分散型金融 セキュリティ：一般的な脆弱性の種類と防止策

最近、あるセキュリティ専門家がコミュニティメンバーに向けて分散型金融のセキュリティ講座を提供しました。彼は過去1年以上にわたってWeb3業界が直面した重大なセキュリティ事件を振り返り、これらの事件が発生した理由や回避方法について考察しました。また、一般的なスマートコントラクトのセキュリティ脆弱性とその予防策をまとめ、プロジェクト側と一般ユーザーに対していくつかのセキュリティアドバイスを提供しました。

一般的な分散型金融の脆弱性の種類には、フラッシュローン、価格操縦、関数権限の問題、任意の外部呼び出し、フォールバック関数の問題、ビジネスロジックの脆弱性、秘密鍵の漏洩、再入攻撃が含まれます。本記事では、フラッシュローン、価格操縦、再入攻撃の3つのタイプに重点を置いて説明します。

! Cobo DeFiセキュリティセクション(パートII):D eFiの一般的なセキュリティの脆弱性と防止

ライトニングローン

フラッシュローンは分散型金融の一種の革新ですが、ハッカーによってもよく利用されます。攻撃者はフラッシュローンを通じて大量の資金を借り出し、価格を操作したりビジネスロジックを攻撃したりします。開発者は、契約の機能が巨額の資金によって異常を引き起こすか、または不当な報酬を得るために1回の取引で複数の関数と相互作用するために利用されるかどうかを考慮する必要があります。

多くの分散型金融プロジェクトは高い収益のように見えますが、実際にはプロジェクトのレベルがまちまちです。コード自体に脆弱性がなくても、論理的に問題が存在する可能性があります。例えば、一部のプロジェクトは固定された時間に保有者のトークン数量に基づいて報酬を配布しますが、攻撃者がフラッシュローンを利用して大量のトークンを購入し、報酬配布時にほとんどの報酬を獲得することがあります。

価格操作

価格操作の問題はフラッシュローンと密接に関連しており、主に価格計算時の特定のパラメータがユーザーによって制御されるためです。一般的な問題のタイプは2種類あります：

1. 価格を計算する際に第三者データを使用しますが、使用方法が不正確または確認が欠如しているため、価格が悪意を持って操作されることになります。
2. 特定のアドレスのトークン数を計算変数として使用し、これらのアドレスのトークン残高は一時的に増加または減少する可能性があります。

リエントランシー攻撃

外部コントラクトを呼び出す主なリスクの一つは、制御フローを引き継ぎ、データに予期しない変更を加える可能性があることです。再入攻撃の典型的な例は、引き出し関数内で、ユーザーの残高が関数の最後まで 0 に設定されず、複数回の呼び出しが成功して引き出しが行えることです。

重入問題を解決するには、以下の点に注意する必要があります。

1. 単一の関数の再入問題を防ぐだけでなく
2. Checks-Effects-Interactions パターンに従ってコーディングを行う
3. 時間の検証を受けた再入禁止モディファイアを使用する

安全な実践では、再び車輪を作るのではなく、十分に検証された成熟したソリューションをできるだけ使用するべきです。

プロジェクトの安全に関する提案

1. 最良のセキュリティプラクティスに従って契約を開発する
2. コントラクトのアップグレードおよび一時停止機能を実現する
3. タイムロック機構を採用する
4. セキュリティ投資を増やし、完璧なセキュリティシステムを構築する
5. 全ての従業員の安全意識を高める
6. 内部での悪用を防ぎ、効率を向上させると同時にリスク管理を強化する
7. 第三者コンポーネントの導入には注意し、その安全性を確保すること

ユーザーはどのようにスマートコントラクトの安全性を判断するか

1. コントラクトがオープンソースであることを確認する
2. Ownerが分散型のマルチシグ機構を採用しているか確認する
3. 契約の既存の取引を確認する
4. コントラクトが代理コントラクトであるか、アップグレード可能であるか、タイムロックがあるかを確認する
5. 契約が複数の機関によって監査されているか、Owner権限が過大でないかを確認する
6. オラクルの使用状況に注意し、知名度の高いオラクルを優先的に選択してください。

以上の点に注目することで、ユーザーはDeFiプロジェクトの安全性をより良く評価し、より賢明な投資判断を下すことができます。