DEFI风险评估的10个黄金准则

DeFi项目跑路或者被黑已经成为常态，如何规避风险？本文提出了DEFI风险评估的10个黄金准则

在DEFI挖矿是收益可观的一门生意。用户只需将资产抵押到各种 DeFi 智能合约中，即可享受到很高的 APY。当然，您可能还听说过“高回报、高风险”。根据 Messari 4 月份的研究报告，DeFi 的总损失约为 2.84 亿美元。可能许多读者已经以受害者的身份经历过defi黑客攻击。

图 1. DeFi 黑客统计

本文提供了一些我们可以用来评估 DeFi 项目风险的因素（非投资建议）。

所在公链 20%

每个公链（Ethereum/BSC/Matic/HECO 等）都有其相应的系统风险，且不可避免地会影响其生态系统中 DeFi 项目的风险。一般来说，由于更去中心化的特性和更成熟的开发生态系统，以太坊被认为是最安全的区块链网络。而其他区块链网络的开发团队经验较少，他们的代码也没有经受过时间的考验。过去的两个月里，在BSC, 我们见证了比在以太坊中更多的攻击。

业务逻辑 5%

业务逻辑将决定智能合约的复杂程度。合约的复杂程度越高，风险就越高。例如，由于借贷项目的清算风险，DEX 通常比借贷项目具有更低的风险。收益聚合器（Yield Optimizer） 在贷款协议之上添加了另一个合约的同时，产生了额外的风险。

团队和投资者简介 10%

由实名的人发起并由 VC 投资的项目，通常比没有得到VC 投资的匿名团队更安全。例如，Uniswap 被认为比其他 DEX 项目更安全，因为它拥有强大的团队和 A16Z 和 Paradigm 等明星 VC。另一方面，大多数跑路项目是由匿名开发人员构建的，他们可以在 hack 后轻松逃跑。

代码审计 10%

通过审计公司代码审计的项目被黑客入侵的可能性通常较小。代码审计最好不止一个，审计公司的声誉也很重要。但是，通过代码审计并不意味着绝对安全。可以查看由rekt编译的有关DEFI黑客攻击和其审计事务所的名单.

TVL 和其历史 10%

高 TVL 的项目通常比低 TVL 的项目更安全。这是因为高TVL意味着该项目得到了很多人甚至机构投资者的认可。但是，最好也检查一下高 TVL 的历史记录。TVL 高但历史较短的项目可能存在尚未发现的隐藏风险。一个例子是 Belt Finance 在 BSC 遭到的黑客攻击。在被黑客入侵时，它的 TVL 超过了 1B 美元，但这仅在其 V2 发布后 1 个月。

社区 10%

评估 DeFi 项目社区的一个方法是查看其推特粉丝的质量（而不是数量）。如果该项目被 DeFi KOL关注，则通常更值得信赖。另一方面，如果该项目有很多追随者但没有任何DeFi KOL，则非常可疑。要找到 DeFi KOL，你可以从顶级加密风险投资公司、蓝筹 DeFi 项目创始人和知名 DeFi 分析师开始。您可以使用我的列表作为参考。

媒体报道 5%

如果该项目被Coin Desk、Coin Telegraph、The Block、Chain News等顶级加密媒体报道过，则更值得信任。如果被小媒体报道，则不能说明什么。

网站和文档 5%

项目的质量也反映在它的网站设计和 doc 中。有跑路嫌疑的项目通常网站设计很差、 doc 完成度很低，甚至有很多简单的英语语法错误。

源代码 25%

从理论上讲，审查源代码几乎可以揭示100% 的项目风险。以下是一些我们可以用来检查源代码的要求示例

- 代码是否已验证。未验证代码是一个充满未知风险的黑匣子。

图 2. 验证代码示例

- 代码是否是从已知项目分叉出来的。您可以检查更改的部分来评估风险。可以使用工具apesafe.io。

图 3. COMP 与 Cream 源代码比较

- 是否有时间锁。时间锁可以在合约终止前锁定合约中的资金。

- 合约所有者的控制权。如果所有者拥有无限控制权，对投资者来说是一个危险信号。

关于技术细节，我将单独写一篇关于源代码审查的文章。

总而言之，我们可以使用上述指标来评估 DeFi 项目的风险。最后，同样重要的是，APR 本身可以是风险的一个指标。您必须了解超高 APR 的原因。下面是一些可能性的总结：

- 很少有人理解这个项目

- 很少有人注意到这个项目

- 白名单要求（不是每个人都可以参与）

- 投资上限

- 锁定了挖矿收益

- 二池挖矿

- 庞氏骗局

- 跑路风险

请确保高 APR 不是因为后两个原因。​​​​