一、项目方代码风险

DeFi 作为基于区块链技术的一种链上金融，所有的投资，都是通过互联网与项目方的智能合约协议交互实现的。所以在风险层面，关于代码风险的问题一直在 DeFi 绕不开的一个话题。

通常意义上，代码风险主要分为四类。

1、前端与后端代码风险

2、智能合约代码风险。

3、区块链共识风险。

4、内部IT系统风险。

一、前端与后端代码漏洞

常见漏洞：官网劫持、云端资料泄露、个人信息泄露等

官网劫持

• 在 DeFi 交互的项目方中，偶尔会出现项目方网站被劫持等情况，从而被重新导航到钓鱼网站，这个时候通常进行交互，通常会与平时状态有一些异常，发现这种情况的时候，不能急着签署数字签名或者授权。认真观看交互网站的URL，数字签名内容等。

云端资料泄露

• 在与DeFi 行业的交互过程中，凡是涉及的相关APP和Dapp 都要谨慎授权云端同步资料，尤其是钱包的私钥、助记词等关键信息，同步到云端，又不进行云端加密，很容易被黑客或者内部人盗窃。

个人信息泄露

• 泄露个人信息、cookie等非核心信息，也有可能导致数字资产被盗。有人就曾经出现过非核心信息泄露，然后被黑客利用AI技术制作假的整套kyc认证，导致资产被盗等情况，虽然后来交易所进行了赔付，但是也要谨慎。

二、智能合约代码风险

常见漏洞：重入攻击、整数溢出、闪电贷漏洞等

重入攻击、整数溢出

• 重入攻击利用智能合约的外部调用和状态更新时机不当，通过反复调用提取资金。整数溢出利用计算结果超出变量表示范围，导致余额异常。两者都是严重的安全漏洞，可以通过严格的编程模式和安全库来防范。

闪电贷漏洞

• 部分借贷合约协议，允许小市值空气代币作为抵押品，被黑客通过操纵小市值代币的价格，利用闪电贷发起套利，导致大量资金流失。

解决思维：

关键是识别并躲避这些有着明显合约漏洞的项目方，这类型的项目方通常为新发起的协议，技术能力有待验证，整体资金规模也很小，也不具备赔付能力，选择资金规模较大，有较长时间周期的老牌DEFI项目能够极大的避免这类问题。

同时，在合约代码层面，尽量选择有代码审计的项目方，开源代码项目方，对于有疑问的项目方，可以直接尝试用chatgpt来审阅基础代码。

三、区块链共识风险

常见漏洞：共识风险

• 链上DEFI 的交互，需要通过区块链进行清算，区块链依赖共识机制。大量的L2，私链其安全性有待验证。所以会出现一些共识层面的问题，出现51%攻击、双花等情况。

• 通常较大的公链项目方会有更好的安全手段和赔付机制，所以资金在链上进行存托的时候，一定要谨慎一些私有链、不知名公链等。

• 区块链基础风险的防范本质，就是对链本身的选择。对于资金与链的关系，可以参阅：（详细可看：入门思维二：一、DeFi 世界蓝图，两个维度“代码与金融”）

四、内部IT系统

常见漏洞：未授权访问、内部人员恶意行为

• 这类问题的本质是内控失效，远离一些发展中国家的项目方，能较大程度的规避风险。关注安全政策，查阅团队背景非常关键。