Частые уязвимости безопасности в Децентрализованных финансах и меры предосторожности
Недавно один из экспертов по безопасности поделился с членами сообщества курсом по безопасности в Децентрализованных финансах. Он обсудил крупные инциденты безопасности, с которыми столкнулась индустрия Web3 за последний год, исследовал причины этих событий и способы их предотвращения, обобщил распространённые уязвимости смарт-контрактов и меры предосторожности, а также дал некоторые советы по безопасности для проектов и обычных пользователей.
Основные типы уязвимостей DeFi включают в себя: кредитование в один клик, манипуляции с ценами, проблемы с правами функций, произвольные внешние вызовы, проблемы с функцией fallback, уязвимости бизнес-логики, утечка приватных ключей и атаки повторного входа. В этой статье мы сосредоточимся на трех типах: кредитование в один клик, манипуляции с ценами и атаки повторного входа.
Займ с использованием мгновенного кредита
Мгновенные займы — это инновация в Децентрализованных финансах, но они также часто используются хакерами:
Злоумышленник берет в долг большое количество средств через флеш-кредиты, чтобы манипулировать ценами или атаковать бизнес-логику.
Разработчики должны учитывать, приведет ли огромный объем средств к аномалиям в функциональности контракта, или будет использован для получения неправомерных вознаграждений.
Некоторые проекты при разработке не учитывали влияние флеш-кредитов, что привело к краже средств.
За последние два года flash-кредиты вызвали немало проблем. Некоторые высокодоходные Децентрализованные финансы проекты, из-за различного уровня разработки, имеют множество уязвимостей. Например, в некоторых проектах награды выдаются в фиксированное время в зависимости от владения, что злоумышленники используют для покупки большого количества токенов с помощью flash-кредита, чтобы получить большую часть награды. Также некоторые проекты, которые рассчитывают цену через токены, могут подвергаться влиянию цен со стороны flash-кредита. Команды проектов должны быть настороже к этим проблемам.
Манипуляция ценами
Проблема манипуляции ценами тесно связана с闪电贷, существует два основных типа:
Использование данных третьих сторон для расчета цен, но неправильное использование или отсутствие проверки приводит к манипуляциям с ценами.
Используйте баланс токенов определенных адресов в качестве расчетной переменной, при этом эти балансы могут временно увеличиваться или уменьшаться.
Ребалансировка
Основной риск вызова внешних контрактов заключается в том, что они могут перехватить управление потоком и произвести неожиданные изменения данных. Например:
Поскольку баланс пользователя обнуляется только в конце функции, повторные вызовы все равно могут успешно извлечь баланс.
Формы атак повторного входа разнообразны и могут затрагивать несколько функций или контрактов. Для решения проблемы повторного входа необходимо учитывать:
Не только предотвращает повторный вход в одну функцию
Лучше использовать уже существующие лучшие практики безопасности, чем изобретать велосипед. Зрелые решения более безопасны и надежны, чем новые решения, разработанные самостоятельно.
Рекомендации по безопасности для проекта
Соблюдайте лучшие практики безопасности при разработке контрактов
Реализация возможности обновления и приостановки контрактов
Использование механизма временной блокировки
Увеличить инвестиции в безопасность, создать完善ную систему безопасности
Повышение осведомленности всех сотрудников о безопасности
Предотвращение внутренних злодеяний, одновременно повышая эффективность и укрепляя контроль рисков
Осторожно вводите третьи стороны, проводите проверку безопасности.
Как пользователю определить безопасность смарт-контрактов
Подтвердите, что контракт является открытым
Проверьте, использует ли владелец децентрализованное мультиподписание.
Посмотреть существующие торговые условия контракта
Определите, можно ли обновить контракт, есть ли временная блокировка
Подтвердите, был ли контракт проверен несколькими организациями, не слишком ли велики права владельца.
Обратите внимание на использование оракулов
В общем, в экосистеме Децентрализованных финансов проектные команды и пользователи должны поддерживать высокий уровень безопасности, принимать необходимые меры предосторожности и совместно обеспечивать здоровое развитие экосистемы.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
3
Поделиться
комментарий
0/400
ImpermanentPhobia
· 20ч назад
Опасно и интересно: Хакер и Срочные займы.
Посмотреть ОригиналОтветить0
SnapshotBot
· 20ч назад
команда проекта еще каждый день разыгрывает людей как лохов
Безопасность DeFi: руководство по предотвращению срочных займов, манипуляций с ценами и атак повторного входа
Частые уязвимости безопасности в Децентрализованных финансах и меры предосторожности
Недавно один из экспертов по безопасности поделился с членами сообщества курсом по безопасности в Децентрализованных финансах. Он обсудил крупные инциденты безопасности, с которыми столкнулась индустрия Web3 за последний год, исследовал причины этих событий и способы их предотвращения, обобщил распространённые уязвимости смарт-контрактов и меры предосторожности, а также дал некоторые советы по безопасности для проектов и обычных пользователей.
Основные типы уязвимостей DeFi включают в себя: кредитование в один клик, манипуляции с ценами, проблемы с правами функций, произвольные внешние вызовы, проблемы с функцией fallback, уязвимости бизнес-логики, утечка приватных ключей и атаки повторного входа. В этой статье мы сосредоточимся на трех типах: кредитование в один клик, манипуляции с ценами и атаки повторного входа.
Займ с использованием мгновенного кредита
Мгновенные займы — это инновация в Децентрализованных финансах, но они также часто используются хакерами:
За последние два года flash-кредиты вызвали немало проблем. Некоторые высокодоходные Децентрализованные финансы проекты, из-за различного уровня разработки, имеют множество уязвимостей. Например, в некоторых проектах награды выдаются в фиксированное время в зависимости от владения, что злоумышленники используют для покупки большого количества токенов с помощью flash-кредита, чтобы получить большую часть награды. Также некоторые проекты, которые рассчитывают цену через токены, могут подвергаться влиянию цен со стороны flash-кредита. Команды проектов должны быть настороже к этим проблемам.
Манипуляция ценами
Проблема манипуляции ценами тесно связана с闪电贷, существует два основных типа:
Использование данных третьих сторон для расчета цен, но неправильное использование или отсутствие проверки приводит к манипуляциям с ценами.
Используйте баланс токенов определенных адресов в качестве расчетной переменной, при этом эти балансы могут временно увеличиваться или уменьшаться.
Ребалансировка
Основной риск вызова внешних контрактов заключается в том, что они могут перехватить управление потоком и произвести неожиданные изменения данных. Например:
солидность отображение (address => uint) private userBalances;
функция withdrawBalance() публичная { uint amountToWithdraw = userBalances[msg.sender]; (bool успех, ) = msg.sender.call.value(amountToWithdraw)("" ); require(успех); userBalances[msg.sender] = 0; }
Поскольку баланс пользователя обнуляется только в конце функции, повторные вызовы все равно могут успешно извлечь баланс.
Формы атак повторного входа разнообразны и могут затрагивать несколько функций или контрактов. Для решения проблемы повторного входа необходимо учитывать:
Лучше использовать уже существующие лучшие практики безопасности, чем изобретать велосипед. Зрелые решения более безопасны и надежны, чем новые решения, разработанные самостоятельно.
Рекомендации по безопасности для проекта
Как пользователю определить безопасность смарт-контрактов
В общем, в экосистеме Децентрализованных финансов проектные команды и пользователи должны поддерживать высокий уровень безопасности, принимать необходимые меры предосторожности и совместно обеспечивать здоровое развитие экосистемы.