Останнім часом я глянув кілька проєктів, заодно переглянув їхні GitHub і звіти аудиту. Чесно кажучи, раніше я теж був лінивий і думав: «Код відкритий — і цього достатньо», але згодом зрозумів, що одних лише звітів про те, чи є аудит, недостатньо.



Головне — дві речі: по-перше, у звіті аудиту має бути вказано «відомі ризики» або «рекомендації щодо виправлення», але якщо їх не змінили — до цього треба поставитися уважно; по-друге, конфігурація мультипідпису при апгрейді: хто ним керує, скільки людей підписують і яка тривалість блокувального (локувального) періоду — це важливіше, ніж коливання ціни монети.

Те, що сталося з викраденням через кросчейн-мости, — насправді після події, глянувши на записи ончейн-транзакцій, видно, що мультипідписну адресу вже давно було змінено на підозрілу, просто ніхто не звернув уваги. Хвиля з аномальним ціноутворенням через оракули теж така: якщо почекати підтвердження трохи довше, можна обійти чимало проблем.

Зрештою, зараз я виробив звичку: перед запуском нового пулу або нової стратегії спочатку переглядаю commit-історію на GitHub і дивлюся, чи не було в останній час змін у коді, пов’язаному з дозволами/правами доступу. Повільніше — зате краще, ніж потім шкодувати, коли тебе вже «списали зі стрижки».
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • Прокоментувати
  • Репост
  • Поділіться
Прокоментувати
Додати коментар
Додати коментар
Немає коментарів
  • Закріплено