Merkezi Olmayan Finans'ın Yaygın Güvenlik Açıkları ve Önleme Önlemleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için bir Merkezi Olmayan Finans güvenlik dersi paylaştı, geçtiğimiz bir yıldan fazla süre içinde Web3 sektörünün karşılaştığı önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerinin yanı sıra nasıl önlenebileceğini tartıştı, yaygın akıllı sözleşmelerin güvenlik açıklarını ve önleyici tedbirleri özetledi, ayrıca proje sahipleri ve kullanıcılara bazı güvenlik önerileri sundu.
Yaygın DeFi açık türleri arasında hızlı krediler, fiyat manipülasyonu, fonksiyon izin sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntısı ve yeniden giriş gibi durumlar bulunmaktadır. Aşağıda hızlı krediler, fiyat manipülasyonu ve yeniden giriş saldırısı olmak üzere bu üç tür üzerinde durulacaktır.
Hızlı Kredi
Lightning loan, merkezi olmayan finansın bir tür yeniliği olmasına rağmen, genellikle hackerlar tarafından kullanılmaktadır:
Saldırganlar, fiyatları manipüle etmek veya iş mantığını saldırmak için büyük miktarda fonu hızlı kredi ile ödünç alır.
Geliştiricilerin, sözleşme işlevlerinin büyük miktarda para nedeniyle anormal hale gelip gelmeyeceğini veya kötü niyetli ödüller elde etmek için kullanılıp kullanılmayacağını göz önünde bulundurması gerekir.
Bazı projeler, özellikleri tasarlarken flaş kredi etkisini dikkate almadı, bu da fonların çalınmasına yol açtı.
Son iki yılda, birçok Merkezi Olmayan Finans projesi, flaş krediler nedeniyle sorunlar yaşadı. Örneğin, bazı projeler, pozisyon büyüklüğüne göre ödüller dağıtırken, saldırganlar flaş kredileri kullanarak büyük miktarda token satın alarak ödüllerin çoğunu alabiliyor. Ayrıca, Token ile fiyat hesaplayan projeler, flaş krediler tarafından fiyatlarının etkilenmesi mümkündür. Proje sahipleri, bu konuda dikkatli olmalıdır.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunu, flash kredi ile yakından ilişkilidir; başlıca iki türü vardır:
Fiyat hesaplama sırasında üçüncü taraf verileri kullanılır, ancak yanlış kullanım veya kontrol eksikliği nedeniyle fiyat kötü niyetli bir şekilde manipüle edilir.
Bazı adreslerin Token bakiyelerini hesaplama değişkeni olarak kullanmak, bu bakiyelerin geçici olarak artırılıp azaltılabilmesi.
Yeniden Giriş Saldırısı
Dış sözleşmeleri çağırmanın ana riski, kontrol akışını ele geçirebilmeleri ve verilere beklenmedik değişiklikler yapabilmeleridir.
Örneğin, çekim fonksiyonunda, eğer kullanıcı bakiyesi fonksiyonun sonunda sıfırlanıyorsa, bir saldırgan fondu çıkardıktan sonra bu fonksiyonu tekrar çağırabilir ve sürekli olarak çekim yapabilir.
Reentrancy saldırıları çeşitli biçimlerde olabilir ve birden fazla fonksiyon veya akdi içerebilir. Reentrancy'yi önlemek için dikkat edilmesi gerekenler:
Tek bir fonksiyonun yeniden girişini sadece önlemekle kalmaz
Checks-Effects-Interactions modeline uygun kodlama
Doğrulanmış reentrancy modifier'ı kullanın
Güvenlik uzmanları, tekrardan tekerlek icat etmek yerine mevcut en iyi güvenlik uygulamalarını kullanmayı öneriyor. Çünkü kendi oluşturduğunuz yeni çözümler yeterince doğrulanmamış olduğundan, sorun yaşama olasılığı, olgun çözümlerden çok daha yüksektir.
Proje Ekibi Güvenlik Önerileri
Sözleşme geliştirme en iyi güvenlik uygulamalarına uygun olmalıdır.
Sözleşme güncellenebilir ve duraklatılabilir, böylece saldırılara zamanında yanıt verilebilir.
Zaman kilidi kullanarak riskleri keşfetmek ve bunlara yanıt vermek için zaman ayırın.
Güvenlik yatırımlarını artırmak, mükemmel bir güvenlik sistemi kurmak
Üçüncü tarafları dikkatlice dahil edin, varsayılan olarak hem üst hem de alt akış güvenli değildir.
Kullanıcılar akıllı sözleşmelerin güvenliğini nasıl değerlendirir?
Sözleşme açık kaynak mı?
Owner merkezi olmayan çoklu imza kullanıyor mu?
Sözleşmenin mevcut işlem durumunu kontrol et
Sözleşme yükseltilebilir mi, zaman kilidi var mı?
Birden fazla kurumun denetiminden geçti mi, Owner yetkisi fazla mı?
Oracle'ların güvenilirliğine dikkat edin
Sonuç olarak, Merkezi Olmayan Finans alanında, proje sahipleri ve kullanıcılar yüksek düzeyde dikkat göstermeli ve çoklu güvenlik önlemleri almalıdır, böylece riskleri etkili bir şekilde azaltabilirler.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
15 Likes
Reward
15
4
Share
Comment
0/400
MidnightSnapHunter
· 07-25 08:52
Bu tür açıkları çok gördüm zaten...
View OriginalReply0
GhostWalletSleuth
· 07-25 08:51
Açıklar her zaman Proje Ekibi ve Hacker'ın fare-tavşan oyunudur.
Merkezi Olmayan Finans güvenlik açıkları tam analizi: Flaş Krediler, fiyat manipülasyonu ve yeniden giriş saldırılarına karşı önleme kılavuzu
Merkezi Olmayan Finans'ın Yaygın Güvenlik Açıkları ve Önleme Önlemleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için bir Merkezi Olmayan Finans güvenlik dersi paylaştı, geçtiğimiz bir yıldan fazla süre içinde Web3 sektörünün karşılaştığı önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerinin yanı sıra nasıl önlenebileceğini tartıştı, yaygın akıllı sözleşmelerin güvenlik açıklarını ve önleyici tedbirleri özetledi, ayrıca proje sahipleri ve kullanıcılara bazı güvenlik önerileri sundu.
Yaygın DeFi açık türleri arasında hızlı krediler, fiyat manipülasyonu, fonksiyon izin sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntısı ve yeniden giriş gibi durumlar bulunmaktadır. Aşağıda hızlı krediler, fiyat manipülasyonu ve yeniden giriş saldırısı olmak üzere bu üç tür üzerinde durulacaktır.
Hızlı Kredi
Lightning loan, merkezi olmayan finansın bir tür yeniliği olmasına rağmen, genellikle hackerlar tarafından kullanılmaktadır:
Son iki yılda, birçok Merkezi Olmayan Finans projesi, flaş krediler nedeniyle sorunlar yaşadı. Örneğin, bazı projeler, pozisyon büyüklüğüne göre ödüller dağıtırken, saldırganlar flaş kredileri kullanarak büyük miktarda token satın alarak ödüllerin çoğunu alabiliyor. Ayrıca, Token ile fiyat hesaplayan projeler, flaş krediler tarafından fiyatlarının etkilenmesi mümkündür. Proje sahipleri, bu konuda dikkatli olmalıdır.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunu, flash kredi ile yakından ilişkilidir; başlıca iki türü vardır:
Yeniden Giriş Saldırısı
Dış sözleşmeleri çağırmanın ana riski, kontrol akışını ele geçirebilmeleri ve verilere beklenmedik değişiklikler yapabilmeleridir.
Örneğin, çekim fonksiyonunda, eğer kullanıcı bakiyesi fonksiyonun sonunda sıfırlanıyorsa, bir saldırgan fondu çıkardıktan sonra bu fonksiyonu tekrar çağırabilir ve sürekli olarak çekim yapabilir.
Reentrancy saldırıları çeşitli biçimlerde olabilir ve birden fazla fonksiyon veya akdi içerebilir. Reentrancy'yi önlemek için dikkat edilmesi gerekenler:
Güvenlik uzmanları, tekrardan tekerlek icat etmek yerine mevcut en iyi güvenlik uygulamalarını kullanmayı öneriyor. Çünkü kendi oluşturduğunuz yeni çözümler yeterince doğrulanmamış olduğundan, sorun yaşama olasılığı, olgun çözümlerden çok daha yüksektir.
Proje Ekibi Güvenlik Önerileri
Kullanıcılar akıllı sözleşmelerin güvenliğini nasıl değerlendirir?
Sonuç olarak, Merkezi Olmayan Finans alanında, proje sahipleri ve kullanıcılar yüksek düzeyde dikkat göstermeli ve çoklu güvenlik önlemleri almalıdır, böylece riskleri etkili bir şekilde azaltabilirler.