CSK3442

小市值山寨币的演变
2016/2018 - 4-6M - 低市值宝石 1-2M
通用目标 50-100M+
2020/2022 - 20M-50M - 低市值宝石/赌徒币 低于10M
通用目标 500M-1B+
2024/2026 - sub 100K - 低市值宝石 sub 25K
通用目标 200-500K
这里出了极其严重的问题……

不能否认，DeFi 技术领先于时代，然而安全措施仍停留在2003年

我发现安全审计最大的问题在于它们只验证了某一时刻。正是它们之间的差距需要更多关注。一个协议可能在星期二通过审计，然后在星期三切换到单一签名者且没有时间锁。对普通人来说，显示在网站上的审计看起来没问题。然而链上的实际情况却讲述着不同的故事
持续的公共操作安全可见性是审计无法做到的。协议“受到激励”去维护它们通过的标准，漏洞会更快被发现。也是开源比闭源更快发现漏洞的原因之一

在治理薄弱的情况下运行协议多签，就像进行高杠杆交易，面临立即清算的风险。唯一的区别是资金由别人承担
链上明显存在的十个 Solana DeFi 红旗
- 多用途治理密钥。批准多签操作的同一密钥也在交易 memecoin，在进行空投农场，交换/切换 NFT，并在 DEX 上完成交换。它所接触的每个 dapp，都是又一个签名权限可能被钓鱼的地方
- 单签名多签。根本没有多签，或只有多个签名者但阈值设为 1。看起来很分散，实际上是单点故障
- 无角色分离。Squads V4 将权限拆分为提案者、投票者和执行者。大多数协议会让每个签名者同时拥有这三项权限，因此一个密钥就能在单一操作中完成提案和执行。Squads 文档警告不要这样做
- 低于推荐阈值。Squads 建议 4/6 或更高。大多数协议达不到这一要求
- 没有时间锁。只有大约 1/5 的协议使用时间锁。在多签设置中这是三个步骤。出问题时没有任何反应窗口
- 时区活动集中。把敏感变更集中到同一个时间窗口，会让运行节奏变得可预测。攻击者可以看到什么时候没人盯着
- 铸币权限较弱的多签。通常比升级多签或金库多签更少受到审查。阈值更低，没有时间锁，有时还会分离签名者集合。软切入点。只要凑够满足阈值所需的密钥，就可以无限铸造该权限所控制的任意代币供应
- 活跃的外部配置权限。完全绕过多签。无需任何投票即可

不确定 Solana DeFi 协议还需要多少次警告来强化它们的安全性，但现在绝对是最好的时机。“影响范围”不仅会影响内部用户。其他协议也可能在上游和下游一并遭受波及。我们不该止步于此。来吧

在过去的几周里，数亿资金被利用。Drift 和现在的 Kelp。许多其他协议也陷入了交火，影响了很多人。我仍然惊讶于这种情况一次又一次地发生，而这些协议却仍然存在与被黑的协议相同的漏洞。还有什么比这更重要的呢？升级你的安全措施，界面更新和新工具可以等待。人们的自满令人震惊。当涉及到别人的资金而不是你自己的时候，感觉就不同了，对吧？用户安全 > 公司收入

我们可以推动这些图表吗

solgov 上的两个新标签
GovWatch - 跟踪治理配置变更、投票者活动和执行速度，涵盖33个协议。全部链上验证
Blast Radius - 帮助绘制协议依赖关系图，让用户可以看到他们的连接。Drift 漏洞通过意外连接影响了22个协议

我认为X的下一次更新应该删除头像和名字，这样我们就只能猜测谁在动态中说了什么

如果你想了解大多数人在CT上的交易方式，只需看看他们多么频繁地从一个AI模型跳到另一个AI模型。