الأمان في التمويل اللامركزي: أنواع الثغرات الشائعة وإجراءات الوقاية

في الآونة الأخيرة، شارك أحد الخبراء الأمنيين درسًا حول أمان التمويل اللامركزي مع أعضاء المجتمع. استعرض الأحداث الأمنية الكبيرة التي واجهتها صناعة Web3 على مدى العام الماضي، ونوقشت أسباب حدوث هذه الأحداث وكيفية تجنبها، وملخص للثغرات الأمنية الشائعة في العقود الذكية وتدابير الوقاية، وقدم بعض النصائح الأمنية للمشاريع والمستخدمين العاديين.

تشمل الأنواع الشائعة من ثغرات التمويل اللامركزي قروض الفلاش، والتلاعب بالأسعار، ومشاكل صلاحيات الدوال، والاستدعاءات الخارجية العشوائية، ومشاكل دالة الفالس، وثغرات منطق العمل، وكشف المفاتيح الخاصة، وهجمات إعادة الدخول. ستركز هذه المقالة على قروض الفلاش، والتلاعب بالأسعار، وهجمات إعادة الدخول.

القرض السريع

القرض السريع هو ابتكار في التمويل اللامركزي، ولكنه غالبًا ما يُستخدم من قبل القراصنة. يقوم المهاجمون باستعارة مبالغ كبيرة من الأموال من خلال القرض السريع، للتلاعب في الأسعار أو مهاجمة منطق الأعمال. يحتاج المطورون إلى مراعاة ما إذا كانت وظائف العقد ستتعرض لخلل بسبب كميات كبيرة من الأموال، أو إذا تم استغلالها للتفاعل مع وظائف متعددة في صفقة واحدة للحصول على مكافآت غير مستحقة.

تبدو العديد من مشاريع التمويل اللامركزي مربحة للغاية، لكن مستوى المشاريع يختلف بشكل كبير. حتى لو لم يكن هناك ثغرات في الكود نفسه، قد توجد مشاكل من الناحية المنطقية. على سبيل المثال، تقوم بعض المشاريع بإصدار المكافآت بناءً على عدد الرموز المميزة لحامليها في وقت ثابت، ولكن يمكن للمهاجمين الاستفادة من القروض الفورية لشراء كميات كبيرة من الرموز، والحصول على معظم المكافآت عند إصدارها.

التحكم في الأسعار

تتعلق مشكلة التحكم في الأسعار ارتباطًا وثيقًا بالقروض الفورية، ويرجع ذلك أساسًا إلى إمكانية التحكم في بعض المعلمات أثناء حساب الأسعار. هناك نوعان شائعان من المشكلات:

1. عند حساب الأسعار، يتم استخدام بيانات من طرف ثالث، ولكن استخدام هذه البيانات بشكل غير صحيح أو عدم التحقق منها يؤدي إلى التلاعب بالأسعار بشكل ضار.
2. استخدام عدد الرموز في بعض العناوين كمتغيرات حسابية، حيث يمكن زيادة أو تقليل رصيد الرموز في هذه العناوين مؤقتًا.

هجوم إعادة الإدخال

أحد المخاطر الرئيسية لاستدعاء العقود الخارجية هو أنها قد تستحوذ على تدفق التحكم، وتقوم بإجراء تغييرات غير متوقعة على البيانات. مثال نموذجي لهجوم إعادة الإدخال هو أنه في دالة السحب، لا يتم تعيين رصيد المستخدم إلى 0 حتى نهاية الدالة، مما يؤدي إلى نجاح عمليات السحب المتعددة.

لحل مشكلة إعادة الإدخال، يجب الانتباه إلى النقاط التالية:

1. يجب عدم فقط منع مشكلة إعادة الدخول لوظيفة واحدة
2. اتباع نمط Checks-Effects-Interactions في الترميز
3. استخدام مُعدل مقاومة إعادة الدخول الذي تم التحقق من صحته زمنياً

في الممارسات الأمنية، يجب استخدام الحلول الناضجة التي تم التحقق منها بشكل كافٍ بدلاً من إعادة اختراع العجلة.

نصائح الأمان من المشروع

1. اتباع أفضل الممارسات الأمنية لتطوير العقود
2. تنفيذ وظيفة ترقية وإيقاف العقود
3. استخدام آلية قفل الوقت
4. زيادة الاستثمارات في الأمن، وإقامة نظام أمني متكامل
5. تعزيز الوعي الأمني لجميع الموظفين
6. منع الأفعال الضارة الداخلية، مع تعزيز إدارة المخاطر أثناء تحسين الكفاءة
7. احرص على إدخال مكونات الطرف الثالث بحذر، وتأكد من سلامتها

كيف يمكن للمستخدمين تحديد أمان العقود الذكية

1. تأكد من أن العقد مفتوح المصدر
2. تحقق مما إذا كان المالك يستخدم آلية متعددة التوقيع اللامركزية
3. عرض حالة التداول الحالية للعقد
4. تأكيد ما إذا كانت العقدة هي عقد وكيل، وما إذا كانت قابلة للتحديث، وما إذا كان هناك قفل زمني
5. تحقق مما إذا كانت العقود قد تم تدقيقها من قبل عدة مؤسسات، وما إذا كانت صلاحيات المالك كبيرة جداً.
6. انتبه إلى استخدام الأوراق المالية، ويفضل اختيار الأوراق المالية ذات الشهرة العالية.

من خلال الانتباه إلى النقاط المذكورة أعلاه، يمكن للمستخدمين تقييم أمان مشروع التمويل اللامركزي بشكل أفضل، مما يساعدهم على اتخاذ قرارات استثمارية أكثر حكمة.