本文侧重于安全风险,更宽泛的风险(包括资产贬值)参考Defi挖矿以及借贷对应的风险及规避措施。
常见风险
来自自己的风险
1、助记词或密钥被盗:电脑被黑、浏览器被控制,手机被黑/钱包被控制,助记词拍照、保存在云笔记后被盗,电脑中恶意软件(如输入法)记录助记词等等
2、助记词被骗:遇到高仿钓鱼网站/假discord群/假电报群/电报的假客服/推特上的假客服…..
3、操作失误:转错地址、转错公链、转到合约地址等等
4、授权风险:给不安全的智能合约过度授权
5、貔貅盘:买到只能买不能卖的貔貅盘
6、假NFT:买到假的同名NFT
7、假代币合约地址:买到假的同名代币
来自项目方或黑客的风险
1、合约安全漏洞,被黑客攻击
2、项目方软跑路、归零
3、项目方硬跑路(rug)
4、项目方操作失误(Beefy、HBO技术人员操作失误)
5、项目bug:比如某杠杆挖矿第一天swap出现的几十万滑点
6、项目暗规则:入场费(某公链项目收取99%的入场费)等
7、项目机制漏洞,如闪电贷和预言机价格攻击等
8、项目方金库被盗、跨链桥资产被盗
如何规避风险
安全只能靠自已,靠良好习惯、靠坚守风控纪律。
1、钱包:
(1)使用硬件钱包,以避免手机/电脑被黑的风险
(2)反复核对钱包官网,官方推特,官方网站反复核对,多渠道验证钱包官网地址
2、助记词:
(1)助记词卡纯手写、物理保存,不触网
(2)纸质保存时注意防水,也可使用钢制助记词卡(防水/防火)
(3)助记词卡存放在保险柜(防止遗失)
(4)也可将同一组助记词分成两组分别存放,使用时两组拼接上构成完整助记词
(5)任何情况下,不要在可信钱包以外的任何网页上输入助记词
(6)不要向任何人提供助记词,询问你助记词的,100%是骗子
3、钱包分级、资产隔离
(1)大额资产隔离
比如,Anchor挖矿的大额资产单独放一个硬件钱包,该钱包不做其他交互
(2)安全分级
资产放置越多的钱包,安全标准越高,经常交互的钱包里,只放小额资产
4、分仓:
(1)任何单一项目(包括单一项目关联的项目,如机枪池),投入资金比例不超过10%,历史上安全记录再好的项目,也没有人能保证永远不出问题
(2)未经过市场验证的新项目尽量不投入资金,即使是1000%的APR,在100%的本金面前也微不足道
5、少跨链
(1)原生资产放在原生公链保管或挖矿
(2)不要信任任何跨链桥,桥的风险是系统性的
(3)大额资产坚决不要跨链去追逐新链的高ARP新矿,链、DApp、跨链桥,这是多重风险的叠加
6、谨慎授权
(1)少交互:放置大额资产的钱包,尽可能少做合约交互
(2)经常清理授权:使用使用第三方工具清理合约授权,你不清楚哪个合约会有新漏洞
(3)有限授权:每次授权,确认授权金额,将无限授权修改为有限金额的授权
(4)经常交互的钱包,只放小额资产,即使有授权风险,也只会损失少量资金
7、反复核实官网:
多渠道核对项目官网,避免进入高仿钓鱼官网收起
总结
个人建议最重要的是避免别被一次性都端走了,那就是分仓和隔离,这是最重要的兜底措施。
