Децентрализованные финансы Часто встречающиеся уязвимости безопасности и меры предосторожности
Недавно один из экспертов по безопасности провел курс по безопасности DeFi для членов сообщества. Эксперт рассмотрел значительные инциденты безопасности в индустрии Web3 за последний год и более, глубоко исследовал причины их возникновения и способы их предотвращения, обобщил общие уязвимости умных контрактов и меры предосторожности, а также дал несколько советов по безопасности для команд проектов и обычных пользователей.
Распространенные типы уязвимостей DeFi обычно включают в себя флеш-займы, манипуляции с ценами, проблемы с функциями доступа, произвольные внешние вызовы, проблемы с функциями fallback, уязвимости в бизнес-логике, утечку приватных ключей и атаки повторного входа. В этой статье мы сосредоточимся на трех типах: флеш-займы, манипуляции с ценами и атаки повторного входа.
Кредиты мгновенной ликвидности
Флеш-займ является инновацией в области Децентрализованные финансы, но также часто используется хакерами. Злоумышленники обычно занимают большие суммы денег через флеш-займы, чтобы манипулировать ценами или атаковать бизнес-логику. Разработчики должны учитывать, приведет ли огромная сумма денег к аномалиям в функциональности контракта или будет ли она использована для получения неправомерных вознаграждений через взаимодействие с несколькими функциями в одной транзакции.
Многие проекты Децентрализованные финансы выглядят очень прибыльными, но на самом деле уровень их разработчиков варьируется. В некоторых проектах код может быть куплен, и даже если в самом коде нет уязвимостей, логически все равно могут быть проблемы. Например, некоторые проекты будут выдавать вознаграждения в фиксированное время в зависимости от количества токенов, которыми владеют держатели, но злоумышленники могут использовать флеш-займы для покупки большого количества токенов, в результате чего большая часть вознаграждений направляется к злоумышленникам.
Манипуляция ценами
Проблема манипуляции ценами тесно связана с闪电贷, главным образом из-за того, что некоторые параметры, используемые для расчета цены, могут контролироваться пользователями. Существуют два основных типа проблем:
При расчете цены используются данные третьих сторон, но способ использования неправильный или отсутствует проверка, что приводит к злонамеренному манипулированию ценой.
Использовать количество токенов на определенных адресах в качестве переменной для вычислений, при этом баланс токенов на этих адресах может временно увеличиваться или уменьшаться.
Атака повторного входа
Одним из основных рисков вызова внешних контрактов является то, что они могут перехватить поток управления и внести непредвиденные изменения в данные. Типичным примером атаки повторного входа является ситуация, когда баланс пользователя устанавливается в 0 только в конце функции вывода, что позволяет многократным вызовам все еще успешно выводить средства.
Для различных контрактов существуют различные способы атаки повторного входа, которые могут затрагивать несколько различных функций или несколько контрактов. При решении проблемы повторного входа следует обратить внимание на следующие моменты:
Необходимо не только предотвратить проблему повторного входа в одну функцию.
Следуйте модели Checks-Effects-Interactions при кодировании
Используйте проверенный временем модификатор для защиты от повторного входа
Стоит отметить, что повторное изобретение колеса часто бывает опасным. В кругу Web3 уже существует множество лучших практик безопасности, и использование этих зрелых решений безопаснее, чем разработка собственных.
Рекомендации по безопасности
Рекомендации по безопасности от команды проекта
Следуйте лучшим практикам безопасности при разработке контрактов
Реализация возможности обновления и приостановки контрактов
Использование механизма блокировки времени
Увеличьте инвестиции в безопасность и создайте完善ную систему безопасности.
Повышение уровня безопасности среди всех сотрудников
Предотвращение внутренних злоупотреблений, одновременно повышая эффективность и усиливая контроль рисков
Осторожно вводите сторонние компоненты, следуя принципу "по умолчанию верхние и нижние уровни не безопасны"
Как пользователю/пулю ликвидности определить, безопасен ли смарт-контракт
Убедитесь, что контракт является открытым
Проверьте, использует ли Владелец децентрализованный многосторонний механизм
Посмотреть существующие торговые операции по контракту
Узнайте, является ли контракт агентским, может ли он быть обновлен, есть ли временная блокировка.
Подтвердите, прошел ли контракт аудит от нескольких учреждений, и оцените, не слишком ли велики права владельца.
Обратите внимание на тип используемого проекта оракула и его надежность
В среде Web3 осведомленность о безопасности имеет решающее значение. Пользователи должны больше думать и быть настороже, чтобы избежать потенциальных рисков безопасности. Особенно в условиях неблагоприятной рыночной ситуации следует быть внимательным к различным возможным мошенническим действиям.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
6
Поделиться
комментарий
0/400
SelfRugger
· 07-31 13:56
Снова будут играть для лохов, просто держите hodl.
Посмотреть ОригиналОтветить0
FlashLoanKing
· 07-31 11:16
Снова вижу Срочные займы yyds
Посмотреть ОригиналОтветить0
GovernancePretender
· 07-31 11:14
Заниматься безопасностью не изменит судьбу неудачников
Посмотреть ОригиналОтветить0
LiquidatorFlash
· 07-31 11:13
Цена колеблется на 0,3%, и нужно вводить меры контроля. Не ждите сигнала о ликвидации на 99,99%.
Посмотреть ОригиналОтветить0
MEVHunterBearish
· 07-31 11:10
Ежедневное руководство по мошенничеству
Посмотреть ОригиналОтветить0
rug_connoisseur
· 07-31 11:04
Написав столько, все равно все по-старому. Разве это не будет отобрано?
Безопасность DeFi: Руководство по защите от срочных займов, манипуляций с ценами и атак повторного входа
Децентрализованные финансы Часто встречающиеся уязвимости безопасности и меры предосторожности
Недавно один из экспертов по безопасности провел курс по безопасности DeFi для членов сообщества. Эксперт рассмотрел значительные инциденты безопасности в индустрии Web3 за последний год и более, глубоко исследовал причины их возникновения и способы их предотвращения, обобщил общие уязвимости умных контрактов и меры предосторожности, а также дал несколько советов по безопасности для команд проектов и обычных пользователей.
Распространенные типы уязвимостей DeFi обычно включают в себя флеш-займы, манипуляции с ценами, проблемы с функциями доступа, произвольные внешние вызовы, проблемы с функциями fallback, уязвимости в бизнес-логике, утечку приватных ключей и атаки повторного входа. В этой статье мы сосредоточимся на трех типах: флеш-займы, манипуляции с ценами и атаки повторного входа.
Кредиты мгновенной ликвидности
Флеш-займ является инновацией в области Децентрализованные финансы, но также часто используется хакерами. Злоумышленники обычно занимают большие суммы денег через флеш-займы, чтобы манипулировать ценами или атаковать бизнес-логику. Разработчики должны учитывать, приведет ли огромная сумма денег к аномалиям в функциональности контракта или будет ли она использована для получения неправомерных вознаграждений через взаимодействие с несколькими функциями в одной транзакции.
Многие проекты Децентрализованные финансы выглядят очень прибыльными, но на самом деле уровень их разработчиков варьируется. В некоторых проектах код может быть куплен, и даже если в самом коде нет уязвимостей, логически все равно могут быть проблемы. Например, некоторые проекты будут выдавать вознаграждения в фиксированное время в зависимости от количества токенов, которыми владеют держатели, но злоумышленники могут использовать флеш-займы для покупки большого количества токенов, в результате чего большая часть вознаграждений направляется к злоумышленникам.
Манипуляция ценами
Проблема манипуляции ценами тесно связана с闪电贷, главным образом из-за того, что некоторые параметры, используемые для расчета цены, могут контролироваться пользователями. Существуют два основных типа проблем:
Атака повторного входа
Одним из основных рисков вызова внешних контрактов является то, что они могут перехватить поток управления и внести непредвиденные изменения в данные. Типичным примером атаки повторного входа является ситуация, когда баланс пользователя устанавливается в 0 только в конце функции вывода, что позволяет многократным вызовам все еще успешно выводить средства.
Для различных контрактов существуют различные способы атаки повторного входа, которые могут затрагивать несколько различных функций или несколько контрактов. При решении проблемы повторного входа следует обратить внимание на следующие моменты:
Стоит отметить, что повторное изобретение колеса часто бывает опасным. В кругу Web3 уже существует множество лучших практик безопасности, и использование этих зрелых решений безопаснее, чем разработка собственных.
Рекомендации по безопасности
Рекомендации по безопасности от команды проекта
Как пользователю/пулю ликвидности определить, безопасен ли смарт-контракт
В среде Web3 осведомленность о безопасности имеет решающее значение. Пользователи должны больше думать и быть настороже, чтобы избежать потенциальных рисков безопасности. Особенно в условиях неблагоприятной рыночной ситуации следует быть внимательным к различным возможным мошенническим действиям.