Анализ уязвимостей безопасности в Децентрализованных финансах: руководство по предотвращению Срочных займов, манипуляций с ценами и атак повторного входа
Общие уязвимости безопасности DeFi и меры предосторожности
Недавно один из экспертов по безопасности провел для членов сообщества урок по безопасности Децентрализованных финансов, в котором рассмотрел重大安全事件, произошедшие в Web3 индустрии за последний год, обсудил причины их возникновения и способы их предотвращения, обобщил распространенные уязвимости смарт-контрактов и меры по их предотвращению, а также дал несколько рекомендаций по безопасности для проектных команд и пользователей.
Распространенные типы уязвимостей DeFi в основном включают в себя флеш-кредиты, манипуляцию ценами, проблемы с правами функции, произвольные внешние вызовы, проблемы с функцией fallback, уязвимости бизнес-логики, утечку приватных ключей, повторные атаки и т.д. Ниже мы подробно рассмотрим три типа: флеш-кредиты, манипуляция ценами и повторные атаки.
Мгновенный кредит
Хотя闪电贷 является инновацией в области Децентрализованные финансы, его также часто используют хакеры:
Нападающий берет в долг большое количество средств через кредитование, манипулируя ценами или атакуя бизнес-логику
Разработчики должны учитывать, может ли функциональность контракта привести к аномалиям из-за крупных сумм средств или быть использована для получения неправомерных вознаграждений.
Некоторые проекты при разработке функций не учитывали влияние флеш-кредитов, что привело к краже средств.
В последние два года многие проекты Децентрализованные финансы столкнулись с проблемами из-за闪电贷. Например, некоторые проекты выдают вознаграждения в зависимости от объема владения, но злоумышленники используют闪电贷 для покупки большого количества токенов, чтобы получить большую часть вознаграждения. Также проекты, рассчитывающие цену через токены, могут быть подвержены влиянию价格 от闪电贷. Команды проектов должны быть к этому бдительны.
Манипуляция ценами
Проблема манипуляций с ценами тесно связана с мгновенными займами, в основном существует два типа:
При расчете цены используются данные третьих сторон, но неправильное использование или отсутствие проверки приводит к злонамеренному манипулированию ценами.
Используйте баланс токенов определенных адресов в качестве вычисляемой переменной, при этом эти балансы могут быть временно увеличены или уменьшены.
Атака повторного входа
Основной риск вызова внешних контрактов заключается в том, что они могут захватить управление потоком и внести непредвиденные изменения в данные.
Например, в функции вывода, если баланс пользователя обнуляется только в конце функции, злоумышленник может снова вызвать эту функцию после вывода средств и многократно осуществлять вывод.
Формы атак повторного входа разнообразны и могут затрагивать несколько функций или контрактов. Для предотвращения повторного входа следует обратить внимание на:
Не только предотвращает повторный вход одной функции
Следуйте модели Checks-Effects-Interactions при кодировании
Эксперты по безопасности рекомендуют использовать существующие лучшие практики безопасности, а не изобретать колесо заново. Поскольку новые решения, созданные самостоятельно, недостаточно проверены, вероятность возникновения проблем значительно выше, чем у зрелых решений.
Рекомендации по безопасности для проектов
Разработка контрактов следует лучшим практикам безопасности
Контракты могут быть обновлены и приостановлены, чтобы вовремя реагировать на атаки
Используйте временные замки, чтобы оставить время для выявления и реагирования на риски
Увеличить инвестиции в безопасность, создать完善ную систему безопасности
Повышение безопасности всех сотрудников
Предотвращение внутреннего злоупотребления, повышение эффективности и усиление контроля рисков
Осторожно вводите третьи стороны, по умолчанию как верхнее, так и нижнее звено не безопасны.
Как пользователю определить безопасность смарт-контракта
Является ли контракт открытым исходным кодом
Использует ли владелец децентрализованную мультиподпись
Проверьте существующие сделки по контракту
Можно ли обновлять контракт, есть ли таймлок
Принято ли аудит от нескольких организаций, не слишком ли велико право владельца?
Обратите внимание на надежность оракулов
В общем, в области Децентрализованных финансов проектные команды и пользователи должны оставаться на高度 бдительности и принимать многоуровневые меры безопасности, чтобы эффективно снизить риски.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
3
Поделиться
комментарий
0/400
MidnightSnapHunter
· 07-25 08:52
Я уже много раз видел такие уязвимости...
Посмотреть ОригиналОтветить0
GhostWalletSleuth
· 07-25 08:51
Уязвимости всегда будут кошкой и мышкой между командой проекта и Хакером.
Анализ уязвимостей безопасности в Децентрализованных финансах: руководство по предотвращению Срочных займов, манипуляций с ценами и атак повторного входа
Общие уязвимости безопасности DeFi и меры предосторожности
Недавно один из экспертов по безопасности провел для членов сообщества урок по безопасности Децентрализованных финансов, в котором рассмотрел重大安全事件, произошедшие в Web3 индустрии за последний год, обсудил причины их возникновения и способы их предотвращения, обобщил распространенные уязвимости смарт-контрактов и меры по их предотвращению, а также дал несколько рекомендаций по безопасности для проектных команд и пользователей.
Распространенные типы уязвимостей DeFi в основном включают в себя флеш-кредиты, манипуляцию ценами, проблемы с правами функции, произвольные внешние вызовы, проблемы с функцией fallback, уязвимости бизнес-логики, утечку приватных ключей, повторные атаки и т.д. Ниже мы подробно рассмотрим три типа: флеш-кредиты, манипуляция ценами и повторные атаки.
Мгновенный кредит
Хотя闪电贷 является инновацией в области Децентрализованные финансы, его также часто используют хакеры:
В последние два года многие проекты Децентрализованные финансы столкнулись с проблемами из-за闪电贷. Например, некоторые проекты выдают вознаграждения в зависимости от объема владения, но злоумышленники используют闪电贷 для покупки большого количества токенов, чтобы получить большую часть вознаграждения. Также проекты, рассчитывающие цену через токены, могут быть подвержены влиянию价格 от闪电贷. Команды проектов должны быть к этому бдительны.
Манипуляция ценами
Проблема манипуляций с ценами тесно связана с мгновенными займами, в основном существует два типа:
Атака повторного входа
Основной риск вызова внешних контрактов заключается в том, что они могут захватить управление потоком и внести непредвиденные изменения в данные.
Например, в функции вывода, если баланс пользователя обнуляется только в конце функции, злоумышленник может снова вызвать эту функцию после вывода средств и многократно осуществлять вывод.
Формы атак повторного входа разнообразны и могут затрагивать несколько функций или контрактов. Для предотвращения повторного входа следует обратить внимание на:
Эксперты по безопасности рекомендуют использовать существующие лучшие практики безопасности, а не изобретать колесо заново. Поскольку новые решения, созданные самостоятельно, недостаточно проверены, вероятность возникновения проблем значительно выше, чем у зрелых решений.
Рекомендации по безопасности для проектов
Как пользователю определить безопасность смарт-контракта
В общем, в области Децентрализованных финансов проектные команды и пользователи должны оставаться на高度 бдительности и принимать многоуровневые меры безопасности, чтобы эффективно снизить риски.