Сьогодні поговоримо про конкретні речі. Багато друзів питають мене: якщо подивитися, чи безпечний проєкт — GitHub має зірочки, звіти про аудит викладені, мультипідписні адреси розміщені — чи означає це, що він надійний? **Сигнал** насправді не в цих зовнішніх речах.



Код на GitHub, я зазвичай спочатку дивлюся на **частоту комітів** і **обробку issue**. Якщо проєктовці не оновлюють його кілька місяців, то навіть якщо зірочок дуже багато, він може бути «зомбі»-проєктом; натомість якщо щодня щось змінюють, але ніколи не відповідають на питання спільноти, то якість коду теж під питанням. Аудит звітами — якщо прямо, то там дивляться **масштаб аудиторів** і **обсяг аудиту** — якщо перевірили лише логіку, але не аудитували права на оновлення, то в мультипідписному гаманці може бути прихований бекдор. Зараз апаратні гаманці розкупили, люди прокинулися щодо безпеки, але не варто дивитися лише на пристрої — саме мультипідпис на оновленнях у контракті є найстрашнішим **сигналом**.

Мультипідписні адреси, учасники, поріг голосування — усе це можна перевірити on-chain. Не просто дивіться «чи є», а дивіться «як використовується». Мультипідпис, за яким ніхто не наглядає, по суті нічим не відрізняється від single-sig. Зрештою, я звик спочатку пробігтися по дизайну управління, а вже потім вирішувати, чи варто взагалі торкатися. Справжня безпека ховається в цих деталях, а не в цінових K-лініях чи в тому, що якийсь великий авторитет може пообіцяти своїм сигналом.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • Прокоментувати
  • Репост
  • Поділіться
Прокоментувати
Додати коментар
Додати коментар
Немає коментарів
  • Закріплено