Merkezi Olmayan Finans Güvenliği: Yaygın Açık Türleri ve Önleme Önlemleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için bir Merkezi Olmayan Finans güvenlik dersi paylaştı. Geçtiğimiz bir yıldan fazla sürede Web3 sektörünün karşılaştığı önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve nasıl kaçınılacağına dair tartışmalarda bulundu, yaygın akıllı sözleşmelerin güvenlik açıklarını ve önleyici tedbirleri özetledi ve projeler için ve sıradan kullanıcılar için bazı güvenlik önerileri sundu.
Yaygın DeFi güvenlik açıkları arasında hızlı kredi, fiyat manipülasyonu, fonksiyon yetki sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntısı ve tekrar saldırıları bulunmaktadır. Bu makalede hızlı kredi, fiyat manipülasyonu ve tekrar saldırıları gibi üç tür üzerinde durulacaktır.
Hızlı Kredi
Açık kredi, Merkezi Olmayan Finans'ın bir yeniliğidir, ancak genellikle hackerlar tarafından kullanılmaktadır. Saldırganlar, açık kredi aracılığıyla büyük miktarda fon borç alarak fiyatları manipüle eder veya iş mantığına saldırır. Geliştiricilerin, sözleşme işlevlerinin büyük miktardaki fonlardan dolayı anormal hale gelip gelmeyeceğini veya bir işlemde birden fazla fonksiyonla etkileşime girerek haksız ödüller elde edilip edilmeyeceğini dikkate alması gerekir.
Pek çok Merkezi Olmayan Finans projesi yüksek getiri sağlıyormuş gibi görünse de, aslında proje sahiplerinin seviyeleri oldukça değişkenlik göstermektedir. Kodun kendisinde bir açık olmasa bile, mantıksal olarak hâlâ sorunlar olabilir. Örneğin, bazı projeler belirli bir zamanda, token sahiplerinin token sayısına göre ödül dağıtımı yaparken, saldırganlar flash loan kullanarak büyük miktarda token satın alabilir ve ödül dağıtımı sırasında ödüllerin büyük bir kısmını elde edebilir.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunları, kullanıcıların kontrol edebileceği bazı parametreler nedeniyle, genellikle fiyat hesaplamalarıyla yakından ilişkilidir. Yaygın olarak karşılaşılan iki sorun türü vardır:
Fiyat hesaplamalarında üçüncü taraf veriler kullanılır, ancak kullanım şekli yanlış veya kontrol eksikliği nedeniyle fiyat kötü niyetli bir şekilde manipüle edilir.
Belirli adreslerin Token miktarını hesaplama değişkeni olarak kullanın, bu adreslerin Token bakiyeleri geçici olarak artırılabilir veya azaltılabilir.
Yeniden Giriş Saldırısı
Dış sözleşmeleri çağırmanın başlıca risklerinden biri, kontrol akışını ele geçirebilmeleri ve verilere beklenmedik değişiklikler yapabilmeleridir. Yeniden giriş saldırısının tipik bir örneği, çekim fonksiyonunda, kullanıcı bakiyesinin yalnızca fonksiyonun sonunda 0 olarak ayarlandığıdır; bu da birden fazla çağrının hala başarılı bir şekilde çekim yapmasına neden olur.
Reentrancy sorununu çözmek için aşağıdaki noktalara dikkat edilmelidir:
Sadece tek bir fonksiyonun yeniden giriş sorununu önlemekle kalmamalıyız.
Checks-Effects-Interactions modeline göre kodlama yapın
Zamanla test edilmiş reentrancy modifier'ını kullanın
Güvenlik uygulamalarında, mümkünse yeterince doğrulanmış olgun çözümler kullanılmalı, tekerleği yeniden icat etmekten kaçınılmalıdır.
Proje Güvenlik Önerileri
Sözleşme geliştirme için en iyi güvenlik uygulamalarına uyun
Sözleşmenin yükseltilebilir ve durdurulabilir işlevselliğini sağlamak
Zaman kilidi mekanizması kullanmak
Güvenlik yatırımlarını artırmak, kapsamlı bir güvenlik sistemi kurmak
Tüm çalışanların güvenlik bilincini artırmak
İçerideki kötü niyetli davranışları önlemek, verimliliği artırırken risk kontrolünü güçlendirmek.
Üçüncü taraf bileşenlerini dikkatlice tanıtın, güvenliklerini sağladığınızdan emin olun.
Kullanıcılar akıllı sözleşmelerin güvenliğini nasıl değerlendirir
Sözleşmenin açık kaynak olup olmadığını doğrulayın
Owner'ın merkezi olmayan çoklu imza mekanizması kullanıp kullanmadığını kontrol edin.
Mevcut sözleşmenin ticaret durumunu kontrol et
Sözleşmenin bir vekil sözleşmesi olup olmadığını, yükseltilebilir olup olmadığını ve zaman kilidi olup olmadığını doğrulayın.
Sözleşmenin birden fazla kurum tarafından denetlenip denetlenmediğini ve Owner yetkisinin çok büyük olup olmadığını kontrol edin.
Oracle kullanım durumuna dikkat edin, tanınmış oracle'ları tercih edin.
Yukarıdaki noktalara dikkat ederek, kullanıcılar bir Merkezi Olmayan Finans projesinin güvenliğini daha iyi değerlendirebilir ve daha bilinçli yatırım kararları alabilirler.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
10 Likes
Reward
10
4
Share
Comment
0/400
MidnightSeller
· 5h ago
Yine denetim yapılıyor, proje ekibi bunu dinler mi?
View OriginalReply0
UncommonNPC
· 07-22 05:57
Yine çok sayıda saldırı yöntemi var...
View OriginalReply0
NeverPresent
· 07-22 05:54
Yine denetimden bahsediyor, sanki hiçbir şey söylememiş gibi.
DeFi güvenliği kapsamlı rehberi: Yaygın açıkların ve önleme stratejilerinin derinlemesine analizi
Merkezi Olmayan Finans Güvenliği: Yaygın Açık Türleri ve Önleme Önlemleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için bir Merkezi Olmayan Finans güvenlik dersi paylaştı. Geçtiğimiz bir yıldan fazla sürede Web3 sektörünün karşılaştığı önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve nasıl kaçınılacağına dair tartışmalarda bulundu, yaygın akıllı sözleşmelerin güvenlik açıklarını ve önleyici tedbirleri özetledi ve projeler için ve sıradan kullanıcılar için bazı güvenlik önerileri sundu.
Yaygın DeFi güvenlik açıkları arasında hızlı kredi, fiyat manipülasyonu, fonksiyon yetki sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntısı ve tekrar saldırıları bulunmaktadır. Bu makalede hızlı kredi, fiyat manipülasyonu ve tekrar saldırıları gibi üç tür üzerinde durulacaktır.
Hızlı Kredi
Açık kredi, Merkezi Olmayan Finans'ın bir yeniliğidir, ancak genellikle hackerlar tarafından kullanılmaktadır. Saldırganlar, açık kredi aracılığıyla büyük miktarda fon borç alarak fiyatları manipüle eder veya iş mantığına saldırır. Geliştiricilerin, sözleşme işlevlerinin büyük miktardaki fonlardan dolayı anormal hale gelip gelmeyeceğini veya bir işlemde birden fazla fonksiyonla etkileşime girerek haksız ödüller elde edilip edilmeyeceğini dikkate alması gerekir.
Pek çok Merkezi Olmayan Finans projesi yüksek getiri sağlıyormuş gibi görünse de, aslında proje sahiplerinin seviyeleri oldukça değişkenlik göstermektedir. Kodun kendisinde bir açık olmasa bile, mantıksal olarak hâlâ sorunlar olabilir. Örneğin, bazı projeler belirli bir zamanda, token sahiplerinin token sayısına göre ödül dağıtımı yaparken, saldırganlar flash loan kullanarak büyük miktarda token satın alabilir ve ödül dağıtımı sırasında ödüllerin büyük bir kısmını elde edebilir.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunları, kullanıcıların kontrol edebileceği bazı parametreler nedeniyle, genellikle fiyat hesaplamalarıyla yakından ilişkilidir. Yaygın olarak karşılaşılan iki sorun türü vardır:
Yeniden Giriş Saldırısı
Dış sözleşmeleri çağırmanın başlıca risklerinden biri, kontrol akışını ele geçirebilmeleri ve verilere beklenmedik değişiklikler yapabilmeleridir. Yeniden giriş saldırısının tipik bir örneği, çekim fonksiyonunda, kullanıcı bakiyesinin yalnızca fonksiyonun sonunda 0 olarak ayarlandığıdır; bu da birden fazla çağrının hala başarılı bir şekilde çekim yapmasına neden olur.
Reentrancy sorununu çözmek için aşağıdaki noktalara dikkat edilmelidir:
Güvenlik uygulamalarında, mümkünse yeterince doğrulanmış olgun çözümler kullanılmalı, tekerleği yeniden icat etmekten kaçınılmalıdır.
Proje Güvenlik Önerileri
Kullanıcılar akıllı sözleşmelerin güvenliğini nasıl değerlendirir
Yukarıdaki noktalara dikkat ederek, kullanıcılar bir Merkezi Olmayan Finans projesinin güvenliğini daha iyi değerlendirebilir ve daha bilinçli yatırım kararları alabilirler.