信任危机已来临，DeFi中的安全性将如何保障？

在过去的几个月里，DeFi遇到了许多安全问题。但纵观互联网，2017年的时候，网络钓鱼攻击，恶意浏览器扩展，等等。如果我们和安全专家谈过这些攻击问题，他们会直截了当地说：不要把私钥放在浏览器里，浏览器不安全。我们基本上构建了一个不安全的产品，当我们意识到它有多不安全时，就很难后退一步并远离它，弃用它。

同样的事情也适用于DeFi产品、智能合约以及几乎所有的东西。在你意识到你将不得不改变你的产品或系统的整体性质以确保安全之前，你不会主动了解它。

对于成熟的工程师团队，当产品出现问题时，一般只需要3天时间就可以完全解决。不论是重新进行架构还是其他，代码审计是一个工程师最基本的素养。

最近的攻击包括在Uniswap上的IMBTC，然后也包括在dForce协议的Lend.f上。这一切都是智能合约埋下的伏笔，在未来某个时刻，我们将会达到这样一个地步：我们可以写出安全的、可靠的或任何语言。在目前的阶段，我们可以让社区参与进来，了解什么构成了一个安全的团队，等等。

除了技术风险，在DeFi空间中常见的是，关于借贷标的可组合性有很多风险。

比如，某一个DeFi项目，他们有一个滥用应用程序的连锁套利合约。调查这个问题需要下载二进制代码，用工具进行逆向工程，然后深刻理解黑客滥用合约的工作方式。

这是我认为DeFi项目方自身需要解决的问题，项目方需要自己对风险问题理解深刻，才能在危机来临的时候，处理它们。

Defi的整个生态是充满未来的，消散的只会是垃圾代码。在很多年以后，我们不会再使用现在的合约代码。

所以现在最大的威胁是我们正在编写糟糕的代码，我们正在创建不安全的系统，因此在短期内，应该优先考虑集中化和安全性，而不是去中心化。

但这并不是说我们应该忘记权力下放这一套治理类的讨论，只是不要让它成为我们的目标或哲学的一部分。在短期内取得平衡，然后随着系统变得更加安全和成熟。

又回到了如何实际保护一个DeFi项目，项目方必须深刻自己的代码能做什么，也就是在开发过程中定义安全属性和测试安全属性。这就像是我想象的应用程序安全成熟度金字塔的下一层，第三层可能是你创造的所有象征性经济和激励，这只是很少有人能掌握的另一件事。

我们可以说，这是围绕代码安全性的一场大讨论，而不仅仅取决于代码本身。比如

关于项目开发人员自身的素质问题。

DeFi项目工作的人是否有经验表明他们知道安全的东西？

他们在传统金融行业工作过吗？有没有这样的背景？

他们是否有开发或出版的历史，或者至少有公共交流的历史，让他们明白在制造这种产品时他们在做什么。

如果没有，这是一个严重的问题，也是我对Defi项目最基本的担心。我可以相信这些有素质的员工不会拿走大家的钱，但我无法相信项目方有能力和责任保护好这些钱。介于很多代币都属于erc-20，我们作为投资者一定要注意，防黑客，防庄家，防项目方。