Merkezi Olmayan Finans Yaygın Güvenlik Açıkları ve Önleme Tedbirleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için bir Merkezi Olmayan Finans güvenlik dersi paylaştı. Geçtiğimiz bir yıl boyunca Web3 endüstrisinin karşılaştığı önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve nasıl önlenebileceğini tartıştı, yaygın akıllı sözleşme güvenlik açıklarını ve önleyici tedbirleri özetledi ve proje sahipleri ile sıradan kullanıcılar için bazı güvenlik önerileri sundu.
Yaygın DeFi açık türleri arasında flash kredi, fiyat manipülasyonu, işlev izin sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntıları ve yeniden giriş saldırıları bulunmaktadır. Bu yazıda flash kredi, fiyat manipülasyonu ve yeniden giriş saldırısı gibi üç tür üzerine odaklanılacaktır.
Hızlı Kredi
Kısa vadeli krediler, Merkezi Olmayan Finans'ın bir yeniliğidir, ancak hackerlar tarafından kolayca kullanılabilir. Saldırganlar genellikle kısa vadeli krediler aracılığıyla büyük miktarda fon borç alarak fiyatları manipüle eder veya iş mantığını saldırıya uğratır. Geliştiricilerin, sözleşme işlevlerinin büyük miktardaki fonlar nedeniyle anormal hale gelip gelmeyeceğini veya haksız kazanç elde etmek için kullanılma olasılığını dikkate alması gerekir.
Birçok Merkezi Olmayan Finans projesi yüksek getiri sunuyor gibi görünse de, aslında projelerin kalitesi değişkenlik göstermektedir. Bazı projelerin kodları satın alınmış olabilir, bu durumda kodda bir açık olmasa bile, mantıksal olarak sorunlar mevcut olabilir. Örneğin, bazı projeler belirli zamanlarda token sahiplerinin sayısına göre ödül dağıtırken, saldırganlar flash loan kullanarak büyük miktarda token satın alabilir ve bu sayede ödüllerin büyük bir kısmını alabilir.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunu, kullanıcılar tarafından kontrol edilebilen bazı parametrelerden kaynaklandığı için, hızlı kredilerle yakından ilişkilidir. Yaygın sorun türleri iki çeşittir:
Fiyat hesaplanırken üçüncü taraf verileri kullanılır, ancak kullanım şekli yanlıştır veya kontrol eksikliği vardır, bu da fiyatın kötü niyetli bir şekilde manipüle edilmesine neden olur.
Bazı adreslerin token miktarını hesaplama değişkeni olarak kullanın, bu adreslerin token bakiyesi geçici olarak artırılabilir veya azaltılabilir.
Yeniden Giriş Saldırısı
Dış sözleşmeleri çağırmanın ana risklerinden biri, kontrol akışını ele geçirebilmeleri ve verilerde beklenmedik değişiklikler yapabilmeleridir. Örneğin, bir çekim fonksiyonunda, eğer kullanıcı bakiyesinin güncellenmesi, fonların çıkışından sonra olursa, bu durum çift çekim yapılmasına neden olabilir.
Reentrancy sorununu çözmek için aşağıdaki noktalara dikkat edilmelidir:
Sadece tek bir fonksiyonun yeniden giriş sorununu önlemek yeterli değildir.
Checks-Effects-Interactions modeline uygun olarak kodlama yapın.
Zamanla test edilmiş reentrancy koruyucularını kullanın.
Dikkate değer olan, tekerleği yeniden icat etmenin genellikle gereksiz olduğudur. İyi test edilmiş olgun çözümleri kullanmak, kendi başınıza geliştirmekten daha güvenlidir.
Güvenlik Önerileri
Proje tarafı güvenlik önerileri
Sözleşme geliştirme için en iyi güvenlik uygulamalarına uyun.
Akıllı sözleşmelerin güncellenebilir ve duraklatılabilir işlevselliğini sağlamak.
Zaman kilidi mekanizması kullanın.
Güvenlik yatırımlarını artırmak ve kapsamlı bir güvenlik sistemi kurmak.
Tüm çalışanların güvenlik farkındalığını artırın.
İçeriden kötü niyetli eylemleri önlemek, verimliliği artırırken risk kontrolünü güçlendirmek.
Üçüncü taraf bileşenlerini dikkatlice entegre edin, güvenliklerini sağlayın.
Kullanıcılar akıllı sözleşmelerin güvenliğini nasıl değerlendirir?
Sözleşmenin açık kaynak olup olmadığını kontrol edin.
Owner'ın merkezi olmayan çoklu imza mekanizmasını kullanıp kullanmadığını onaylayın.
Sözleşmenin mevcut işlem durumunu kontrol et.
Sözleşmenin bir vekil sözleşmesi olup olmadığını, yükseltilebilir olup olmadığını ve zaman kilidi olup olmadığını kontrol edin.
Sözleşmenin birden fazla kuruluş tarafından denetlenip denetlenmediğini ve Owner yetkisinin fazla olup olmadığını kontrol edin.
Projenin kullandığı oracle'ın güvenilirliğine dikkat edin.
Bu unsurlara dikkat ederek, kullanıcılar akıllı sözleşmelerin güvenliğini daha iyi değerlendirebilir ve riskli projelere katılma olasılığını azaltabilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
10 Likes
Reward
10
5
Share
Comment
0/400
ThreeHornBlasts
· 10h ago
Bir kişinin söylediklerini dinlemek, on yıl boyunca kitap okumaktan daha değerlidir.
View OriginalReply0
fomo_fighter
· 10h ago
insanları enayi yerine koymak bir kez sonra Rug Pull!
View OriginalReply0
MetaverseVagrant
· 10h ago
Flaş Krediler yine enayiler tarafından oyuna getirildi
View OriginalReply0
BagHolderTillRetire
· 10h ago
Sürekli olarak kripto dünyasından korkmak
View OriginalReply0
BasementAlchemist
· 10h ago
Anladım, hepsi enayiler ve enayileri enayi yerine koymak.
Merkezi Olmayan Finans Güvenliği 101: Yaygın Açıkların ve Koruma Stratejilerinin Derinlik Analizi
Merkezi Olmayan Finans Yaygın Güvenlik Açıkları ve Önleme Tedbirleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için bir Merkezi Olmayan Finans güvenlik dersi paylaştı. Geçtiğimiz bir yıl boyunca Web3 endüstrisinin karşılaştığı önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve nasıl önlenebileceğini tartıştı, yaygın akıllı sözleşme güvenlik açıklarını ve önleyici tedbirleri özetledi ve proje sahipleri ile sıradan kullanıcılar için bazı güvenlik önerileri sundu.
Yaygın DeFi açık türleri arasında flash kredi, fiyat manipülasyonu, işlev izin sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntıları ve yeniden giriş saldırıları bulunmaktadır. Bu yazıda flash kredi, fiyat manipülasyonu ve yeniden giriş saldırısı gibi üç tür üzerine odaklanılacaktır.
Hızlı Kredi
Kısa vadeli krediler, Merkezi Olmayan Finans'ın bir yeniliğidir, ancak hackerlar tarafından kolayca kullanılabilir. Saldırganlar genellikle kısa vadeli krediler aracılığıyla büyük miktarda fon borç alarak fiyatları manipüle eder veya iş mantığını saldırıya uğratır. Geliştiricilerin, sözleşme işlevlerinin büyük miktardaki fonlar nedeniyle anormal hale gelip gelmeyeceğini veya haksız kazanç elde etmek için kullanılma olasılığını dikkate alması gerekir.
Birçok Merkezi Olmayan Finans projesi yüksek getiri sunuyor gibi görünse de, aslında projelerin kalitesi değişkenlik göstermektedir. Bazı projelerin kodları satın alınmış olabilir, bu durumda kodda bir açık olmasa bile, mantıksal olarak sorunlar mevcut olabilir. Örneğin, bazı projeler belirli zamanlarda token sahiplerinin sayısına göre ödül dağıtırken, saldırganlar flash loan kullanarak büyük miktarda token satın alabilir ve bu sayede ödüllerin büyük bir kısmını alabilir.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunu, kullanıcılar tarafından kontrol edilebilen bazı parametrelerden kaynaklandığı için, hızlı kredilerle yakından ilişkilidir. Yaygın sorun türleri iki çeşittir:
Yeniden Giriş Saldırısı
Dış sözleşmeleri çağırmanın ana risklerinden biri, kontrol akışını ele geçirebilmeleri ve verilerde beklenmedik değişiklikler yapabilmeleridir. Örneğin, bir çekim fonksiyonunda, eğer kullanıcı bakiyesinin güncellenmesi, fonların çıkışından sonra olursa, bu durum çift çekim yapılmasına neden olabilir.
Reentrancy sorununu çözmek için aşağıdaki noktalara dikkat edilmelidir:
Dikkate değer olan, tekerleği yeniden icat etmenin genellikle gereksiz olduğudur. İyi test edilmiş olgun çözümleri kullanmak, kendi başınıza geliştirmekten daha güvenlidir.
Güvenlik Önerileri
Proje tarafı güvenlik önerileri
Kullanıcılar akıllı sözleşmelerin güvenliğini nasıl değerlendirir?
Bu unsurlara dikkat ederek, kullanıcılar akıllı sözleşmelerin güvenliğini daha iyi değerlendirebilir ve riskli projelere katılma olasılığını azaltabilir.