في الآونة الأخيرة، شارك أحد خبراء الأمن دورة تدريبية حول أمان التمويل اللامركزي للأعضاء في المجتمع. استعرض الخبير الأحداث الأمنية الكبيرة التي واجهتها صناعة Web3 على مدار العام الماضي، وتناول بعمق أسباب حدوث هذه الأحداث وكيفية تجنبها، وقدم ملخصًا عن الثغرات الأمنية الشائعة في العقود الذكية وإجراءات الوقاية، كما قدم بعض النصائح الأمنية للمشاريع والمستخدمين العاديين.
أنواع الثغرات الشائعة في التمويل اللامركزي تشمل عادةً القروض الفورية، وتلاعب الأسعار، ومشاكل صلاحيات الدوال، والاستدعاءات الخارجية العشوائية، ومشاكل دالة التراجع، وثغرات منطق الأعمال، وتسرب المفاتيح الخاصة، وهجمات إعادة الإدخال. ستتناول هذه المقالة بالتفصيل القروض الفورية، وتلاعب الأسعار، وهجمات إعادة الإدخال.
القروض الفورية هي نوع من الابتكار في التمويل اللامركزي ، ولكن غالبًا ما يتم استغلالها من قبل القراصنة. عادة ما يقوم المهاجمون بإقراض كميات كبيرة من الأموال عبر القروض الفورية للتلاعب بالأسعار أو مهاجمة منطق الأعمال. يحتاج المطورون إلى النظر في ما إذا كانت وظائف العقد قد تتسبب في استثنائات بسبب الأموال الضخمة، أو أن يتم استغلالها في صفقة واحدة للتفاعل مع وظائف متعددة للحصول على مكافآت غير مشروعة.
الكثير من مشاريع التمويل اللامركزي تبدو عوائدها مرتفعة، لكن في الواقع، مستويات فريق المشروع متباينة. قد يكون كود بعض المشاريع قد تم شراؤه، وحتى لو لم يحتوي الكود نفسه على ثغرات، إلا أنه قد توجد مشاكل منطقية. على سبيل المثال، تقوم بعض المشاريع بإصدار المكافآت في أوقات محددة بناءً على عدد الرموز المميزة التي يمتلكها حاملوها، لكن يتم استغلال ذلك من قبل المهاجمين الذين يشترون كميات كبيرة من الرموز المميزة من خلال قروض فورية، مما يؤدي إلى تدفق معظم المكافآت نحو المهاجمين.
التحكم في الأسعار
تتعلق مشكلة التحكم في الأسعار ارتباطًا وثيقًا بالقروض الفورية، ويرجع ذلك أساسًا إلى إمكانية التحكم في بعض المعلمات خلال حساب الأسعار من قبل المستخدمين. هناك نوعان شائعان من المشكلات:
عند حساب الأسعار، يتم استخدام بيانات الطرف الثالث، ولكن طريقة الاستخدام غير صحيحة أو هناك نقص في الفحص، مما يؤدي إلى التحكم الضار في الأسعار.
استخدام عدد الرموز في بعض العناوين كمتغيرات حسابية، حيث يمكن زيادة أو تقليل رصيد الرموز في تلك العناوين مؤقتًا.
هجوم إعادة الدخول
واحد من المخاطر الرئيسية لاستدعاء العقود الخارجية هو أنها قد تتولى تدفق التحكم وتقوم بإجراء تغييرات غير متوقعة على البيانات. مثال نموذجي لهجوم إعادة الدخول هو في دالة السحب، حيث يتم تعيين رصيد المستخدم إلى 0 فقط في نهاية الدالة، مما يؤدي إلى نجاح عمليات السحب المتكررة.
تتعدد طرق هجمات إعادة الدخول بناءً على العقود المختلفة، وقد تشمل عدة وظائف مختلفة أو عقود متعددة. عند حل مشكلة إعادة الدخول، يجب الانتباه إلى النقاط التالية:
يجب عدم فقط منع مشكلة إعادة الدخول لوظيفة واحدة
اتبع نموذج Checks-Effects-Interactions في الترميز
استخدام مُعدل منع إعادة الدخول المُثبت زمنياً
من الجدير بالذكر أن تكرار ابتكار العجلات غالبًا ما يكون خطرًا. في دائرة Web3 ، هناك العديد من أفضل ممارسات الأمان المتاحة ، ومن الأكثر أمانًا تبني هذه الحلول الناضجة بدلاً من تطويرها بنفسك.
نصائح للأمان
نصائح أمان لمشاريع الطرف
اتباع أفضل الممارسات الأمنية في تطوير العقود
تنفيذ وظائف ترقية العقد وإيقافه
استخدام آلية قفل الوقت
زيادة الاستثمار في الأمان، وتأسيس نظام أمان متكامل
تعزيز الوعي الأمني لجميع الموظفين
منع الأذى الداخلي، وتعزيز إدارة المخاطر أثناء زيادة الكفاءة
توخى الحذر عند إدخال مكونات الطرف الثالث، واتبع مبدأ "الافتراض أن جميع الأطراف غير آمنة"
كيف يمكن للمستخدمين / مزودي السيولة تحديد ما إذا كانت العقود الذكية آمنة
تأكيد ما إذا كان العقد مفتوح المصدر
تحقق مما إذا كان المالك يستخدم آلية التوقيع المتعدد اللامركزية.
راجع حالة التداول الحالية للعقد
معرفة ما إذا كانت العقد عقد وكيل، وما إذا كانت قابلة للتحديث، وما إذا كان هناك قفل زمني
تأكد مما إذا كان العقد قد تم تدقيقه من قبل العديد من المؤسسات، وقم بتقييم ما إذا كانت صلاحيات المالك مبالغ فيها.
انتبه إلى نوع وموثوقية الأوراق المالية المستخدمة في المشروع
في بيئة Web3 ، تعتبر الوعي الأمني أمرًا بالغ الأهمية. يجب على المستخدمين التفكير بشكل أكبر وزيادة اليقظة لتجنب المخاطر الأمنية المحتملة. خاصة في الأوقات التي تكون فيها ظروف السوق غير مواتية ، يجب أن يكونوا أكثر حذرًا من أنواع الاحتيال المختلفة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 15
أعجبني
15
6
مشاركة
تعليق
0/400
SelfRugger
· 07-31 13:56
又来 يُستغل بغباء. هو فقط hodl.
شاهد النسخة الأصليةرد0
FlashLoanKing
· 07-31 11:16
مرة أخرى القروض السريعة yyds
شاهد النسخة الأصليةرد0
GovernancePretender
· 07-31 11:14
لا يمكن حماية الأمن ومعالجة مصير الحمقى.
شاهد النسخة الأصليةرد0
LiquidatorFlash
· 07-31 11:13
تتطلب التقلبات في الأسعار بنسبة 0.3% التحكم في المخاطر، لا تنتظر حتى إنذار الحصول على التصفية بنسبة 99.99%.
شاهد النسخة الأصليةرد0
MEVHunterBearish
· 07-31 11:10
دليل يومي للخداع والاحتيال
شاهد النسخة الأصليةرد0
rug_connoisseur
· 07-31 11:04
كتبت كل هذا وما زالت الأمور كما هي، أليس هذا يعني أن الحديد تم صقله؟
أمان التمويل اللامركزي: دليل للوقاية من القروض السريعة، والتلاعب بالأسعار، وهجمات إعادة الدخول
التمويل اللامركزي الشائعة وطرق الوقاية منها
في الآونة الأخيرة، شارك أحد خبراء الأمن دورة تدريبية حول أمان التمويل اللامركزي للأعضاء في المجتمع. استعرض الخبير الأحداث الأمنية الكبيرة التي واجهتها صناعة Web3 على مدار العام الماضي، وتناول بعمق أسباب حدوث هذه الأحداث وكيفية تجنبها، وقدم ملخصًا عن الثغرات الأمنية الشائعة في العقود الذكية وإجراءات الوقاية، كما قدم بعض النصائح الأمنية للمشاريع والمستخدمين العاديين.
أنواع الثغرات الشائعة في التمويل اللامركزي تشمل عادةً القروض الفورية، وتلاعب الأسعار، ومشاكل صلاحيات الدوال، والاستدعاءات الخارجية العشوائية، ومشاكل دالة التراجع، وثغرات منطق الأعمال، وتسرب المفاتيح الخاصة، وهجمات إعادة الإدخال. ستتناول هذه المقالة بالتفصيل القروض الفورية، وتلاعب الأسعار، وهجمات إعادة الإدخال.
! قسم أمان Cobo DeFi (الجزء الثاني) :D الثغرات الأمنية الشائعة والوقاية من eFi
قرض الفلاش
القروض الفورية هي نوع من الابتكار في التمويل اللامركزي ، ولكن غالبًا ما يتم استغلالها من قبل القراصنة. عادة ما يقوم المهاجمون بإقراض كميات كبيرة من الأموال عبر القروض الفورية للتلاعب بالأسعار أو مهاجمة منطق الأعمال. يحتاج المطورون إلى النظر في ما إذا كانت وظائف العقد قد تتسبب في استثنائات بسبب الأموال الضخمة، أو أن يتم استغلالها في صفقة واحدة للتفاعل مع وظائف متعددة للحصول على مكافآت غير مشروعة.
الكثير من مشاريع التمويل اللامركزي تبدو عوائدها مرتفعة، لكن في الواقع، مستويات فريق المشروع متباينة. قد يكون كود بعض المشاريع قد تم شراؤه، وحتى لو لم يحتوي الكود نفسه على ثغرات، إلا أنه قد توجد مشاكل منطقية. على سبيل المثال، تقوم بعض المشاريع بإصدار المكافآت في أوقات محددة بناءً على عدد الرموز المميزة التي يمتلكها حاملوها، لكن يتم استغلال ذلك من قبل المهاجمين الذين يشترون كميات كبيرة من الرموز المميزة من خلال قروض فورية، مما يؤدي إلى تدفق معظم المكافآت نحو المهاجمين.
التحكم في الأسعار
تتعلق مشكلة التحكم في الأسعار ارتباطًا وثيقًا بالقروض الفورية، ويرجع ذلك أساسًا إلى إمكانية التحكم في بعض المعلمات خلال حساب الأسعار من قبل المستخدمين. هناك نوعان شائعان من المشكلات:
هجوم إعادة الدخول
واحد من المخاطر الرئيسية لاستدعاء العقود الخارجية هو أنها قد تتولى تدفق التحكم وتقوم بإجراء تغييرات غير متوقعة على البيانات. مثال نموذجي لهجوم إعادة الدخول هو في دالة السحب، حيث يتم تعيين رصيد المستخدم إلى 0 فقط في نهاية الدالة، مما يؤدي إلى نجاح عمليات السحب المتكررة.
تتعدد طرق هجمات إعادة الدخول بناءً على العقود المختلفة، وقد تشمل عدة وظائف مختلفة أو عقود متعددة. عند حل مشكلة إعادة الدخول، يجب الانتباه إلى النقاط التالية:
من الجدير بالذكر أن تكرار ابتكار العجلات غالبًا ما يكون خطرًا. في دائرة Web3 ، هناك العديد من أفضل ممارسات الأمان المتاحة ، ومن الأكثر أمانًا تبني هذه الحلول الناضجة بدلاً من تطويرها بنفسك.
نصائح للأمان
نصائح أمان لمشاريع الطرف
كيف يمكن للمستخدمين / مزودي السيولة تحديد ما إذا كانت العقود الذكية آمنة
في بيئة Web3 ، تعتبر الوعي الأمني أمرًا بالغ الأهمية. يجب على المستخدمين التفكير بشكل أكبر وزيادة اليقظة لتجنب المخاطر الأمنية المحتملة. خاصة في الأوقات التي تكون فيها ظروف السوق غير مواتية ، يجب أن يكونوا أكثر حذرًا من أنواع الاحتيال المختلفة.