Coinbase教你怎麼看安全的項目!這四個要點,是上幣候選者的基本條件

Elponcho
分享
Coinbase教你怎麼看安全的項目!這四個要點,是上幣候選者的基本條件

鏈新聞曾調查,Coinbase 在 2020 年上幣「候選」名單的表現,結果發現,從消息宣布就買入將近 20 個幣種的話,短短一週內都有 20% 以上的回報。我們當然能把它歸因到 Coinbase 的品牌效應,不過 Coinbase 最近也公布了自己對於 ERC-20 代幣的評選標準,從「質」來看,Coinbase 是怎麼選入這些幣的呢?(前提是,它真的是依照這個標準執行的話。)這些概念,也能幫助你判斷一個加密貨幣專案的可靠性。

Coinbase 的安全評估

Coinbase 在 18 日發布文章解釋,在評估上市 ERC-20 代幣時,他們會先進行四種安全性審查:

  • 驗證原始碼
  • 使用產業標準的程式庫(library)
  • 有所限度的特權角色
  • 簡單、模組化的設計

Coinbase 表示,儘管 ERC-20 代幣標準很相當單純,但從單一個智能合約到整個生態系的實踐應用卻非常複雜。這四項審查準則,正是他們用來保護用戶的基本條件。

廣告 - 內文未完請往下捲動

Coinbase:驗證原始碼最重要

Coinbase 表示這是讓他們上幣最重要的一步。文章中表示,提供原始碼給安全工程師審計,產出高信度的評論,是發幣者最不費力,卻又能為上幣帶來最高機會的動作。

Coinbase 也提供代碼驗證的方式:

  • 上傳所有智能合約的原始碼到可信的平台(例如:Etherscan
  • 把代碼放到共享資料庫(例如:GitHub),特別是在沒有被部署之前
  • 如果代幣是可被升級的,用不同的發行版本來表達每一階段的代幣升級

不要100%原汁原味:擷取眾人智慧

Coinbase 表示,就像是那句俗諺一樣「Don’t Roll Your Own Crypto」(意指不要自己搞安全方案),不要去嘗試自己從頭到腳寫全新的智能合約。因為個人開發者或者一個團隊,只要缺乏經驗,都有可能在重要的細節上失誤,讓代幣有缺陷。Coinbase 認為,相較之下,受歡迎且經歷嚴格審查的開源智能合約標準,才能讓你的合約維持安全。

他們也提供了一些意見:

  • 開發者可以從像是 OpenZeppelin 這樣的共享資料庫,獲取智能合約標準。
  • 如果開發者要部署一些特殊的功能,像是鏈下簽名或是 transaction hook(一種回呼函式),都應該遵循 EIP(以太坊改進提案) 的引導

小心那些幕後黑手!

關於人的部分,Coinbase 表示,代幣通常都會有一些「特權角色」,稱之為「超級用戶」,他們是擁有者、管理員或是控制者。在某些智能合約中,他們擁有相當大的權力,他們可以暫停交易、改變餘額,甚至是完全改變代幣的邏輯。這一類角色的存在,被 Coinbase 認為會危害到他們能夠安全託管用戶資產的能力,因此會降低上幣的可能性。

他們提供的建議是:

  • 未經允許,不應讓任何角色能凍結、銷毀或以其他方式修改用戶資金。
  • 如果可行,代幣升級需經由用戶同意,而不是讓特權角色單方面更改智能合約的功能。
  • 如果無法完成合乎上述條件,請為密鑰的管理與使用,提供詳細的政策和流程,尤其是對用戶餘額會產生影響的部分。理想情況下,密鑰應由合格的保管人持有,該保管人可以證明關鍵角色是在符合法定人數下採取行動。

簡單就好,不需要複雜高大上

「從安全的角度來講,我們喜歡無聊的代幣。」Coinbase 表示,儘管複雜的協議可以讓代幣的功能更進階,但代幣本身並不需要複雜。Coinbase 定義的「簡單」,指的是減少一個代幣專案所組成的元件,而「模組化」指的是邏輯的分配,以及合約之間的分工。

他們的建議是,減少代幣的複雜性,就能減少失敗的可能性:

  • 將代幣合約與協議的其他部分分開,讓代幣相關的功能保持在最低限度。

  • 減少或消除外部代幣的依賴性。

  • 最好用少一點的智能合約來實現代幣。

還有更多需要注意

除了四大要點,Coinbase 也列出更進階的條件,像是接受信譽良好的審計公司審計智能合約、提供漏洞賞金讓眾人協助審計,以及主動提供詳盡的文件說明(代幣的目的、專案架構、揭露特權角色、私鑰安全管理)。

散戶投資人更在意的是?

安全,固然是所有加密貨幣投資成立的基本條件。上述的審視方式,事實上是超越了一般投資者所及的範圍,由於主流中心化交易所,上幣需付出一定的維運成本,也需要對用戶的資產保護負責,與用戶屬於利益關係人。在中心化平台在審視上市幣種的同時,也是同樣考量自己的利益。因此選擇國際大型中心化交易所交易,已經達到基本的代幣安全性檢視。(儘管仍有許多代幣出現安全問題…)

然而,多數散戶投資人關注的更可能是自己會不會被割、能不能賺錢,儘管代幣合約本身安全無虞,仍無法防止在投資上受到傷害。

「資訊不對稱」仍是目前在交易市場上的痛點。就算是區塊鏈與加密貨幣賦予所有人都有投資的機會,但每個項目背後的融資結構、市值管理制度等經常是不透明或不合理的,投資者若未提高警覺,很容易就成為人為操弄下的犧牲品。

近來,在 Uniswap 等去中心化交易平台上交易的新興加密貨幣,如同蠻荒西部一樣的恣意生長,投資者若沒有詳加研究,就算代幣合約非常安全,仍然會遭受金錢上的大幅損失,不得不防。