DeFi 提供了令人難以置信的機會,但也伴隨著真實的風險。這份清單幫助您評估協議並保護您的資金。
存款前清單
在向任何 DeFi 協議存入資金之前,請驗證:
協議基本面
年齡: :協議是否至少有 6 個月歷史?較新的協議風險更高。
TVL: :是否有至少 1000 萬美元的 TVL?低 TVL 表示信任度低或流動性風險。
團隊: :團隊是否已知且信譽良好?匿名團隊不一定不好,但會增加風險。
融資: :項目是否得到信譽良好的投資者支持?查看 Crunchbase 或 DefiLlama。
智能合約安全
審計: :協議是否經過信譽良好的公司審計(Trail of Bits、OpenZeppelin、Spearbit、Cyfrin)?
多次審計: :理想情況下,應該有 2+ 次來自不同公司的審計。
審計時效: :審計是否針對當前部署的代碼?檢查是否有升級。
漏洞賞金: :協議是否有活躍的漏洞賞金計劃(Immunefi、Code4rena)?
鏈上驗證
已驗證合約: :智能合約是否在區塊瀏覽器上已驗證?
代理模式: :如果可升級,誰控制代理管理員?是否有時間鎖?
管理密鑰: :誰持有管理密鑰?多簽?門檻是多少?
時間鎖: :管理操作是否有時間鎖(最少 24-48 小時)?
合約驗證步驟
步驟 1:找到合約
前往協議的官方文檔,找到已部署的合約地址。永遠不要信任來自 Discord 或 Twitter 的地址。
步驟 2:在區塊瀏覽器上驗證
在 Etherscan/Arbiscan 等上檢查:
合約是否已驗證(源代碼可見)?
合約名稱是否與您預期的匹配?
何時部署?是否與協議啟動時間匹配?
步驟 3:檢查代理
如果是代理合約:
找到實現合約
檢查誰擁有代理管理員
尋找升級的時間鎖保護
步驟 4:審查權限
使用 Etherscan 的「Read Contract」等工具檢查:
誰是所有者/管理員?
他們可以調用什麼函數?
是否有暫停/凍結功能?
錢包安全基礎
硬體錢包
對於任何大額資金使用硬體錢包(Ledger、Trezor)
永遠不要在電腦上輸入您的助記詞
保持韌體更新
熱錢包衛生
使用專用瀏覽器進行 DeFi(不是您的日常瀏覽器)
為不同風險等級使用單獨的錢包(交易錢包、儲蓄錢包)
定期審查並撤銷未使用的代幣授權
授權管理
每次交易只授權所需的金額
完成後撤銷授權(使用 revoke.cash 或 Etherscan 的代幣授權檢查器)
永遠不要對新的或未審計的合約授權無限金額
要避免的常見詐騙
假網站
收藏官方 URL,只使用書籤
仔細檢查 URL(app.aave.com vs app-aave.com)
永遠不要點擊社交媒體或 Discord 上的 DeFi 連結
授權漏洞
惡意合約可以在您授權後清空您的錢包
始終驗證您在錢包中簽署的內容
對「無 gas」交易和 permit 簽名要特別小心
Rug Pull
團隊抽走流動性或鑄造無限代幣
警告信號:匿名團隊、無審計、無法驗證的鎖定流動性聲明
檢查代幣合約的鑄造功能和所有權
社會工程
「客服」人員永遠不會先私訊您
沒有合法人員會要求您的助記詞
對「好得令人難以置信」的收益機會保持警惕
緊急程序
如果您懷疑被入侵
不要恐慌 — 匆忙的行動往往會使情況更糟
斷開錢包連接,從所有網站
檢查最近的授權,在 revoke.cash
立即撤銷可疑授權
轉移資金到新錢包,如果您認為密鑰已被洩露
記錄一切,以便可能的恢復或報告
如果協議被駭客攻擊
查看官方渠道的公告
不要急於提款 — 您可能會因 gas 或滑點損失更多
評估損害 — 您的特定池/金庫是否受影響?
等待事後分析 — 協議可能有恢復計劃
記錄您的風險敞口,用於稅務目的
緊急撤銷所有授權
如果您需要快速撤銷所有授權:
前往 revoke.cash
連接您的錢包
按「無限」授權排序
首先撤銷高風險授權(新協議、無限金額)
日常習慣
定期檢查您的 DeFi 倉位(每天或每週)
關注協議官方 Twitter/Discord 獲取公告
設置倉位監控(DefiSaver、Instadapp、Zapper)
審查錢包中的新交易,檢查任何意外情況
保持了解安全新聞(rekt.news、DeFi Llama)