链新闻曾调查,Coinbase 在 2020 年列出的上币「候选」名单表现,结果发现,从消息宣布就买入将近 20 个币种的结果,短短一周内都有 20% 以上的回报。我们当然能把它归因到 Coinbase 的品牌效应,不过 Coinbase 最近也公布了自己对于 ERC-20 代币的评选标准,从「质」来看,Coinbase 是怎么选入这些币的呢?(前提是,它真的是依照这个标准执行的话。)这些概念,也能帮助你判断一个加密货币专案的可靠性。
Coinbase 的安全评估
Coinbase 在 18 日 发布文章 解释,在评估上市 ERC-20 代币时,他们会先进行四种安全性审查:
- 验证原始码
- 使用产业标准的程式库(library)
- 有所限度的特权角色
- 简单、模组化的设计
Coinbase 表示,尽管 ERC-20 代币标准很相当单纯,但从单一个智能合约到整个生态系的实践应用却非常复杂。这四项审查准则,正是他们用来保护用户的基本条件。
Coinbase:验证原始码最重要
Coinbase 表示这是让他们上币最重要的一步。文章中表示,提供原始码给安全工程师审计,产出高信度的评论,是发币者最不费力,却又能为上币带来最高机会的动作。
Coinbase 也提供代码验证的方式:
- 上传所有智能合约的原始码到可信的平台(例如: Etherscan )
- 把代码放到共享资料库(例如:GitHub),特别是在没有被部署之前
- 如果代币是可被升级的,用不同的发行版本来表达每一阶段的代币升级
不要100%原汁原味:撷取众人智慧
Coinbase 表示,就跟那句俗谚一样「 Don’t Roll Your Own Crypto 」(意指不要自己搞安全方案),不要去尝试自己从头到脚搞写全新的智能合约。因为个人开发者或者一个团队,只要缺乏经验,都有可能在重要的细节上失误,让代币有缺陷。Coinbase 认为,相较之下,受欢迎且经历严格审查的开源智能合约标准,才能让你的合约维持安全。
他们也提供了一些意见:
- 开发者可以从像是 OpenZeppelin 这样的共享资料库,获取智能合约标准。
- 如果开发者要部署一些特殊的功能,像是链下签名或是 transaction hook(一种回呼函式),都应该遵循 EIP(以太坊改进提案) 的引导
小心那些幕后黑手!
关于人的部分,Coinbase 表示,代币通常都会有一些「特权角色」,称之为「超级用户」,他们是拥有者、管理员或是控制者。在某些智能合约中,他们拥有相当大的权力,他们可以暂停交易、改变余额,甚至是完全改变代币的逻辑。这一类角色的存在,被 Coinbase 认为会危害到他们能够安全托管用户资产的能力,因此会降低上币的可能性。
他们提供的建议是:
- 未经允许,不应让任何角色能冻结、销毁或以其他方式修改用户资金。
- 如果可行,代币升级需经由用户同意,而不是让特权角色单方面更改智能合约的功能。
- 如果无法完成合乎上述条件,请为密钥的管理与使用,提供详细的政策和流程,尤其是对用户余额会产生影响的部分。理想情况下,密钥应由合格的保管人持有,该保管人可以证明关键角色是在符合法定人数下采取行动。
简单就好,不需要复杂高大上
「从安全的角度来讲,我们喜欢无聊的代币。」Coinbase 表示,尽管复杂的协议可以让代币的功能更进阶,但代币本身并不需要复杂。Coinbase 定义的「简单」,指的是减少一个代币专案所组成的元件,而「模组化」指的是逻辑的分配,以及合约之间的分工。
他们的建议是,减少代币的复杂性,就能减少失败的可能性:
-
将代币合约与协议的其他部分分开,让代币相关的功能保持在最低限度。
-
减少或消除外部代币的依赖性。
-
最好用少一点的智能合约来实现代币。
还有更多需要注意
除了四大要点,Coinbase 也列出更进阶的条件,像是接受信誉良好的审计公司审计智能合约、提供漏洞赏金让众人协助审计,以及主动提供详尽的文件说明(代币的目的、专案架构、揭露特权角色、私钥安全管理)。
散户投资人更在意的是?
安全,固然是所有加密货币投资成立的基本条件。上述的审视方式,事实上是超越了一般投资者所及的范围,由于中心化交易所与交易者,在上币与资产保护的层面上,都是利益关系人,因此,在中心化平台在审视上市币种的同时,也是同样考量自己的利益。或许,这也是选择国际大型中心化交易所的好处之一。
然而,多数散户投资人关注的更可能是自己会不会被割、能不能赚钱,尽管代币合约本身安全无虞,仍无法防止在投资上受到伤害。
「资讯不对称」仍是目前在交易市场上的痛点。就算是区块链与加密货币赋予所有人都有投资的机会,但每个项目背后的融资结构、市值管理制度等经常是不透明或不合理的,投资者若未提高警觉,很容易就成为人为操弄下的牺牲品。
近来,在 Uniswap 等去中心化交易平台上交易的新兴加密货币,如同蛮荒西部一样的恣意生长,投资者若没有详加研究,就算代币合约非常安全,仍然会遭受金钱上的大幅损失,不得不防。
衍伸阅读
立即加入 Telegram 获得最精准的区块链新知、加密货币动态!