Finance décentralisée : vulnérabilités de sécurité courantes et mesures préventives
Récemment, un expert en sécurité a partagé une leçon de sécurité DeFi avec les membres de la communauté. Cet expert a passé en revue les événements de sécurité majeurs auxquels l'industrie Web3 a été confrontée au cours de l'année écoulée, a exploré les raisons de ces événements et comment les éviter, a résumé les vulnérabilités de sécurité courantes des contrats intelligents et les mesures préventives, et a également donné quelques conseils de sécurité aux équipes de projet et aux utilisateurs ordinaires.
Les types de vulnérabilités DeFi courants incluent principalement les prêts flash, la manipulation des prix, les problèmes de droits d'accès aux fonctions, les appels externes arbitraires, les problèmes de fonctions fallback, les vulnérabilités de logique métier, les fuites de clés privées et les attaques par réentrance. Cet article se concentrera sur les prêts flash, la manipulation des prix et les attaques par réentrance.
Prêt éclair
Le prêt éclair est une innovation de la Finance décentralisée, mais il est souvent exploité par des hackers. Les attaquants empruntent de grandes quantités de fonds par le biais de prêts éclair pour manipuler les prix ou attaquer la logique commerciale. Les développeurs doivent tenir compte du fait que les fonctionnalités du contrat pourraient provoquer des anomalies en raison de fonds massifs, ou être exploitées dans une seule transaction pour interagir avec plusieurs fonctions et obtenir des gains indus.
De nombreux projets de Finance décentralisée semblent offrir des rendements élevés, mais en réalité, le niveau des équipes derrière ces projets varie considérablement. Certains projets peuvent avoir acheté leur code, et même si le code lui-même n'a pas de vulnérabilités, il peut y avoir des problèmes logiques. Par exemple, certains projets distribuent des récompenses à des moments fixes en fonction du nombre de tokens détenus par les détenteurs, mais des attaquants peuvent utiliser des prêts flash pour acheter une grande quantité de tokens et obtenir la majorité des bénéfices lors de la distribution des récompenses.
Manipulation des prix
Les problèmes de manipulation des prix sont étroitement liés aux prêts éclair, principalement en raison de certains paramètres utilisés dans le calcul des prix pouvant être contrôlés par les utilisateurs. Il existe deux types de problèmes courants :
Utiliser des données tierces pour calculer les prix, mais de manière incorrecte ou sans vérification, ce qui entraîne une manipulation malveillante des prix.
Utiliser le nombre de jetons de certaines adresses comme variable de calcul, alors que le solde des jetons de ces adresses peut être temporairement augmenté ou diminué.
Attaque par réentrance
L'attaque par réentrance est l'un des principaux dangers auxquels on peut être confronté lors de l'appel de contrats externes. Un attaquant peut prendre le contrôle du flux et apporter des modifications inattendues aux données en appelant une fonction. Par exemple, dans une fonction de retrait, si le solde de l'utilisateur n'est mis à zéro qu'à la fin de la fonction, l'attaquant peut appeler cette fonction plusieurs fois en cours de route, retirant ainsi plusieurs fois le solde.
Concernant les attaques par réinsertion, il est important de prêter attention aux points suivants :
Ne pas seulement prévenir le problème de réentrance d'une fonction unique
Suivre le modèle Checks-Effects-Interactions lors du codage
Utiliser un modificateur anti-reentré éprouvé dans le temps
Lors de la résolution des problèmes de sécurité, il est préférable d'utiliser les meilleures pratiques de sécurité déjà validées plutôt que de réinventer la roue.
Conseils de sécurité pour les projets
Suivre les meilleures pratiques de sécurité lors du développement de contrats.
Mise en œuvre de la fonctionnalité de mise à niveau et de pause des contrats
Adopter un mécanisme de verrouillage temporel
Accroître les investissements en sécurité et établir un système de sécurité complet.
Améliorer la sensibilisation à la sécurité de tous les employés
Prévenir les comportements malveillants internes tout en améliorant l'efficacité et en renforçant la gestion des risques.
Introduire des composants tiers avec prudence, en veillant à la sécurité.
Comment les utilisateurs peuvent-ils déterminer si un contrat intelligent est sûr
Vérifiez si le contrat est open source
Vérifiez si le propriétaire utilise un mécanisme de multi-signature décentralisé.
Vérifiez la situation des transactions existantes du contrat
Vérifiez si le contrat est un contrat d'agence, s'il est évolutif et s'il a un verrouillage temporel.
Vérifiez si le contrat a été audité par plusieurs institutions et si les droits du propriétaire sont excessifs.
Attention à l'utilisation des oracles
Grâce aux mesures ci-dessus, les équipes de projet et les utilisateurs peuvent dans une certaine mesure améliorer la sécurité des projets de Finance décentralisée et réduire le risque d'attaques.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
21 J'aime
Récompense
21
8
Partager
Commentaire
0/400
SadMoneyMeow
· 07-18 23:00
Après avoir écouté pendant tant d'années, si on doit prendre les gens pour des idiots, alors on sera pris.
Voir l'originalRépondre0
DefiPlaybook
· 07-17 00:45
Les statistiques montrent que les vulnérabilités des Prêts Flash représentent 43,7 % des pertes dans la Finance décentralisée.
Voir l'originalRépondre0
LiquiditySurfer
· 07-16 23:58
Protégez votre porte-monnaie, tout le monde
Voir l'originalRépondre0
FundingMartyr
· 07-15 23:30
On ne sait vraiment que lorsqu'on a perdu.
Voir l'originalRépondre0
alpha_leaker
· 07-15 23:17
Un vieux hacker qui n'est pas surpris par les choses étranges.
Voir l'originalRépondre0
GateUser-00be86fc
· 07-15 23:10
Il y a tellement de failles, comment jouer ?
Voir l'originalRépondre0
LongTermDreamer
· 07-15 23:03
Encore une fois, le journal de nourrissage des moutons, année après année.
Guide de sécurité DeFi : Analyse des types de vulnérabilités courantes et des stratégies de prévention
Finance décentralisée : vulnérabilités de sécurité courantes et mesures préventives
Récemment, un expert en sécurité a partagé une leçon de sécurité DeFi avec les membres de la communauté. Cet expert a passé en revue les événements de sécurité majeurs auxquels l'industrie Web3 a été confrontée au cours de l'année écoulée, a exploré les raisons de ces événements et comment les éviter, a résumé les vulnérabilités de sécurité courantes des contrats intelligents et les mesures préventives, et a également donné quelques conseils de sécurité aux équipes de projet et aux utilisateurs ordinaires.
Les types de vulnérabilités DeFi courants incluent principalement les prêts flash, la manipulation des prix, les problèmes de droits d'accès aux fonctions, les appels externes arbitraires, les problèmes de fonctions fallback, les vulnérabilités de logique métier, les fuites de clés privées et les attaques par réentrance. Cet article se concentrera sur les prêts flash, la manipulation des prix et les attaques par réentrance.
Prêt éclair
Le prêt éclair est une innovation de la Finance décentralisée, mais il est souvent exploité par des hackers. Les attaquants empruntent de grandes quantités de fonds par le biais de prêts éclair pour manipuler les prix ou attaquer la logique commerciale. Les développeurs doivent tenir compte du fait que les fonctionnalités du contrat pourraient provoquer des anomalies en raison de fonds massifs, ou être exploitées dans une seule transaction pour interagir avec plusieurs fonctions et obtenir des gains indus.
De nombreux projets de Finance décentralisée semblent offrir des rendements élevés, mais en réalité, le niveau des équipes derrière ces projets varie considérablement. Certains projets peuvent avoir acheté leur code, et même si le code lui-même n'a pas de vulnérabilités, il peut y avoir des problèmes logiques. Par exemple, certains projets distribuent des récompenses à des moments fixes en fonction du nombre de tokens détenus par les détenteurs, mais des attaquants peuvent utiliser des prêts flash pour acheter une grande quantité de tokens et obtenir la majorité des bénéfices lors de la distribution des récompenses.
Manipulation des prix
Les problèmes de manipulation des prix sont étroitement liés aux prêts éclair, principalement en raison de certains paramètres utilisés dans le calcul des prix pouvant être contrôlés par les utilisateurs. Il existe deux types de problèmes courants :
Attaque par réentrance
L'attaque par réentrance est l'un des principaux dangers auxquels on peut être confronté lors de l'appel de contrats externes. Un attaquant peut prendre le contrôle du flux et apporter des modifications inattendues aux données en appelant une fonction. Par exemple, dans une fonction de retrait, si le solde de l'utilisateur n'est mis à zéro qu'à la fin de la fonction, l'attaquant peut appeler cette fonction plusieurs fois en cours de route, retirant ainsi plusieurs fois le solde.
Concernant les attaques par réinsertion, il est important de prêter attention aux points suivants :
Lors de la résolution des problèmes de sécurité, il est préférable d'utiliser les meilleures pratiques de sécurité déjà validées plutôt que de réinventer la roue.
Conseils de sécurité pour les projets
Comment les utilisateurs peuvent-ils déterminer si un contrat intelligent est sûr
Grâce aux mesures ci-dessus, les équipes de projet et les utilisateurs peuvent dans une certaine mesure améliorer la sécurité des projets de Finance décentralisée et réduire le risque d'attaques.