Децентрализованные финансы Общие уязвимости безопасности и меры предосторожности
Недавно один из экспертов по безопасности провел для членов сообщества урок по безопасности в области Децентрализованные финансы. Эксперт обсудил серьезные инциденты безопасности, с которыми столкнулась индустрия Web3 за последний год, исследовал причины этих инцидентов и способы их предотвращения, подытожил распространенные уязвимости смарт-контрактов и меры предосторожности, а также дал некоторые рекомендации по безопасности для проектных команд и обычных пользователей.
Распространенные типы уязвимостей в Децентрализованных финансах в основном включают в себя flash-кредиты, манипуляции с ценами, проблемы с правами функций, произвольные внешние вызовы, проблемы с fallback-функциями, уязвимости бизнес-логики, утечку приватных ключей и повторные атаки. В этой статье будет уделено особое внимание трем типам: flash-кредиты, манипуляции с ценами и повторные атаки.
Флеш-кредит
Флеш-кредиты являются инновацией в области Децентрализованных финансов, но также часто используются хакерами для атак. Злоумышленники берут в долг большие суммы денег через флеш-кредиты, чтобы манипулировать ценами или атаковать бизнес-логику. Разработчики должны учитывать, может ли функциональность контракта привести к аномалиям из-за огромных сумм денежных средств или возможно ли получить неправомерные вознаграждения, взаимодействуя с несколькими функциями в одной транзакции.
Многие проекты Децентрализованные финансы выглядят так, будто приносят высокую прибыль, но на самом деле уровень команд проектов сильно варьируется. В некоторых проектах код может быть куплен, и даже если в самом коде нет уязвимостей, логически могут возникнуть проблемы. Например, некоторые проекты будут раздавать вознаграждения в фиксированное время в зависимости от количества токенов, которые держат владельцы, но злоумышленники могут использовать флеш-займы для покупки большого количества токенов, чтобы получить большую часть вознаграждения в момент его раздачи.
Манипуляция ценами
Проблема манипуляции ценами тесно связана с闪电贷, в основном из-за того, что некоторые параметры, используемые для расчета цен, могут контролироваться пользователями. Существуют два основных типа проблем:
При расчете цены используются данные третьих сторон, но способ их использования неправильный или отсутствует проверка, что приводит к злонамеренному манипулированию ценами.
Используйте количество токенов на определенных адресах в качестве вычисляемой переменной, при этом баланс токенов на этих адресах может временно увеличиваться или уменьшаться.
Атака повторного входа
Реинвазивная атака является одной из основных опасностей, с которыми можно столкнуться при вызове внешних контрактов. Атакующий может взять под контроль поток и внести неожиданные изменения в данные.
Существует множество способов повторного входа для различных контрактов, которые могут включать разные функции контракта или функции нескольких различных контрактов. При решении проблемы повторного входа необходимо учитывать следующие моменты:
Необходимо не только предотвращать проблему повторного входа в одну функцию.
Следуйте модели Checks-Effects-Interactions при кодировании
Используйте проверенный временем модификатор защиты от повторных вызовов
В области Web3 разумнее использовать зрелые практики безопасности, чем снова изобретать колесо. Использование хорошо проверенных решений может значительно снизить вероятность возникновения проблем.
Рекомендации по безопасности для проекта
Следуйте лучшим практикам безопасности при разработке контрактов
Реализовать возможность обновления и приостановки контракта
Использование механизма временной блокировки
Увеличить вложения в безопасность, создать完善ную систему безопасности
Повышение безопасности всех сотрудников
Предотвращение внутреннего зла, одновременно повышая эффективность, усиливает управление рисками.
Осторожно вводите сторонние услуги, следуя принципу "по умолчанию все вверх и вниз по цепочке являются небезопасными"
Как пользователю определить, безопасен ли смарт-контракт
Подтвердите, является ли контракт открытым исходным кодом
Проверьте, использует ли Владелец децентрализованный многоподписной механизм.
Просмотрите существующие сделки по контракту
Подтвердите, является ли контракт агентским, можно ли его обновить, есть ли временная блокировка
Проверьте, проводился ли аудит контракта несколькими организациями и не слишком ли велики права владельца.
Обратите внимание на надежность оракула, используемого в проекте.
Обращая внимание на эти моменты, пользователи могут лучше оценить безопасность смарт-контрактов и снизить риски участия в Децентрализованных финансах.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
18 Лайков
Награда
18
6
Репост
Поделиться
комментарий
0/400
SnapshotStriker
· 08-09 05:42
Слишком много уязвимостей, закончив добычу, следует искать уязвимости.
Посмотреть ОригиналОтветить0
down_only_larry
· 08-09 05:41
Снова в атаке и защите~
Посмотреть ОригиналОтветить0
ContractFreelancer
· 08-09 05:38
Пора поднимать, братья!
Посмотреть ОригиналОтветить0
MEVVictimAlliance
· 08-09 05:33
разыгрывайте людей как лохов только так можно понять, как избегать этого
Посмотреть ОригиналОтветить0
ValidatorVibes
· 08-09 05:25
управление сломано аф... когда протоколы наконец исправят эти векторы атак смх
Посмотреть ОригиналОтветить0
liquidation_surfer
· 08-09 05:24
Не говорить о том, что видно, слишком реалистично.
Безопасность DeFi: Глубина анализа общих уязвимостей и стратегий защиты
Децентрализованные финансы Общие уязвимости безопасности и меры предосторожности
Недавно один из экспертов по безопасности провел для членов сообщества урок по безопасности в области Децентрализованные финансы. Эксперт обсудил серьезные инциденты безопасности, с которыми столкнулась индустрия Web3 за последний год, исследовал причины этих инцидентов и способы их предотвращения, подытожил распространенные уязвимости смарт-контрактов и меры предосторожности, а также дал некоторые рекомендации по безопасности для проектных команд и обычных пользователей.
Распространенные типы уязвимостей в Децентрализованных финансах в основном включают в себя flash-кредиты, манипуляции с ценами, проблемы с правами функций, произвольные внешние вызовы, проблемы с fallback-функциями, уязвимости бизнес-логики, утечку приватных ключей и повторные атаки. В этой статье будет уделено особое внимание трем типам: flash-кредиты, манипуляции с ценами и повторные атаки.
Флеш-кредит
Флеш-кредиты являются инновацией в области Децентрализованных финансов, но также часто используются хакерами для атак. Злоумышленники берут в долг большие суммы денег через флеш-кредиты, чтобы манипулировать ценами или атаковать бизнес-логику. Разработчики должны учитывать, может ли функциональность контракта привести к аномалиям из-за огромных сумм денежных средств или возможно ли получить неправомерные вознаграждения, взаимодействуя с несколькими функциями в одной транзакции.
Многие проекты Децентрализованные финансы выглядят так, будто приносят высокую прибыль, но на самом деле уровень команд проектов сильно варьируется. В некоторых проектах код может быть куплен, и даже если в самом коде нет уязвимостей, логически могут возникнуть проблемы. Например, некоторые проекты будут раздавать вознаграждения в фиксированное время в зависимости от количества токенов, которые держат владельцы, но злоумышленники могут использовать флеш-займы для покупки большого количества токенов, чтобы получить большую часть вознаграждения в момент его раздачи.
Манипуляция ценами
Проблема манипуляции ценами тесно связана с闪电贷, в основном из-за того, что некоторые параметры, используемые для расчета цен, могут контролироваться пользователями. Существуют два основных типа проблем:
Атака повторного входа
Реинвазивная атака является одной из основных опасностей, с которыми можно столкнуться при вызове внешних контрактов. Атакующий может взять под контроль поток и внести неожиданные изменения в данные.
Существует множество способов повторного входа для различных контрактов, которые могут включать разные функции контракта или функции нескольких различных контрактов. При решении проблемы повторного входа необходимо учитывать следующие моменты:
В области Web3 разумнее использовать зрелые практики безопасности, чем снова изобретать колесо. Использование хорошо проверенных решений может значительно снизить вероятность возникновения проблем.
Рекомендации по безопасности для проекта
Как пользователю определить, безопасен ли смарт-контракт
Обращая внимание на эти моменты, пользователи могут лучше оценить безопасность смарт-контрактов и снизить риски участия в Децентрализованных финансах.