返回上文
⼈性安全⼈性安全
⼈性安全这块很好理解，⽐如项⽬⽅内部作恶，这点在前⾯已经提了些内容，暂时就不过多展开。因为之后，这块还会专⻔展开讲讲。

⾦融安全
⾦融安全是个很需要敬畏的概念，放在 DeFi 上，涉及到⾦融的点，⽤户最关⼼的是币价、年化收益，⼀定要好，⾄少要稳。简⽽⾔之是，我作为⽤户，我玩这个 DeFi，我要赚钱。如果亏了，得让我⼼服⼝服。嗯，这也是⼈性。
这部分可能出现诟病的有：
不公平启动，⽐如预挖、⽼⿏仓。
巨鲸攻击，所谓的钞能⼒。
⿊庄，看谁跑得快。
市场⿊天鹅，⽐如突然的⼤瀑布，还有如⽬标 DeFi 与其他 DeFi/Token 套娃或互操作，这个时候⽊桶短板可能就决定于其他 DeFi/Token 了。
还有⼀些⽐较技术性的或者说科学家⼿法，⽐如抢跑、三明治攻击、闪电贷攻击等。

合规安全
合规安全是个⾮常⼤的话题，前⾯提到的 AML(Anti Money Laundering) 只是其中⼀点，还有如 KYC(Know Your Customer)、制裁地区限制、证券⻛险有关的内容等等。其实对于⽤户来说，这些不是我们可以对抗的，只能说当玩⼀个项⽬时，⽬标项⽬可能会受到某些国家的安全监管，因此可能会出现我们在意的隐私信息采集的问题。你可能不在意这点隐私，但却有在意的⼈。
⽐如，2022 年初出现的⼀件⼩事：钱包⽀持 Address Ownership Proof Protocol(AOPP) 协议。
当时我看了下 AOPP 的协议设计，原来⽀持了 AOPP 的钱包可能泄露⽤户隐私：监管机构会有能⼒知道⼀个被监管的交易所和⼀个不知道的外部钱包之间的关联。怪不得许多隐私钱包重视这个反馈，纷纷删除了这个协议的⽀持。话说回来：这个协议设计还真有意思。我注意到也有的钱包暂⽆计划删除对AOPP 的⽀持，⽐如 EdgeWallet，他们的观点认为 AOPP 并没暴露更多的⽤户隐私，⽽且可以让加密货币的流转提供更⼤的帮助，因为，如果⽤户⽆法证明⼀个外部钱包地址属于⾃⼰，那么⼀些被监管的交易所是不允许⽤户提币到这个外部钱包地址的。
刚开始知名硬件钱包 Trezor 也是不删除 AOPP 的⽀持，后来在 Twitter 上迫于社区及⽤户压⼒做了删除妥协了。

你看，就这么⼩的⼀点，实际上对于有的⼈来说是隐私⼤事。这⾥并不是说要对抗监管，不管合规安全。其实在我的观点⾥，适当的合规安全妥协是必要的。这个话题就不继续展开说了，按你的舒服的⽅式去理解就⾏。到这，DeFi 安全的主要部分的相关内容就介绍完了。

除了以上这些，还有未来的新增或更改⽽引⼊的安全问题，我们经常说“安全是动态的、不是静态的”，指的就是这点。⽐如现在很多项⽬⽅都有安全审计及漂亮的安全审计报告，但如果认真阅读质量不错的报告就会发现，这些报告会说明清楚，什么时间范围安全审计了什么内容，内容的唯⼀标记是什么（⽐如链上开源验证后的地址或 GitHub 仓库的 commit 地址，再或者⽬标代码⽂件的哈希值）。所以报告是静态的，如果你发现⽬标项⽬有不符合报告⾥的描述内容，就可以指出。

返回目录     下一篇

#区块链个人安全黑手册 #比特币 #区块链安全