Análisis completo de las vulnerabilidades de seguridad en Finanzas descentralizadas: Guía de prevención de Flash Loans, manipulación de precios y ataques de reentrada
Finanzas descentralizadas comunes vulnerabilidades de seguridad y medidas de prevención
Recientemente, un experto en seguridad compartió una clase de seguridad de Finanzas descentralizadas con los miembros de la comunidad, revisando los importantes eventos de seguridad que ha enfrentado la industria de Web3 en más de un año, explorando las razones de la ocurrencia de estos eventos y cómo evitarlos, resumiendo las vulnerabilidades de seguridad comunes de los contratos inteligentes y las medidas de prevención, y también brindando algunos consejos de seguridad para los proyectos y los usuarios.
Los tipos comunes de vulnerabilidades en Finanzas descentralizadas incluyen préstamos relámpago, manipulación de precios, problemas de permisos de funciones, llamadas externas arbitrarias, problemas con funciones fallback, vulnerabilidades en la lógica de negocio, filtración de claves privadas y ataques de reentrada, entre otros. A continuación, se destacan los préstamos relámpago, la manipulación de precios y los ataques de reentrada.
Préstamo relámpago
El préstamo relámpago, aunque es una innovación en Finanzas descentralizadas, a menudo es utilizado por hackers:
El atacante toma prestado una gran cantidad de fondos a través de un préstamo relámpago, manipula el precio o ataca la lógica del negocio.
Los desarrolladores deben considerar si las funciones del contrato pueden verse afectadas por grandes cantidades de dinero, o ser explotadas para obtener recompensas indebidas.
Algunos proyectos no consideraron el impacto de los préstamos relámpago al diseñar sus funciones, lo que llevó al robo de fondos.
En los últimos dos años, muchos proyectos de Finanzas descentralizadas han tenido problemas debido a los préstamos relámpago. Por ejemplo, algunos proyectos otorgan recompensas según la cantidad de tenencias, pero los atacantes aprovechan los préstamos relámpago para comprar grandes cantidades de tokens y obtener la mayor parte de las recompensas. Además, los proyectos que calculan precios a través de tokens pueden verse afectados por los préstamos relámpago. Los desarrolladores de proyectos deben estar alerta ante esto.
Manipulación de precios
El problema del manipulación de precios está estrechamente relacionado con los préstamos relámpago, y hay principalmente dos tipos:
Al calcular el precio se utilizan datos de terceros, pero un uso inadecuado o la falta de verificación pueden llevar a que el precio sea manipulado maliciosamente.
Utilizar el saldo de Token de ciertas direcciones como variable de cálculo, y esos saldos pueden ser aumentados o disminuidos temporalmente.
Ataque de reentrada
El principal riesgo de llamar a contratos externos es que pueden tomar el control del flujo y realizar cambios inesperados en los datos.
Por ejemplo, en la función de retiro, si el saldo del usuario se pone a cero al final de la función, un atacante puede llamar a esa función nuevamente después de que se haya transferido el dinero, retirando repetidamente.
Las formas de ataque de reentrada son diversas y pueden involucrar múltiples funciones o contratos. Para prevenir la reentrada, se debe prestar atención a:
No solo evita la reentrada de una única función
Seguir el patrón de codificación Checks-Effects-Interactions
Utilizar un modificador de prevención de reingreso verificado
Los expertos en seguridad recomiendan usar las mejores prácticas de seguridad existentes en lugar de reinventar la rueda. Porque las soluciones nuevas que se construyen por cuenta propia carecen de una validación adecuada y la probabilidad de que presenten problemas es mucho mayor que la de las soluciones maduras.
Sugerencias de seguridad para el equipo del proyecto
El desarrollo de contratos sigue las mejores prácticas de seguridad.
Los contratos pueden ser actualizados y pausados, para poder responder a los ataques de manera oportuna.
Adoptar un bloqueo de tiempo, reservando tiempo para detectar y enfrentar riesgos.
Aumentar la inversión en seguridad, establecer un sistema de seguridad completo.
Aumentar la conciencia de seguridad de todos los empleados
Prevenir el comportamiento malicioso interno, al mismo tiempo que se mejora la eficiencia y se refuerza el control de riesgos.
Introducir terceros con precaución, por defecto tanto arriba como abajo no son seguros.
¿Cómo pueden los usuarios determinar la seguridad de los contratos inteligentes?
¿El contrato es de código abierto?
¿El propietario utiliza un multifiado descentralizado?
Verificar la situación de las transacciones existentes del contrato
¿Es el contrato actualizable, tiene una temporalidad de bloqueo?
¿Se ha sometido a auditorías de varias instituciones? ¿Los permisos del propietario son demasiado amplios?
Presta atención a la fiabilidad de los oráculos
En resumen, en el ámbito de las Finanzas descentralizadas, los proyectos y los usuarios deben mantener una alta vigilancia y adoptar múltiples medidas de seguridad para reducir efectivamente los riesgos.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
17 me gusta
Recompensa
17
3
Compartir
Comentar
0/400
MidnightSnapHunter
· 07-25 08:52
He visto este tipo de vulnerabilidades muchas veces...
Ver originalesResponder0
GhostWalletSleuth
· 07-25 08:51
Las vulnerabilidades siempre son un juego del gato y el ratón entre el equipo detrás del proyecto y los hackers.
Análisis completo de las vulnerabilidades de seguridad en Finanzas descentralizadas: Guía de prevención de Flash Loans, manipulación de precios y ataques de reentrada
Finanzas descentralizadas comunes vulnerabilidades de seguridad y medidas de prevención
Recientemente, un experto en seguridad compartió una clase de seguridad de Finanzas descentralizadas con los miembros de la comunidad, revisando los importantes eventos de seguridad que ha enfrentado la industria de Web3 en más de un año, explorando las razones de la ocurrencia de estos eventos y cómo evitarlos, resumiendo las vulnerabilidades de seguridad comunes de los contratos inteligentes y las medidas de prevención, y también brindando algunos consejos de seguridad para los proyectos y los usuarios.
Los tipos comunes de vulnerabilidades en Finanzas descentralizadas incluyen préstamos relámpago, manipulación de precios, problemas de permisos de funciones, llamadas externas arbitrarias, problemas con funciones fallback, vulnerabilidades en la lógica de negocio, filtración de claves privadas y ataques de reentrada, entre otros. A continuación, se destacan los préstamos relámpago, la manipulación de precios y los ataques de reentrada.
Préstamo relámpago
El préstamo relámpago, aunque es una innovación en Finanzas descentralizadas, a menudo es utilizado por hackers:
En los últimos dos años, muchos proyectos de Finanzas descentralizadas han tenido problemas debido a los préstamos relámpago. Por ejemplo, algunos proyectos otorgan recompensas según la cantidad de tenencias, pero los atacantes aprovechan los préstamos relámpago para comprar grandes cantidades de tokens y obtener la mayor parte de las recompensas. Además, los proyectos que calculan precios a través de tokens pueden verse afectados por los préstamos relámpago. Los desarrolladores de proyectos deben estar alerta ante esto.
Manipulación de precios
El problema del manipulación de precios está estrechamente relacionado con los préstamos relámpago, y hay principalmente dos tipos:
Ataque de reentrada
El principal riesgo de llamar a contratos externos es que pueden tomar el control del flujo y realizar cambios inesperados en los datos.
Por ejemplo, en la función de retiro, si el saldo del usuario se pone a cero al final de la función, un atacante puede llamar a esa función nuevamente después de que se haya transferido el dinero, retirando repetidamente.
Las formas de ataque de reentrada son diversas y pueden involucrar múltiples funciones o contratos. Para prevenir la reentrada, se debe prestar atención a:
Los expertos en seguridad recomiendan usar las mejores prácticas de seguridad existentes en lugar de reinventar la rueda. Porque las soluciones nuevas que se construyen por cuenta propia carecen de una validación adecuada y la probabilidad de que presenten problemas es mucho mayor que la de las soluciones maduras.
Sugerencias de seguridad para el equipo del proyecto
¿Cómo pueden los usuarios determinar la seguridad de los contratos inteligentes?
En resumen, en el ámbito de las Finanzas descentralizadas, los proyectos y los usuarios deben mantener una alta vigilancia y adoptar múltiples medidas de seguridad para reducir efectivamente los riesgos.