 era um multi-sig 2/3. Entre os três endereços, dois eram de uma mesma pessoa, em carteiras diferentes. Qual é a diferença disto para um单签?

Só depois é que percebi: muita gente vê os relatórios de auditoria só pelo “há” ou “não há”, mas o que realmente devia ver é se, dentro do scope da auditoria, existe “lógica de upgrade”, e se a distribuição dos signers do multi-sig é de facto descentralizada. As estrelas no GitHub podem ser muitas, mas o código não é atualizado há meio ano; os commits são todos alterações a README.

Transferências de grande valor são tratadas como “dinheiro inteligente”, mas na verdade pode ser apenas a pessoa a trocar de carteira. Não inventem confusão. Agora, prefiro mesmo ver mais páginas de dados on-chain e desconfiar daquelas quatro palavras “auditoria aprovada”.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
  • Recompensa
  • Comentar
  • Republicar
  • Partilhar
Comentar
Adicionar um comentário
Adicionar um comentário
Nenhum comentário
  • Fixado