CSK3442

在治理薄弱的情況下運行協議多簽就像進行高槓桿交易，面臨立即清算的風險。唯一的差別是金錢是他人的資金
鏈上明顯存在的十個Solana DeFi紅旗
- 多用途治理鑰匙。用於批准多簽操作的同一鑰匙也用於交易迷因幣、空投農場、NFT轉賣、在去中心化交易所交換。每一個接觸的dapp都是可能被釣魚的簽名權限點
- 單簽多簽。根本沒有多簽，或是多簽但門檻設為1的多簽。看似分散，實則單點故障
- 無角色分離。Squads V4將權限分為提案者、投票者和執行者。大多數協議讓每個簽名者擁有全部三個角色，因此一個鑰匙可以在單一操作中提案和執行。Squads文件警告不要這樣做
- 低於建議門檻。Squads建議4/6或以上，但大多數協議未達到此標準
- 無時間鎖。只有約五分之一的協議使用時間鎖。在多簽設置中需要三個步驟。出錯時沒有反應窗口
- 時區活動集中。將敏感變更集中在同一時間段，使操作時間表可預測。攻擊者可以看到何時沒有人監控
- 薄弱鑄幣權限多簽。通常比升級或金庫多簽審查少。門檻較低，沒有時間鎖，有時分離簽名者組。軟入口點。獲取足夠的鑰匙達到門檻，即可鑄造該權限控制的任何代幣的無限供應
- 活躍的外部配置權限。完全繞過多簽。可以在沒有投票的情況下更改門檻、成員和時間鎖。Squads預設由多簽控制自身
- 內部爆炸半徑。多個程序在一個管理範圍內由單一多簽控制

不確定 Solana DeFi 協議需要多少警告來加強安全性，但現在絕對不是更好的時機。爆炸半徑不僅影響內部用戶。其他協議也可能在上游和下游受到牽連。我們比這更好。拜託

過去幾週被利用的資金高達數億。Drift 和現在的 Kelp。許多其他協議也陷入火網，影響了很多人。我仍然感到驚訝，這種事情一次又一次地發生，而這些協議卻仍然存在與被駭的漏洞相同的弱點。還有什麼比這更重要的呢？升級你的安全措施，界面更新和新工具可以等一等。人們的自滿真是令人震驚。當別人的資金受到威脅而不是自己的時候，感覺就完全不同，對吧？用戶安全 > 公司的收入

我們能夠推動這些圖表嗎

solgov 上的兩個新標籤
GovWatch - 追蹤治理配置變更、投票者活動和執行速度，涵蓋33個協議。全部鏈上驗證
Blast Radius - 協助映射協議依賴關係，讓用戶可以看到他們的連接。Drift 漏洞通過意想不到的連接影響了22個協議

我認為下一次在X上的更新應該移除個人頭像和名字，這樣我們就只需要猜測誰在動態中說了什麼

如果你想了解大多數人在CT上的交易方式，只需看看他們多頻繁地從一個AI模型跳轉到下一個。

基爾·斯塔默、唐納德·特朗普和安東尼·阿爾巴內塞今天都在發言。應該會很有趣

今天早上一邊使用斜坡步行機，一邊用遙控器操作Claude Code，還追蹤UFC比賽。誰說男人不能多工？老婆都不敢相信