في الآونة الأخيرة، شارك أحد خبراء الأمان درسًا حول أمان التمويل اللامركزي لأعضاء المجتمع. استعرض هذا الخبير الأحداث الأمنية الكبيرة التي شهدتها صناعة Web3 على مدار العام الماضي، واستكشف أسباب حدوث هذه الأحداث وكيفية تجنبها، وخلص إلى الثغرات الأمنية الشائعة في العقود الذكية وتدابير الوقاية، كما قدم بعض النصائح الأمنية للجهات القائمة على المشاريع والمستخدمين العاديين.
تشمل الأنواع الشائعة من ثغرات التمويل اللامركزي القرض الفوري، وتلاعب الأسعار، ومشكلات صلاحيات الوظائف، والاستدعاءات الخارجية العشوائية، ومشكلات وظيفة الاسترجاع، وثغرات منطق الأعمال، وتسرب المفاتيح الخاصة، وهجمات إعادة الإدخال. ستركز هذه المقالة على القرض الفوري، وتلاعب الأسعار، وهجمات إعادة الإدخال.
القرض الفوري هو ابتكار في التمويل اللامركزي، لكنه غالبًا ما يُستخدم من قبل المتسللين. يقوم المهاجمون بإقراض كميات كبيرة من الأموال عبر القرض الفوري للتلاعب بالأسعار أو مهاجمة المنطق التجاري. يحتاج المطورون إلى مراعاة ما إذا كانت وظائف العقد ستؤدي إلى شذوذ بسبب الأموال الضخمة، أو سيتم استغلالها للتفاعل مع عدة دوال في صفقة واحدة للحصول على أرباح غير مشروعة.
العديد من مشاريع التمويل اللامركزي تبدو عوائدها مرتفعة جداً، لكن في الواقع مستوى الفرق القائم على المشاريع متباين. قد يكون كود بعض المشاريع مشترياً، وحتى لو لم يكن هناك ثغرات في الكود نفسه، إلا أنه قد توجد مشكلات من الناحية المنطقية. على سبيل المثال، تقوم بعض المشاريع بتوزيع المكافآت في أوقات محددة بناءً على عدد الرموز التي يحتفظ بها حاملوها، لكن يمكن للمهاجمين استغلال القروض الفورية لشراء كميات كبيرة من الرموز، مما يمكنهم من الحصول على الجزء الأكبر من العوائد عند توزيع المكافآت.
التحكم في الأسعار
تتعلق مشكلة التلاعب بالأسعار ارتباطًا وثيقًا بالقروض الفورية، وذلك بسبب إمكانية التحكم في بعض المعلمات أثناء حساب الأسعار من قبل المستخدمين. هناك نوعان شائعان من مشكلات الأسعار:
عند حساب الأسعار يتم استخدام بيانات طرف ثالث، ولكن طريقة الاستخدام غير صحيحة أو يوجد نقص في الفحص، مما يؤدي إلى التلاعب بالأسعار بشكل خبيث.
استخدام عدد الرموز في بعض العناوين كمتغيرات حسابية، حيث يمكن زيادة أو تقليل رصيد الرموز في تلك العناوين بشكل مؤقت.
هجوم إعادة الدخول
هجوم إعادة الإدخال هو أحد المخاطر الرئيسية التي قد تواجهها عند استدعاء عقود خارجية. يمكن للمهاجمين السيطرة على تدفق التحكم وإجراء تغييرات غير متوقعة على البيانات من خلال استدعاء الدوال. على سبيل المثال، في دالة السحب، إذا تم تعيين رصيد المستخدم إلى 0 فقط في نهاية الدالة، يمكن للمهاجم استدعاء هذه الدالة عدة مرات في منتصفها، مما يؤدي إلى سحب الرصيد عدة مرات.
بالنسبة لهجمات إعادة الدخول، يجب الانتباه للنقاط التالية:
لا يقتصر الأمر على منع مشكلة إعادة الدخول لوظيفة واحدة فقط
اتباع نمط Checks-Effects-Interactions في الترميز
استخدام مُعدِّل مقاوم للعودة تم التحقق من صحته عبر الزمن
عند معالجة مشكلات الأمان، يجب استخدام أفضل الممارسات الأمنية التي تم التحقق منها بشكل كامل بدلاً من إعادة اختراع العجلة.
نصائح الأمان لمشاريع العملات
اتباع أفضل ممارسات الأمان في تطوير العقود
تنفيذ ميزات ترقية العقد وإيقافه
استخدام آلية قفل الوقت
زيادة الاستثمار في الأمان، وإنشاء نظام أمان متكامل
زيادة وعي جميع الموظفين بالسلامة
منع سوء التصرف الداخلي، مع تعزيز كفاءة التحكم في المخاطر.
يجب توخي الحذر عند إدخال مكونات الطرف الثالث، لضمان الأمان
كيف يمكن للمستخدمين تحديد ما إذا كانت العقود الذكية آمنة
تأكد من أن العقد مفتوح المصدر
تحقق مما إذا كان المالك يعتمد آلية التوقيع المتعدد اللامركزية
الاطلاع على حالة التداول الحالية للعقد
تحقق مما إذا كانت العقدة عقد وكيل، وما إذا كانت قابلة للتحديث، وما إذا كانت تحتوي على قفل زمني
تأكد مما إذا كانت العقد قد خضعت لعدة تدقيقات من قبل مؤسسات مختلفة، وما إذا كانت صلاحيات المالك كبيرة جداً.
انتبه إلى استخدام الأوراكيل
من خلال التدابير المذكورة أعلاه، يمكن لكل من الفريق المشروع والمستخدمين تحسين أمان مشاريع التمويل اللامركزي إلى حد معين، وتقليل مخاطر التعرض للهجمات.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 21
أعجبني
21
8
مشاركة
تعليق
0/400
SadMoneyMeow
· 07-18 23:00
سمعت الكثير من الكلام لسنوات عديدة، ومع ذلك، يجب أن يخدع الناس لتحقيق الربح.
شاهد النسخة الأصليةرد0
DefiPlaybook
· 07-17 00:45
تشير الإحصاءات إلى أن ثغرات القروض السريعة تمثل 43.7% من خسائر التمويل اللامركزي.
شاهد النسخة الأصليةرد0
LiquiditySurfer
· 07-16 23:58
احرصوا على حماية المحفظة يا أصدقائي
شاهد النسخة الأصليةرد0
FundingMartyr
· 07-15 23:30
لا يعرف المرء قيمة الدرس إلا بعد أن يتعرض للخسارة.
شاهد النسخة الأصليةرد0
alpha_leaker
· 07-15 23:17
رأيت هاكر قديمًا ولم أعد أستغرب
شاهد النسخة الأصليةرد0
GateUser-00be86fc
· 07-15 23:10
هناك الكثير من الثغرات، كيف يمكن اللعب؟
شاهد النسخة الأصليةرد0
LongTermDreamer
· 07-15 23:03
يوميات إطعام الأغنام مرة أخرى ككل عام منذ ثلاث سنوات
دليل أمان التمويل اللامركزي: تحليل أنواع الثغرات الشائعة واستراتيجيات الوقاية
التمويل اللامركزي 常见安全漏洞及预防措施
في الآونة الأخيرة، شارك أحد خبراء الأمان درسًا حول أمان التمويل اللامركزي لأعضاء المجتمع. استعرض هذا الخبير الأحداث الأمنية الكبيرة التي شهدتها صناعة Web3 على مدار العام الماضي، واستكشف أسباب حدوث هذه الأحداث وكيفية تجنبها، وخلص إلى الثغرات الأمنية الشائعة في العقود الذكية وتدابير الوقاية، كما قدم بعض النصائح الأمنية للجهات القائمة على المشاريع والمستخدمين العاديين.
تشمل الأنواع الشائعة من ثغرات التمويل اللامركزي القرض الفوري، وتلاعب الأسعار، ومشكلات صلاحيات الوظائف، والاستدعاءات الخارجية العشوائية، ومشكلات وظيفة الاسترجاع، وثغرات منطق الأعمال، وتسرب المفاتيح الخاصة، وهجمات إعادة الإدخال. ستركز هذه المقالة على القرض الفوري، وتلاعب الأسعار، وهجمات إعادة الإدخال.
! قسم أمان Cobo DeFi (الجزء الثاني) :D الثغرات الأمنية الشائعة والوقاية من eFi
قرض البرق
القرض الفوري هو ابتكار في التمويل اللامركزي، لكنه غالبًا ما يُستخدم من قبل المتسللين. يقوم المهاجمون بإقراض كميات كبيرة من الأموال عبر القرض الفوري للتلاعب بالأسعار أو مهاجمة المنطق التجاري. يحتاج المطورون إلى مراعاة ما إذا كانت وظائف العقد ستؤدي إلى شذوذ بسبب الأموال الضخمة، أو سيتم استغلالها للتفاعل مع عدة دوال في صفقة واحدة للحصول على أرباح غير مشروعة.
العديد من مشاريع التمويل اللامركزي تبدو عوائدها مرتفعة جداً، لكن في الواقع مستوى الفرق القائم على المشاريع متباين. قد يكون كود بعض المشاريع مشترياً، وحتى لو لم يكن هناك ثغرات في الكود نفسه، إلا أنه قد توجد مشكلات من الناحية المنطقية. على سبيل المثال، تقوم بعض المشاريع بتوزيع المكافآت في أوقات محددة بناءً على عدد الرموز التي يحتفظ بها حاملوها، لكن يمكن للمهاجمين استغلال القروض الفورية لشراء كميات كبيرة من الرموز، مما يمكنهم من الحصول على الجزء الأكبر من العوائد عند توزيع المكافآت.
التحكم في الأسعار
تتعلق مشكلة التلاعب بالأسعار ارتباطًا وثيقًا بالقروض الفورية، وذلك بسبب إمكانية التحكم في بعض المعلمات أثناء حساب الأسعار من قبل المستخدمين. هناك نوعان شائعان من مشكلات الأسعار:
هجوم إعادة الدخول
هجوم إعادة الإدخال هو أحد المخاطر الرئيسية التي قد تواجهها عند استدعاء عقود خارجية. يمكن للمهاجمين السيطرة على تدفق التحكم وإجراء تغييرات غير متوقعة على البيانات من خلال استدعاء الدوال. على سبيل المثال، في دالة السحب، إذا تم تعيين رصيد المستخدم إلى 0 فقط في نهاية الدالة، يمكن للمهاجم استدعاء هذه الدالة عدة مرات في منتصفها، مما يؤدي إلى سحب الرصيد عدة مرات.
بالنسبة لهجمات إعادة الدخول، يجب الانتباه للنقاط التالية:
عند معالجة مشكلات الأمان، يجب استخدام أفضل الممارسات الأمنية التي تم التحقق منها بشكل كامل بدلاً من إعادة اختراع العجلة.
نصائح الأمان لمشاريع العملات
كيف يمكن للمستخدمين تحديد ما إذا كانت العقود الذكية آمنة
من خلال التدابير المذكورة أعلاه، يمكن لكل من الفريق المشروع والمستخدمين تحسين أمان مشاريع التمويل اللامركزي إلى حد معين، وتقليل مخاطر التعرض للهجمات.