「Odaily星球日报」DeFi Score：bZx事件分析及相关改进措施( 二 )

整个社区的参与和批准是我们团队工作的基本原则，但是我们同样认识到这些改进是时间敏感的，加入社区批准这一环节也只会促进最终的发行。因此，我们承诺将尽一切努力与社区保持相同的步伐。
我们已经确定了一些我们认为可以改善DeFi评分系统的更新。
对智能合约审核制定更严格的规则DeFi Score会根据协议的代码是否由信誉良好的安全团队审核来给出评分。但迄今为止，在该指标上一直都是二进制的，即“是”或“否” 。它不会考虑执行审核的时间，并且不需要对升级后的主要协议重新进行审核。另外，并非所有审查都是平等的，且对智能合约进行多方面的审核都有助于确定底层协议的安全性。这些均是我们目前尚未考虑到的细微之处。
到目前为止，我们提出了一个更稳健和细微的框架，以反映智能合同审核的各个方面，从而更好，更透明的对合同进行评估。我们认为这些新指南将更好地说明DeFi协议应如何处理安全性问题。
我们对获得审核的相关评分要求的提议如下：

至少有4个工程周专门用于审核（10％）
自审核以来，未报告严重漏洞（20％）
最近12个月进行了一次审核，或者自上次审核以来对代码进行了最少量的更改（15％）
主网normalizedTime没有漏洞（0 -1）（25％）
审核结果必须公开发布（15％）
有赏金计划和信息安全披露（15％）

例如，若该评分系统注意到上次对智能合约的审查是2018年进行的，它就会大大降低该项的评分。
经济安全审核的要求第一的bZx事件是由于智能合约的漏洞才发生的，该漏洞则利用了代码检查失败的缺陷。然而，技术漏洞仅表示了协议安全性的一个方面，正如我们在第二次bZx事件中所看到的那样，攻击者可以在不利用任何漏洞的情况下操纵市场。这次攻击导致Nexus Mutual支付了其首次的赎回请求。
我们希望经济审核将成为任何DeFi协议安全计划的标准组成部分。我们应对协议进行市场风险审核，并应进行大规模压力测试，以评估其用户的经济安全性。 Gauntlet对Compound协议的详细风险评估则是该类审核的一个实例。
重新审视使用Oracle的方法另一个代表性不强的攻击媒介是对Oracle的操纵。目前， DeFi Score解决了Oracle的风险，但也仅涉及到去中心化。当前的中心化评分不是集中在是否可操作价格数据来源，而是集中在单个实体是否可以轻松地操纵价格本身上。本质上是对Oracle的中心化程度进行评分，而这并不能解释针对于其可操纵性的其它不相关的度量。
尽管已经有一些同行提出了可实现的解决方法，但有关操纵Oracle的研究仍然是一个相当新的领域。到目前为止， UMA去中心化的“证明诚实”Oracle设计似乎已经为今后可抗操纵Oracle提供了设置标准。同样值得一提的是， Uniswap的v2实施可能包括对Oracle弹性的改进，并且有传言称将会引进价格移动平均线，从而提高Oracle价格操作的成本。
我们承认，必须做更多的研究来更好地了解针对Oracle的操纵以及如何评估风险，这是ConsenSys Codefi团队后续一直要做的事情。
后续步骤：其他升级，更高的透明度和API的推出除了上述对DeFi Score改进和对某些特定因素的权重进行重新分配外，平台还将会在接下来的几个月有其他的改变：