Децентрализованные финансы распространенные уязвимости безопасности и меры предосторожности
В последнее время один из экспертов по безопасности провел для членов сообщества урок по безопасности в области Децентрализованные финансы. Эксперт рассмотрел значительные события безопасности, с которыми столкнулась индустрия Web3 за последний год, обсудил причины этих событий и способы их предотвращения, обобщил распространенные уязвимости смарт-контрактов и меры предосторожности, а также дал несколько советов по безопасности как для разработчиков проектов, так и для обычных пользователей.
Распространенные типы уязвимостей DeFi включают в себя флеш-кредиты, манипуляции с ценами, проблемы с правами доступа к функциям, произвольные внешние вызовы, проблемы с функцией fallback, уязвимости бизнес-логики, утечку приватных ключей и повторные атаки. Ниже мы особенно рассмотрим три типа: флеш-кредиты, манипуляции с ценами и повторные атаки.
Лимитированные займы
Лимитированные займы сами по себе являются инновацией в области Децентрализованных финансов, но когда их используют хакеры, можно без затрат брать деньги для арбитража. Многие проекты в области Децентрализованных финансов выглядят как приносящие высокую прибыль, но уровень команд разработчиков сильно варьируется; даже если код не содержит уязвимостей, логически могут существовать проблемы. Например, некоторые проекты выплачивают вознаграждения в фиксированное время в зависимости от количества токенов, удерживаемых держателями, но злоумышленники могут воспользоваться лимитированными займами для покупки большого количества токенов, чтобы получить большую часть вознаграждения в момент его выплаты. Есть также проекты, которые рассчитывают цену через токены, и их можно повлиять с помощью лимитированных займов. Команды разработчиков должны быть более внимательны к этим проблемам.
Манипуляция ценами
Проблема манипуляции ценами тесно связана с флеш-кредитами, главным образом из-за того, что некоторые параметры могут контролироваться пользователями при расчете цены. Существуют два основных типа проблем:
При расчете цены используются данные третьих сторон, но неправильное использование или отсутствие проверки приводят к злонамеренному манипулированию ценами.
Используйте количество токенов по некоторым адресам в качестве вычислительной переменной, при этом баланс токенов этих адресов может временно увеличиваться или уменьшаться.
Атака повторного входа
Одной из основных опасностей вызова внешних контрактов является то, что они могут захватить поток управления и внести непредвиденные изменения в данные, вызывая функции. Существует множество способов реентеранности для различных контрактов, которые могут быть использованы для атаки, сочетая функции различных контрактов или функции нескольких контрактов. При решении проблемы реентеранности необходимо учитывать:
Не только предотвращает проблему повторного входа для одной функции
Следуйте принципу Checks-Effects-Interactions при кодировании
Используйте проверенный временем модификатор против повторного входа
Больше всего я боюсь повторного изобретения колеса. В этой сфере существует множество лучших практик безопасности, которые можно использовать напрямую, совершенно не нужно изобретать колесо заново. Самостоятельное изобретение колеса не прошло достаточной проверки, и вероятность возникновения проблем явно выше, чем при использовании зрелых и проверенных решений.
Рекомендации по безопасности для проекта
Разработка контрактов следует лучшим практикам безопасности
Контракт может быть обновлен и приостановлен
Использование временной блокировки
Увеличить инвестиции в безопасность, создать完善ную систему безопасности
Повышение осведомленности всех сотрудников о безопасности
Предотвращение внутренних злоупотреблений, повышение эффективности и усиление контроля рисков
Осторожно вводите третью сторону, проверяйте последние и первые звенья.
Как пользователю/LP определить, безопасен ли смарт-контракт
Является ли контракт открытым?
Использует ли владелец мультиподпись, и децентрализована ли мультиподпись?
Существующая торговая ситуация по контракту
Является ли контракт агентским, можно ли его обновить, есть ли временная блокировка
Прошел ли контракт аудит нескольких учреждений, не слишком ли велики права владельца?
Обратите внимание на выбор и использование оракулов
В общем, пользователи должны быть особенно осторожны при участии в проектах Децентрализованных финансов, всесторонне оценивая безопасность проекта, и не должны быть ослеплены высокой доходностью. Команды проектов должны строить защитные линии с разных сторон и постоянно следить за безопасностью проекта и улучшать её.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
13 Лайков
Награда
13
7
Поделиться
комментарий
0/400
WenMoon42
· 07-31 16:21
Кто не был разыгран людьми как лохов несколько раз?
Посмотреть ОригиналОтветить0
GhostInTheChain
· 07-31 09:22
разыгрывайте людей как лохов за год, неудачники, прозрели
Посмотреть ОригиналОтветить0
MiningDisasterSurvivor
· 07-29 19:14
Ещё одна волна неудачников будет разыграна как лохи.
Полный анализ уязвимостей безопасности DeFi: руководство по предотвращению срочных займов, манипуляций с ценами и атак повторного входа
Децентрализованные финансы распространенные уязвимости безопасности и меры предосторожности
В последнее время один из экспертов по безопасности провел для членов сообщества урок по безопасности в области Децентрализованные финансы. Эксперт рассмотрел значительные события безопасности, с которыми столкнулась индустрия Web3 за последний год, обсудил причины этих событий и способы их предотвращения, обобщил распространенные уязвимости смарт-контрактов и меры предосторожности, а также дал несколько советов по безопасности как для разработчиков проектов, так и для обычных пользователей.
Распространенные типы уязвимостей DeFi включают в себя флеш-кредиты, манипуляции с ценами, проблемы с правами доступа к функциям, произвольные внешние вызовы, проблемы с функцией fallback, уязвимости бизнес-логики, утечку приватных ключей и повторные атаки. Ниже мы особенно рассмотрим три типа: флеш-кредиты, манипуляции с ценами и повторные атаки.
Лимитированные займы
Лимитированные займы сами по себе являются инновацией в области Децентрализованных финансов, но когда их используют хакеры, можно без затрат брать деньги для арбитража. Многие проекты в области Децентрализованных финансов выглядят как приносящие высокую прибыль, но уровень команд разработчиков сильно варьируется; даже если код не содержит уязвимостей, логически могут существовать проблемы. Например, некоторые проекты выплачивают вознаграждения в фиксированное время в зависимости от количества токенов, удерживаемых держателями, но злоумышленники могут воспользоваться лимитированными займами для покупки большого количества токенов, чтобы получить большую часть вознаграждения в момент его выплаты. Есть также проекты, которые рассчитывают цену через токены, и их можно повлиять с помощью лимитированных займов. Команды разработчиков должны быть более внимательны к этим проблемам.
Манипуляция ценами
Проблема манипуляции ценами тесно связана с флеш-кредитами, главным образом из-за того, что некоторые параметры могут контролироваться пользователями при расчете цены. Существуют два основных типа проблем:
При расчете цены используются данные третьих сторон, но неправильное использование или отсутствие проверки приводят к злонамеренному манипулированию ценами.
Используйте количество токенов по некоторым адресам в качестве вычислительной переменной, при этом баланс токенов этих адресов может временно увеличиваться или уменьшаться.
Атака повторного входа
Одной из основных опасностей вызова внешних контрактов является то, что они могут захватить поток управления и внести непредвиденные изменения в данные, вызывая функции. Существует множество способов реентеранности для различных контрактов, которые могут быть использованы для атаки, сочетая функции различных контрактов или функции нескольких контрактов. При решении проблемы реентеранности необходимо учитывать:
Не только предотвращает проблему повторного входа для одной функции
Следуйте принципу Checks-Effects-Interactions при кодировании
Используйте проверенный временем модификатор против повторного входа
Больше всего я боюсь повторного изобретения колеса. В этой сфере существует множество лучших практик безопасности, которые можно использовать напрямую, совершенно не нужно изобретать колесо заново. Самостоятельное изобретение колеса не прошло достаточной проверки, и вероятность возникновения проблем явно выше, чем при использовании зрелых и проверенных решений.
Рекомендации по безопасности для проекта
Разработка контрактов следует лучшим практикам безопасности
Контракт может быть обновлен и приостановлен
Использование временной блокировки
Увеличить инвестиции в безопасность, создать完善ную систему безопасности
Повышение осведомленности всех сотрудников о безопасности
Предотвращение внутренних злоупотреблений, повышение эффективности и усиление контроля рисков
Осторожно вводите третью сторону, проверяйте последние и первые звенья.
Как пользователю/LP определить, безопасен ли смарт-контракт
Является ли контракт открытым?
Использует ли владелец мультиподпись, и децентрализована ли мультиподпись?
Существующая торговая ситуация по контракту
Является ли контракт агентским, можно ли его обновить, есть ли временная блокировка
Прошел ли контракт аудит нескольких учреждений, не слишком ли велики права владельца?
Обратите внимание на выбор и использование оракулов
В общем, пользователи должны быть особенно осторожны при участии в проектах Децентрализованных финансов, всесторонне оценивая безопасность проекта, и не должны быть ослеплены высокой доходностью. Команды проектов должны строить защитные линии с разных сторон и постоянно следить за безопасностью проекта и улучшать её.