Merkezi Olmayan Finans Yaygın Güvenlik Açıkları ve Önleme Tedbirleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için bir Merkezi Olmayan Finans güvenlik dersi paylaştı. Bu uzman, son bir yıl içinde Web3 endüstrisinin karşılaştığı önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve nasıl kaçınılacağına dair tartışmalar yaptı, yaygın akıllı sözleşmelerin güvenlik açıklarını ve önleme önlemlerini özetledi ve proje sahipleri ile sıradan kullanıcılara bazı güvenlik önerileri sundu.
Yaygın DeFi açık türleri arasında flash loan, fiyat manipülasyonu, fonksiyon izin sorunları, herhangi bir dış çağrı, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntıları ve yeniden giriş saldırıları bulunmaktadır. Bu yazıda flash loan, fiyat manipülasyonu ve yeniden giriş saldırısı olmak üzere üç tür üzerinde durulacaktır.
Hızlı Kredi
Hızlı kredi, Merkezi Olmayan Finans'ın (DeFi) bir yeniliğidir, ancak genellikle hackerlar tarafından da kullanılmaktadır. Saldırganlar, hızlı kredi aracılığıyla büyük miktarlarda fon borç alarak fiyatları manipüle edebilir veya iş mantığını hedef alabilir. Geliştiricilerin, sözleşme işlevlerinin büyük meblağlar nedeniyle anormalliklere yol açıp açmayacağını veya tek bir işlemde birden fazla fonksiyonla etkileşime girerek haksız kazanç elde edilip edilemeyeceğini düşünmeleri gerekmektedir.
Birçok Merkezi Olmayan Finans projesi yüksek kazançlar vaat ediyor gibi görünse de, aslında projelerin kalitesi değişkenlik gösteriyor. Bazı projelerin kodları satın alınmış olabilir; kod kendisi hatasız olsa bile, mantıksal olarak sorunlar olabilir. Örneğin, bazı projeler belirli zamanlarda, token sahiplerinin sahip olduğu token miktarına göre ödüller dağıtıyor, ancak saldırganlar, ödüllerin dağıtıldığı anda büyük miktarda token satın almak için flash loan kullanarak büyük bir kazanç elde edebiliyor.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunu, genellikle fiyat hesaplamasında bazı parametrelerin kullanıcı tarafından kontrol edilebilmesinden dolayı, ani kredilerle yakından ilişkilidir. Yaygın sorun türleri iki tanedir:
Fiyat hesaplanırken üçüncü taraf verileri kullanılır, ancak kullanım şekli yanlış veya kontrol eksikliği nedeniyle fiyat kötü niyetli bir şekilde manipüle edilir.
Belirli adreslerin token miktarlarını hesaplama değişkeni olarak kullanın ve bu adreslerin token bakiyeleri geçici olarak artırılabilir veya azaltılabilir.
Yeniden Giriş Saldırısı
Reentrancy saldırısı, dış sözleşmeleri çağırırken karşılaşılabilecek ana tehlikelerden biridir. Saldırgan, kontrol akışını ele geçirebilir ve verilere beklenmeyen işlev çağrıları yapabilir. Örneğin, bir çekim işlevinde, eğer kullanıcı bakiyesi işlevin sonunda 0 olarak ayarlanıyorsa, saldırgan bu işlevi tekrar tekrar çağırarak bakiyeyi birden fazla kez çekebilir.
Reentrancy saldırılarına karşı dikkat edilmesi gereken noktalar şunlardır:
Sadece tek bir fonksiyonun yeniden giriş sorununu önlemekle kalmaz.
Checks-Effects-Interactions modeline uygun olarak kodlama yapın
Zamanla test edilmiş reentrancy modifier'ını kullanın
Güvenlik sorunlarını çözerken, tekrardan tekerlek icat etmek yerine, yeterince doğrulanmış en iyi güvenlik uygulamalarını kullanmaya çalışılmalıdır.
Proje Ekibi Güvenlik Önerileri
Sözleşme geliştirme için en iyi güvenlik uygulamalarını izleyin
Sözleşmenin yükseltilebilir ve duraklatılabilir işlevlerinin gerçekleştirilmesi
Zaman kilidi mekanizmasını kullanma
Güvenlik yatırımlarını artırmak, kapsamlı bir güvenlik sistemi kurmak
Tüm çalışanların güvenlik bilincini artırmak
İç kötüye kullanımı önlemek, verimliliği artırırken risk kontrolünü güçlendirmek
Üçüncü taraf bileşenleri dikkatlice dahil edin, güvenliği sağlayın.
Kullanıcılar akıllı sözleşmelerin güvenli olup olmadığını nasıl değerlendirir?
Sözleşmenin açık kaynak olup olmadığını doğrulayın
Owner'ın merkezi olmayan çoklu imza mekanizmasını kullanıp kullanmadığını kontrol edin.
Sözleşmenin mevcut işlem durumunu kontrol et
Sözleşmenin bir vekalet sözleşmesi olup olmadığını, güncellenip güncellenemeyeceğini ve zaman kilidi olup olmadığını öğrenin.
Sözleşmenin birden fazla kuruluş tarafından denetimden geçip geçmediğini ve Owner yetkisinin aşırı olup olmadığını onaylayın.
Oracle kullanım durumuna dikkat edin
Yukarıdaki önlemlerle, proje sahipleri ve kullanıcılar, DeFi projelerinin güvenliğini belirli bir ölçüde artırabilir ve saldırıya uğrama riskini azaltabilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
21 Likes
Reward
21
8
Share
Comment
0/400
SadMoneyMeow
· 07-18 23:00
Bu kadar yıl dinledikten sonra, yine de insanları enayi yerine koymak gerekti.
View OriginalReply0
DefiPlaybook
· 07-17 00:45
İstatistikler, Flaş Krediler açıklarının Merkezi Olmayan Finans kayıplarının %43,7'sini oluşturduğunu gösteriyor.
Merkezi Olmayan Finans güvenlik kılavuzu: Yaygın açık türleri ve önleme stratejileri analizi
Merkezi Olmayan Finans Yaygın Güvenlik Açıkları ve Önleme Tedbirleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için bir Merkezi Olmayan Finans güvenlik dersi paylaştı. Bu uzman, son bir yıl içinde Web3 endüstrisinin karşılaştığı önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve nasıl kaçınılacağına dair tartışmalar yaptı, yaygın akıllı sözleşmelerin güvenlik açıklarını ve önleme önlemlerini özetledi ve proje sahipleri ile sıradan kullanıcılara bazı güvenlik önerileri sundu.
Yaygın DeFi açık türleri arasında flash loan, fiyat manipülasyonu, fonksiyon izin sorunları, herhangi bir dış çağrı, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntıları ve yeniden giriş saldırıları bulunmaktadır. Bu yazıda flash loan, fiyat manipülasyonu ve yeniden giriş saldırısı olmak üzere üç tür üzerinde durulacaktır.
Hızlı Kredi
Hızlı kredi, Merkezi Olmayan Finans'ın (DeFi) bir yeniliğidir, ancak genellikle hackerlar tarafından da kullanılmaktadır. Saldırganlar, hızlı kredi aracılığıyla büyük miktarlarda fon borç alarak fiyatları manipüle edebilir veya iş mantığını hedef alabilir. Geliştiricilerin, sözleşme işlevlerinin büyük meblağlar nedeniyle anormalliklere yol açıp açmayacağını veya tek bir işlemde birden fazla fonksiyonla etkileşime girerek haksız kazanç elde edilip edilemeyeceğini düşünmeleri gerekmektedir.
Birçok Merkezi Olmayan Finans projesi yüksek kazançlar vaat ediyor gibi görünse de, aslında projelerin kalitesi değişkenlik gösteriyor. Bazı projelerin kodları satın alınmış olabilir; kod kendisi hatasız olsa bile, mantıksal olarak sorunlar olabilir. Örneğin, bazı projeler belirli zamanlarda, token sahiplerinin sahip olduğu token miktarına göre ödüller dağıtıyor, ancak saldırganlar, ödüllerin dağıtıldığı anda büyük miktarda token satın almak için flash loan kullanarak büyük bir kazanç elde edebiliyor.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunu, genellikle fiyat hesaplamasında bazı parametrelerin kullanıcı tarafından kontrol edilebilmesinden dolayı, ani kredilerle yakından ilişkilidir. Yaygın sorun türleri iki tanedir:
Yeniden Giriş Saldırısı
Reentrancy saldırısı, dış sözleşmeleri çağırırken karşılaşılabilecek ana tehlikelerden biridir. Saldırgan, kontrol akışını ele geçirebilir ve verilere beklenmeyen işlev çağrıları yapabilir. Örneğin, bir çekim işlevinde, eğer kullanıcı bakiyesi işlevin sonunda 0 olarak ayarlanıyorsa, saldırgan bu işlevi tekrar tekrar çağırarak bakiyeyi birden fazla kez çekebilir.
Reentrancy saldırılarına karşı dikkat edilmesi gereken noktalar şunlardır:
Güvenlik sorunlarını çözerken, tekrardan tekerlek icat etmek yerine, yeterince doğrulanmış en iyi güvenlik uygulamalarını kullanmaya çalışılmalıdır.
Proje Ekibi Güvenlik Önerileri
Kullanıcılar akıllı sözleşmelerin güvenli olup olmadığını nasıl değerlendirir?
Yukarıdaki önlemlerle, proje sahipleri ve kullanıcılar, DeFi projelerinin güvenliğini belirli bir ölçüde artırabilir ve saldırıya uğrama riskini azaltabilir.