# 一般的なDeFiセキュリティの脆弱性と注意事項最近、あるセキュリティ専門家がコミュニティメンバーのために分散型金融セキュリティコースを共有しました。専門家は、過去1年以上にわたるWeb3業界が直面した重大なセキュリティ事件を振り返り、これらの事件が発生した原因や回避方法について深く掘り下げ、一般的なスマートコントラクトのセキュリティ脆弱性と予防策をまとめ、プロジェクトチームや一般ユーザーに対していくつかのセキュリティアドバイスを提供しました。一般的な分散型金融の脆弱性の種類には、フラッシュローン、価格操作、関数権限の問題、任意の外部呼び出し、フォールバック関数の問題、ビジネスロジックの脆弱性、秘密鍵の漏洩、リ入攻撃が含まれます。本記事では、フラッシュローン、価格操作、リ入攻撃の3つのタイプに重点を置いて説明します。! [Cobo DeFiセキュリティセクション(パートII):D eFiの一般的なセキュリティの脆弱性と防止](https://img-cdn.gateio.im/social/moments-cf2aa755426b31e8f21cbb05cc1fe39a)## フラッシュローンフラッシュローンは分散型金融の革新ですが、ハッカーによって悪用されることもよくあります。攻撃者は通常、フラッシュローンを使用して大量の資金を借り出し、価格を操作したり、ビジネスロジックを攻撃したりします。開発者は、契約の機能が巨額の資金によって異常を引き起こすか、1回の取引で複数の関数と相互作用して不当な報酬を得られるかどうかを考慮する必要があります。多くの分散型金融プロジェクトは高い収益を見せていますが、実際にはプロジェクト側のレベルはまちまちです。いくつかのプロジェクトのコードは購入されたものであり、コード自体にバグがなくても、論理的に問題が存在する可能性があります。例えば、特定のプロジェクトでは、固定された時間に保有者が持っているトークンの数量に基づいて報酬を配布しますが、攻撃者がフラッシュローンを利用して大量のトークンを購入することで、報酬の大部分が攻撃者に流れることがあります。## 価格操作価格操縦問題はフラッシュローンと密接に関連しており、主に価格計算時のいくつかのパラメータがユーザーによって制御できるためです。一般的な問題のタイプは2つあります:1. 価格を計算する際に第三者のデータを使用するが、その使用方法が不適切であるか、確認が欠如しているため、価格が悪意を持って操作される。2. 特定のアドレスのトークンの数量を計算変数として使用し、これらのアドレスのトークン残高は一時的に増加または減少する可能性があります。## リエントランシー攻撃外部コントラクトを呼び出す主なリスクの1つは、それらがコントロールフローを奪い、データに予期しない変更を加える可能性があることです。再入攻撃の典型的な例は、出金関数において、ユーザーの残高が関数の最後まで0に設定されず、複数回の呼び出しでも成功して出金できることです。異なる契約に対して、再入攻撃の方法は多様であり、複数の異なる関数や複数の契約が関与する可能性があります。再入問題を解決する際には、以下の点に注意する必要があります:1. 単一の関数の再入問題を防ぐ必要があるだけでなく2. Checks-Effects-Interactions パターンに従ってコーディングを行う3. 時間が検証された再入防止モディファイアを使用する注意すべきは、無駄な努力を繰り返すことはしばしば危険であるということです。Web3の世界には多くのベストセキュリティプラクティスがあり、これらの成熟したソリューションを直接採用することは、自ら開発するよりも安全です。## セキュリティの提案### プロジェクトチームの安全に関する提案1. 最良のセキュリティプラクティスに従って契約開発を行う2. コントラクトのアップグレードと一時停止機能を実現する3. タイムロック機構を採用する4. セキュリティへの投資を増やし、完全なセキュリティシステムを構築する5. すべての従業員のセキュリティ意識を高める6. 内部の悪行を防止し、効率を向上させると同時にリスク管理を強化する7. 第三者コンポーネントの導入には慎重を期し、"デフォルトで上下流が安全でない"という原則に従う### ユーザー/LP はスマートコントラクトが安全かどうかをどのように判断しますか1. コントラクトがオープンソースであることを確認する2. Ownerが分散型のマルチシグネチャメカニズムを採用しているか確認する3. 契約の既存の取引を確認する4. 契約が代理契約であるか、アップグレード可能か、タイムロックがあるかを理解する5. 契約が複数の機関による監査を受けているか確認し、Ownerの権限が過大でないか評価する6. プロジェクトで使用されるオラクルの種類と信頼性に注意してくださいWeb3 環境においては、セキュリティ意識が重要です。ユーザーは多くのことを考え、警戒を高めて、潜在的なセキュリティリスクを回避する必要があります。特に市場の状況が良くない時には、さまざまな可能性のある詐欺行為に対して一層警戒が必要です。
分散型金融安全攻防:フラッシュローン、価格操控と再入攻撃の防范ガイド
一般的なDeFiセキュリティの脆弱性と注意事項
最近、あるセキュリティ専門家がコミュニティメンバーのために分散型金融セキュリティコースを共有しました。専門家は、過去1年以上にわたるWeb3業界が直面した重大なセキュリティ事件を振り返り、これらの事件が発生した原因や回避方法について深く掘り下げ、一般的なスマートコントラクトのセキュリティ脆弱性と予防策をまとめ、プロジェクトチームや一般ユーザーに対していくつかのセキュリティアドバイスを提供しました。
一般的な分散型金融の脆弱性の種類には、フラッシュローン、価格操作、関数権限の問題、任意の外部呼び出し、フォールバック関数の問題、ビジネスロジックの脆弱性、秘密鍵の漏洩、リ入攻撃が含まれます。本記事では、フラッシュローン、価格操作、リ入攻撃の3つのタイプに重点を置いて説明します。
! Cobo DeFiセキュリティセクション(パートII):D eFiの一般的なセキュリティの脆弱性と防止
フラッシュローン
フラッシュローンは分散型金融の革新ですが、ハッカーによって悪用されることもよくあります。攻撃者は通常、フラッシュローンを使用して大量の資金を借り出し、価格を操作したり、ビジネスロジックを攻撃したりします。開発者は、契約の機能が巨額の資金によって異常を引き起こすか、1回の取引で複数の関数と相互作用して不当な報酬を得られるかどうかを考慮する必要があります。
多くの分散型金融プロジェクトは高い収益を見せていますが、実際にはプロジェクト側のレベルはまちまちです。いくつかのプロジェクトのコードは購入されたものであり、コード自体にバグがなくても、論理的に問題が存在する可能性があります。例えば、特定のプロジェクトでは、固定された時間に保有者が持っているトークンの数量に基づいて報酬を配布しますが、攻撃者がフラッシュローンを利用して大量のトークンを購入することで、報酬の大部分が攻撃者に流れることがあります。
価格操作
価格操縦問題はフラッシュローンと密接に関連しており、主に価格計算時のいくつかのパラメータがユーザーによって制御できるためです。一般的な問題のタイプは2つあります:
リエントランシー攻撃
外部コントラクトを呼び出す主なリスクの1つは、それらがコントロールフローを奪い、データに予期しない変更を加える可能性があることです。再入攻撃の典型的な例は、出金関数において、ユーザーの残高が関数の最後まで0に設定されず、複数回の呼び出しでも成功して出金できることです。
異なる契約に対して、再入攻撃の方法は多様であり、複数の異なる関数や複数の契約が関与する可能性があります。再入問題を解決する際には、以下の点に注意する必要があります:
注意すべきは、無駄な努力を繰り返すことはしばしば危険であるということです。Web3の世界には多くのベストセキュリティプラクティスがあり、これらの成熟したソリューションを直接採用することは、自ら開発するよりも安全です。
セキュリティの提案
プロジェクトチームの安全に関する提案
ユーザー/LP はスマートコントラクトが安全かどうかをどのように判断しますか
Web3 環境においては、セキュリティ意識が重要です。ユーザーは多くのことを考え、警戒を高めて、潜在的なセキュリティリスクを回避する必要があります。特に市場の状況が良くない時には、さまざまな可能性のある詐欺行為に対して一層警戒が必要です。