干货分享 | 避免项目方欺诈之时间锁(Timelock)机制

五一假期转瞬即过，工作日的到来使得社交平台上一片“哀鸿遍野”。

为了摆脱假期后遗症，公司大会上老板们侃侃而谈，激励动员。

不过大家内心os大抵都是👇

有句话说得“好”：赚钱的方式都写在刑法里了。

古往今来，搞钱的最快方式无外乎就是抢劫（手动狗头）。

到了近代，史上有名的抢劫案更是不胜枚举。

有了几大“现代银行抢劫之父”在前，银行简直称得上是家家自危。然而真的遇到了，还是不得不被逼迫打开保险库的大门。

魔高一尺，道高一丈，人们很快就想到了一个解决方案——那就是最初的时间锁，也是今天本文要为大家所介绍的主题。

1875年5月29日，在马萨诸塞州大巴灵顿，一群劫匪劫持了银行家弗雷德里克·德兰德，并要求他打开大马哈维银行（Grand Mahawie Bank）的保险库。

然而几天前，这座银行刚刚装备上了正在处于测试阶段的时间锁——它作为一个计时器，哪怕劫匪知道了密码，但在预设时间前也无法将保险库打开。

劫匪百般尝试但还是无计可施，最后只得离开。

当然，到了2021年了，抢银行这活儿着实已经不太好干。

容易暴露不说，还不知道能抢着多少钱。从前的劫匪们纷纷转战他处，专心研究速度最快的搞钱方式。

而区块链蕴含的天价资产，则时刻散发着巨大且致命的吸引力。

2021年，在区块链DeFi项目中出现次数最多的骗局之一就是项目方欺诈（Rugpull）。

大家对这个词应该已经并不陌生，一个项目的创建者通过伪装及包装，非法窃取投资者用于抵押、流动性采矿、耕作收益等的代币，一旦得手迅速卷款跑路。

随着这类骗局上演的愈发热烈，很多项目为予以承诺，已经开始采用各类方式来保障社区成员的资产，其中运用的非常广泛的方式之一就是时间锁（Timelock）。

那么，时间锁是什么？

在区块链中的时间锁与传统意义上的不同，但是本质确是相通的。

这里的时间锁往往是一段代码，用于锁定智能合约的某些功能，这样可以为功能的实现限定时间。

在区块链中，通常时间锁锁住的是从合约中转移资金的功能。

比如说：只有在特定日期、特定时间或特定区块高度时才能动用资金。

为了撇清跑路的嫌疑，时间锁已被许多项目采用，用以承诺项目会持续安全发展。

也许今后除了必要的审计报告外，项目已运用时间锁机制的通告也将成为项目上线的标配。

值得一提的是，时间锁作为安全解决方案的一种，并不能被当作是100%的保障手段。

现在已经有哪些项目在使用时间锁了？

去年闹得沸沸扬扬的SushiSwap创始人套现事件使得SUSHI遭腰斩暴跌90%。

好在因SushiSwap已将管理权限交由时间锁（Timelock）合约，社区成员以及投资者重新拾取了被欺诈新闻所动摇的信心。

SushiSwap也因此重新回到了DEX赛道的领先地位。

PancakeSwap则是另一个使用时间锁的典型范例，但是方式与SushiSwap略有不同。

PancakeSwap开发人员建立了时间锁合约，协议中发生的每个更改都将被公开宣布，并在其生效之前的六个小时持续在网络上广播，这使社区成员和开发人员有充分的时间审查最新的代码更改，以确保一切按照预期进行。

同时，那些密切关注项目动态的并作为想要成为进入新资金池第一位的投资者和流动性提供者，在具备一定技术知识的前提下，都可以通过监测时间锁合约来提前做好准备，获得第一时间参与的机会。

该如何监测时间锁合约？

UnRekt.net列出了一个已使用时间锁的项目及其合约地址的列表。

你可以通过Etherscan或BSCscan查看合约来监测该地址上发生的每一笔交易。

除此之外，运用区块链浏览器来设置提醒也是一个很好的办法。

这样一来，无论是资金变动，还是合约生效前六小时的通报，你都可以在合约地址确认交易后立即收到电子邮件。

复制以下链接至浏览器查看如何设置电子邮件通知：https://info.etherscan.com/watch-list/

时间锁合约是万能的吗?

当然不是，前文已经向大家提醒过：时间锁并不能被当作是100%的保障手段。

尽管正确编码的时间锁可以有效防止合约内资产的恶意转移，但是对于一心只想违法搞钱的恶意攻击者来说，还是有许多无所不用其极的方式可以被利用从而绕过合约。

时间锁合约由平台的管理员合约（称为“Governor”）控制。

该合约可以由单个管理员控制，也可为多重签名设置或者是由DAO（去中心化的自治组织）控制。

这种区别很重要，因为在时间锁上具有控制权的任何人都可以提交他们想要完成的任何交易，或者是将其设置为易受攻击的合约。

而且，另外很重要的一点是：时间锁合同并不阻止交易被确认，它只是在交易实际发生之前将此笔交易向网络进行广播。

由于这个原因，如果没有人时刻关注时间锁合约，恶意管理者完全可以在投资者们反应过来之前，就提取耗尽协议内的资产。

写在最后

时间锁机制显而易见具备强大的安全优势——正确编码的合约在不受恶意管理者影响的情况下，可在规定好的时间内锁定资产从而保障其安全。

但是，这也不可作为评判项目方是否会发生欺诈的绝对标准。

被时间锁合约锁定的代币还有许多方式可以被恶意转移，且不受监测的时间锁合约也可以称得上是形同虚设——恶意管理者完全可以通过部署新合约或是更新现有合约来转移已被锁定的资金。

对于投资者而言，在资金投入未经测试的平台之前，做好完备的尽职调查才是最重要的风险防范手段。

前些日子，CertiK撰写了项目方欺诈系列文章的前两篇，分别是避免项目方欺诈的10条硬核准则以及如何准确辨别项目背景，帮助你鉴别潜在的项目方欺诈项目，减少遭受项目方欺诈的几率。

各位看官可以持续关注CertiK，学习更多预防项目方欺诈所需遵循的准则以及准则的应用。