O Guia do Desenvolvedor DeFi para Alcançar o Êxito na Transparência - Parte 1

Este é o primeiro artigo de uma série que vai em profundidade sobre como os desenvolvedores no espaço DeFi podem incutir confiança em seus usuários. Aprenda como construir confiança e transparência usando as diretrizes claras e abrangentes da DeFi Safety.

O que é DeFi Safety?

Somos uma organização focada em melhorar o ecossistema da blockchain, realizando revisões independentes dos projetos DeFi usando nosso próprio processo rigoroso, transparente e bem documentado. Não somos financeiramente incentivados por projetos a fazer nossas revisões. Acreditamos verdadeiramente que, ao dar aos desenvolvedores padrões claros de transparência, podemos melhorar a qualidade das Finanças Descentralizadas como um todo.

Por que a transparência é importante?

A transparência é importante para usuários e desenvolvedores porque permite que ambas as partes revejam informações, tomem decisões informadas e sinalizem qualquer problema explorável em uma Aplicação Descentralizada. Com informações públicas, especialmente em relação a contratos inteligentes, um usuário (talvez com algum conhecimento de Solidity) pode ler e entender o que seu protocolo faz, e se está funcionando como deveria. A integração de práticas transparentes tornará seu código mais forte, seu desenvolvimento e testes mais robustos e os usuários mais inclinados a investir em seu projeto. Com transparência, todos ganham.

O Guia "EASY"

Há oito pontos de critérios relacionados ao processo de revisão pública da DeFi Safety que são abordados neste artigo. Estes oito pontos são os mais fáceis para um projeto alcançar plenamente de acordo com seu processo de revisão. Este é o mínimo que você, como gerente de projeto ou desenvolvedor, deve tentar alcançar no caminho do êxito da transparência.

Esclareceremos como cada critério afeta o sistema de pontuação e as métricas de classificação que usamos para revisar um projeto ou protocolo. As notas podem ser representadas como um percentual (%) de completude ou como um simples sim ou não (S/N). O Impacto Geral da Pontuação é o valor percentual que cada pergunta vale como parte do processo completo de revisão da DeFi Safety.

Vamos mergulhar.

Os endereços dos códigos de execução estão prontamente disponíveis?

Impacto geral da pontuação: 8%

Esta é uma das questões mais importantes dentro do escopo de todo o nosso processo de revisão. É impossível obter uma pontuação provisória sem satisfazer total ou parcialmente este ponto de critério.

É fundamental fornecer endereços claros e facilmente localizáveis para todos os contratos que executam códigos em seu protocolo. Se seus contratos não forem publicamente visíveis, não há uma maneira confiável de verificar se seu projeto faz o que ele diz, simples assim. Priorizar um caminho claro para visualizar seu código é a maneira mais fácil de ganhar a confiança do usuário. Idealmente, todos os endereços contratuais devem estar atualizados, listados em uma única página e incluir quaisquer endereços de tokens e estratégias AMM ou protocolos similares.

Este critério se reflete como um percentual e pode ter diferentes níveis de conclusão. Nossas diretrizes de pontuação para encontrar endereços de código de execução são as seguintes:

100% - Claramente rotulado e fácil de encontrar.

Uma lista completa de todos os endereços de contratos implantados está claramente descrita em sua documentação. Há uma seção distinta para endereços de contrato em seu website, documentação ou repositório no Github. Faça isto de forma clara, completa e fácil de encontrar para uma excelente pontuação para este componente crucial da transparência.

Um exemplo de uma pontuação de 100%.

Outro exemplo de uma pontuação de 100%.

70% - Claramente rotulado, mas requer um pouco de atenção.

Seus endereços estão enterrados em uma longa página de documentação e não recebem uma seção clara ou separada. Não é fácil de encontrar à primeira vista ou pior, os usuários precisam usar a função de busca para encontrar seus contratos. Uma supervisão comum não identifica endereços fornecidos como endereços de contratos inteligentes. Sem o contexto, rotulagem e organização adequados, a transparência fica prejudicada.

Um exemplo de uma pontuação de 70%.

40% - Endereços listados em mainnet.json, Discord ou sub-graph.

Você receberá esta pontuação se seus endereços foram encontrados fora de sua documentação, website ou whitepaper. O Discord é uma grande ferramenta comunitária, mas não pode substituir a documentação legítima! Nesta nota ou abaixo dela, recomendamos fortemente a revisão de sua documentação.

Um exemplo de uma pontuação de 40%.

20% - Endereços encontrados, mas não claros ou fáceis de encontrar.

Se seus endereços contratuais estiverem enterrados em várias subseções e não estiverem claramente rotulados como endereços ou contratos no subtítulo.

Um exemplo de uma pontuação de 20%.

0% - Não foi possível encontrar os endereços de execução.

Este é o CÓDIGO VERMELHO. Se não houver uma maneira pública de ver seus endereços de contrato implantados, você não passará nesta revisão!

Existe um Repositório Público de Software? (S/N)

Impacto geral da pontuação: 2%

O Ethereum foi desenvolvido em software de código aberto e, idealmente, estes mesmos princípios continuam a ressoar dentro do desenvolvimento em blockchain. Manter um Repositório Público é um grande método para desmistificar seu processo de desenvolvimento.

SIM

Um repositório público geralmente assume a forma de um repositório no Github claramente vinculado em seu website e/ou documentação acessível por qualquer pessoa. Os usuários são capazes de ver em seu repositório como seu código é implementado e seu fluxo de desenvolvimento e testes.

Um repositório público de software deve se parecer com isto.

NÃO

Isto significaria que seu repositório está configurado como privado ou que o link não pode ser encontrado em nenhum lugar público que direcione para seu repositório.

Entendemos que existem vantagens e razões legítimas para manter um repositório privado, especialmente na DeFi. Entretanto, a transparência não prospera sob estas restrições e sua pontuação de revisão refletiria esta decisão. Confira este artigo no Medium para orientação sobre como maximizar a transparência com um acordo de repositório privado.

A equipe é pública (não é anônima)? (S/N)

Impacto geral da pontuação: 6%

Mostrar quem você é e provar sua identidade é uma forma muito óbvia de promover sua responsabilidade e dedicação ao público. Há "bandeiras vermelhas" mentais levantadas muito reais quando uma equipe preserva as identidades e se esconde atrás de pseudônimos.

SIM

Os nomes completos, primeiro e último, de alguns dos membros da equipe devem ser públicos no website ou na documentação. Se não pudermos encontrá-lo em nenhuma dessas fontes, verificaremos os autores oficiais no Medium ou as suas contas do twitter.

Um exemplo de uma equipe pública com primeiro e último nomes.

NÃO

Procuramos por todos os lados e não encontramos nomes reais de sua equipe ou eles usam exclusivamente pseudônimos na interação com o público.

Um exemplo de um membro da equipe que usa um pseudônimo.

Existe um Whitepaper? (S/N)

Impacto geral da pontuação: 2%

Um whitepaper, no processo de revisão da DeFi Safety, pode ser um documento ou conjunto de textos que explique o que seu projeto faz. Ele deve aparecer em seu website ou em seu repositório no Github, Artigos no Medium também podem ser aceitos. Esta é uma parte essencial de qualquer protocolo, se os usuários não conseguirem encontrar uma explicação clara do que sua aplicação faz, então confiar em sua plataforma se torna ainda mais improvável.

SIM

Você tem um whitepaper ou texto dedicado que explica como funciona seu protocolo ou aplicação. Ele pode ser encontrado em algum lugar em seu website, no repositório do Github ou na sua conta no Medium.

NÃO

Um whitepaper ou seção dedicada de texto explicando o que seu protocolo não pôde ser encontrado publicamente em nenhum lugar em seu projeto.

Quão fácil é encontrar o status dos controles de acesso? (%)

Impacto geral da pontuação: 2%

Esta pergunta se refere aos controles de acesso de seus contratos inteligentes.
Nos referimos especificamente a quem pode acessar e o que pode ser alterado dentro de seu protocolo. Esta é uma extensão importante do primeiro critério delineado neste artigo, ele mergulha mais profundamente, fornecendo detalhes essenciais sobre os poderes de seus administradores de contratos inteligentes.

Este componente da documentação pode ser complexo por natureza e pode não ser facilmente digerível pelo usuário médio, mas a DeFi Safety fornece um guia de exemplo que pode ajudá-lo a separar e identificar seus controles de acesso. Muitas vezes a documentação de controle de acesso é encontrada sob o título "Governança".

Um exemplo de controles de acesso sob um título de Governança

Classificamos este critério com base no quão claro e fácil é encontrar esta documentação.

100% - Rápido de encontrar e claramente rotulado no Website, Docs ou Repositório.

Os controles de acesso para seus contratos podem ser encontrados em sua documentação principal dentro de uma seção dedicada. Os controles dos administradores estão rotulados e organizados de forma clara e correta nesta página.

70% - É preciso um pouco de atenção, mas claramente rotulado no site, nos documentos ou no Repo.

Se seus controles de acesso estiverem em uma subseção maior em vez de uma seção dedicada, isto é menos do que ideal. Deve ser fácil de encontrar a partir do Índice ou do Anexo de sua Documentação.

40% - Não está bem rotulado e em vários lugares.

Seus controles de acesso estão um pouco espalhados por toda parte. Não há uma seção ou subseção com todas as informações consolidadas. Sua rotulagem não é fácil de entender ou não está correta.

20% - Não rotulado e em vários lugares.

Similar ao acima, seus controles de acesso não estão consolidados em uma seção ou subseção; as informações estão dispersas. As informações que podem ser encontradas não estão etiquetadas.

0% - Informações de controle de acesso não encontradas.

Seus controles de acesso ao contrato não puderam ser encontrados publicamente em nenhum lugar, nem em seu website, nem em documentação ou repositório!

Quão claras e completas são as informações de Controle de Acesso? (%)

Impacto geral da pontuação: 4%

Este critério examina como as informações são fornecidas para seus controles de acesso. Uma peça importante que consideramos é se seus contratos são atualizáveis ou imutáveis. Que tipo de entidade possui seus contratos atualizáveis, e finalmente como os contratos são atualizados, incluindo quaisquer mudanças variáveis que resultem do processo.

100% - Todos os contratos são imutáveis

Contratos atualizáveis, por natureza, não são uma grande prática para criar confiança. Somente se TODOS os seus contratos implantados forem imutáveis, você pode esperar receber uma pontuação perfeita.

90% - Os contratos são identificados, os proprietários são identificados e as capacidades de atualização dos contratos também.

Há três subpontos cada um com um peso de +30% para cada um totalmente satisfeito. Completar completamente todos os três para uma pontuação máxima de 90%.

Todos os contratos são claramente rotulados como atualizáveis?

O tipo de propriedade está claramente indicado? ou seja, Multi assiatura/ Proprietário Único/ Funções Definidas

Vocês fornecem detalhes sobre as capacidades de mudança nos contratos especificados?

Os efeitos dos contratos atualizáveis são explicados em termos não técnicos? (%)

Impacto geral da pontuação: 4%

Os administradores podem ser capazes de fazer mudanças no protocolo através de contratos atualizáveis que podem impactar os investimentos dos usuários. Explicações claras e acessíveis ajudam os usuários a tomar decisões embasadas. É encorajado o uso de linguagem clara, evitando terminologia técnica e linguagem de programação, como o Solidity, para transmitir informações.

Os critérios são graduados com base na clareza das informações. Entretanto, uma pontuação perfeita só pode ser alcançada se não houver nenhum contrato atualizável.

100% - Todos os contratos são imutáveis

Como mencionado em outros pontos, a melhor solução em relação aos contratos é utilizar exclusivamente contratos imutáveis. Esta é a única maneira de obter 100% com base neste critério.

90% - A informação é clara e em linguagem que não seja de software

As descrições são claras, bem documentadas e evitam linguagem que não seja software, ou seja, Solidity. As informações pertinentes relativas à segurança dos investimentos são transmitidas em linguagem comum.

30% - A informação está em linguagem específica de software

As informações apropriadas são fornecidas com relação aos contratos atualizáveis. Entretanto, ela se baseia em linguagem específica de software que não seria compreendida pelo usuário médio.

Quão bem documentados são os controles inteligentes de pausa do contrato? (%)

Impacto geral da pontuação: 4%

Os controles de pausa são extremamente importantes, pois se a segurança de um protocolo foi comprometida, um administrador pode congelar os contratos. Ter controles de pausa não é uma parte obrigatória da transparência, mas transmitir aos usuários se eles existem e como eles são implementados é fortemente encorajado. Se você não tiver controles de pausa, então sua documentação deve mencionar explicitamente isto. O teste do controle de pausa prova que você é capaz de pausar rapidamente quando necessário.

100%

Há dois cenários para se obter uma pontuação completa para este critério:

1. Todos os seus contratos são imutáveis ou você não precisa de controle(s) de pausa e explicar claramente o motivo.

2. O(s) controle(s) de pausa foram claramente documentados e podem ser encontradas evidências de pelo menos um teste feito nos últimos 3 meses.

80%

Seus controles de pausa estão documentados claramente, mas não foi possível encontrar provas de testes recentes ou regulares.

40%

Os controles de pausa contratual são mencionados em sua documentação, mas não há detalhes fornecidos sobre sua capacidade ou testes feitos neles.

$$$0%

Não foi possível encontrar documentação ou explicações a respeito de seus controles de pausa.

Sumário

Guia "EASY" Impacto geral da pontuação: 32%

Alguns temas-chave para resumir este artigo são:

Mantenha seus contratos, equipe e repositório identificados, organizados e públicos!

Transmita o que seu protocolo faz em linguagem clara e comum.

Os contratos inteligentes merecem documentação dedicada e digerível para controle de acesso.

Certifique-se de que seus usuários entendam como seus contratos podem mudar para que eles possam tomar decisões de investimento informadas.

Os primeiros passos para se tornar um projeto DeFi de confiança estão aqui. Tenha isto em mente e considere como seu protocolo pode ser implementado. A transparência é uma questão complicada, a DeFi Safety está aqui para ajudar você a torná-la realidade.

Confira todas as revisões de protocolo da DeFi no site da DeFi Safety ou dê uma olhada em seu último processo de revisão pública em sua documentação.

Fique atento para mais guias sobre como conseguir transparência em Finanças Descentralizadas!

Artigo escrito por Mitch e traduzido para o português por Rafael Ojeda

Você pode encontrar o texto original aqui.