DeFi流动性挖矿的常见安全风险与风控策略

本文侧重于安全风险,更宽泛的风险(包括资产贬值)参考Defi挖矿以及借贷对应的风险及规避措施

常见风险

来自自己的风险

1、助记词或密钥被盗:电脑被黑、浏览器被控制,手机被黑/钱包被控制,助记词拍照、保存在云笔记后被盗,电脑中恶意软件(如输入法)记录助记词等等

2、助记词被骗:遇到高仿钓鱼网站/假discord群/假电报群/电报的假客服/推特上的假客服…..

3、操作失误:转错地址、转错公链、转到合约地址等等

4、授权风险:给不安全的智能合约过度授权

5、貔貅盘:买到只能买不能卖的貔貅盘

6、假NFT:买到假的同名NFT

7、假代币合约地址:买到假的同名代币

来自项目方或黑客的风险

1、合约安全漏洞,被黑客攻击

2、项目方软跑路、归零

3、项目方硬跑路(rug)

4、项目方操作失误(Beefy、HBO技术人员操作失误)

5、项目bug:比如某杠杆挖矿第一天swap出现的几十万滑点

6、项目暗规则:入场费(某公链项目收取99%的入场费)等

7、项目机制漏洞,如闪电贷和预言机价格攻击等

8、项目方金库被盗、跨链桥资产被盗

如何规避风险

安全只能靠自已,靠良好习惯、靠坚守风控纪律。

1、钱包:

(1)使用硬件钱包,以避免手机/电脑被黑的风险

(2)反复核对钱包官网,官方推特,官方网站反复核对,多渠道验证钱包官网地址

2、助记词:

(1)助记词卡纯手写、物理保存,不触网

(2)纸质保存时注意防水,也可使用钢制助记词卡(防水/防火)

(3)助记词卡存放在保险柜(防止遗失)

(4)也可将同一组助记词分成两组分别存放,使用时两组拼接上构成完整助记词

(5)任何情况下,不要在可信钱包以外的任何网页上输入助记词

(6)不要向任何人提供助记词,询问你助记词的,100%是骗子

3、钱包分级、资产隔离

(1)大额资产隔离

比如,Anchor挖矿的大额资产单独放一个硬件钱包,该钱包不做其他交互

(2)安全分级

资产放置越多的钱包,安全标准越高,经常交互的钱包里,只放小额资产

4、分仓

(1)任何单一项目(包括单一项目关联的项目,如机枪池),投入资金比例不超过10%,历史上安全记录再好的项目,也没有人能保证永远不出问题

(2)未经过市场验证的新项目尽量不投入资金,即使是1000%的APR,在100%的本金面前也微不足道

5、少跨链

(1)原生资产放在原生公链保管或挖矿

(2)不要信任任何跨链桥,桥的风险是系统性的

(3)大额资产坚决不要跨链去追逐新链的高ARP新矿,链、DApp、跨链桥,这是多重风险的叠加

6、谨慎授权

(1)少交互:放置大额资产的钱包,尽可能少做合约交互

(2)经常清理授权:使用使用第三方工具清理合约授权,你不清楚哪个合约会有新漏洞

(3)有限授权:每次授权,确认授权金额,将无限授权修改为有限金额的授权

(4)经常交互的钱包,只放小额资产,即使有授权风险,也只会损失少量资金

7、反复核实官网

多渠道核对项目官网,避免进入高仿钓鱼官网收起

总结

个人建议最重要的是避免别被一次性都端走了,那就是分仓和隔离,这是最重要的兜底措施。

请给本文评分
[总: 0个 平均: 0星]
Scroll to Top