الثغرات الأمنية الشائعة في التمويل اللامركزي وإجراءات الوقاية

مؤخراً، شارك خبير أمان رؤى حول أمان التمويل اللامركزي، واستعرض الأحداث الأمنية الكبرى التي واجهتها صناعة Web3 في العام الماضي، وناقش أسباب حدوث هذه الأحداث وكيفية تجنبها، وخلص إلى الثغرات الأمنية الشائعة في العقود الذكية وتدابير الوقاية، وقدم بعض النصائح الأمنية للجهات المعنية والمستخدمين.

تشمل الأنواع الشائعة من ثغرات التمويل اللامركزي قروض الفلاش، التلاعب بالأسعار، مشاكل صلاحيات الدوال، استدعاءات خارجية عشوائية، مشاكل دالة fallback، ثغرات منطق الأعمال، تسرب المفاتيح الخاصة، وإعادة الإدخال وغيرها. فيما يلي سنركز على قروض الفلاش، التلاعب بالأسعار وهجمات إعادة الإدخال.

القرض الفوري

القرض الفوري هو ابتكار في التمويل اللامركزي، لكنه يُستغل أيضًا من قبل القراصنة للهجوم. يقوم المهاجمون باستعارة كميات كبيرة من الأموال عبر القرض الفوري، للتلاعب بالأسعار أو للهجوم على منطق العمل. يجب على المطورين أن يأخذوا في الاعتبار ما إذا كانت وظائف العقد ستتعطل بسبب كميات ضخمة من الأموال، أو تُستغل للحصول على مكافآت غير مستحقة.

العديد من مشاريع التمويل اللامركزي تبدو ذات عوائد مرتفعة، لكن في الواقع مستوى فرق المشروع متفاوت. قد تكون الشيفرات في بعض المشاريع مشتراة، حتى لو لم يكن هناك ثغرات في الشيفرة نفسها، لا يزال من الممكن أن تكون هناك مشكلات من الناحية المنطقية. على سبيل المثال، تقوم بعض المشاريع بتوزيع المكافآت في أوقات ثابتة بناءً على الحيازات، لكن يتم استغلال ذلك من قبل المهاجمين الذين يستخدمون القروض الفورية لشراء كميات كبيرة من الرموز، مما يتيح لهم الحصول على معظم المكافآت.

التحكم في الأسعار

تتعلق مشكلة التلاعب بالأسعار ارتباطًا وثيقًا بالقروض السريعة، ويرجع ذلك أساسًا إلى إمكانية التحكم في المعلمات المستخدمة في حساب السعر من قبل المستخدمين. هناك نوعان شائعان من المشكلات:

1. عند حساب الأسعار، يتم استخدام بيانات طرف ثالث، ولكن تم استخدام الطريقة بشكل غير صحيح أو تم فقدان الفحص، مما أدى إلى التلاعب السئ بالأسعار.

2. استخدام عدد الرموز لعناوين معينة كمتغيرات حسابية، حيث يمكن زيادة أو تقليل رصيد الرموز لهذه العناوين مؤقتًا.

هجوم إعادة الدخول

أحد المخاطر الرئيسية لاستدعاء العقود الخارجية هو أنها قد تأخذ السيطرة على تدفق التحكم، وتقوم بإجراء تغييرات غير متوقعة على البيانات. على سبيل المثال:

الصلابة تعيين (العنوان => uint) الخاصة userBalances;

وظيفة withdrawBalance() عامة { uint amountToWithdraw = userBalances[msg.sender]; (bool النجاح ، ) = msg.sender.call.value(amountToWithdraw)( "" ); require(success). أرصدة المستخدم[msg.sender] = 0; }

نظرًا لأن رصيد المستخدم لا يتم تصفيره حتى نهاية الدالة، فإن الاستدعاءات المتكررة ستنجح، ويمكن سحب الرصيد مرارًا وتكرارًا.

لحل مشكلة إعادة الإدخال يجب الانتباه إلى:

1. لا يمنع فقط إعادة الدخول لوظيفة واحدة
2. اتبع نمط الفحوصات والتأثيرات والتفاعلات
3. استخدام مُعدل منع إعادة الدخول المُعتمد

أنماط هجوم إعادة الإدخال متنوعة، وقد تتضمن عدة دوال أو عقود، لذا فإن حلها يعد معقدًا بعض الشيء. من الأفضل استخدام الممارسات المثلى التي تم التحقق منها بشكل كافٍ، بدلاً من إعادة اختراع العجلة.

نصائح الأمان لمشاريع الطرف

1. اتباع أفضل الممارسات الأمنية في تطوير العقود
2. تنفيذ وظائف ترقية وإيقاف العقود
3. استخدام آلية القفل الزمني
4. زيادة استثمارات الأمان، وإنشاء نظام أمان متكامل
5. تعزيز الوعي الأمني لجميع الموظفين
6. منع الأذى الداخلي، مع تعزيز التحكم في المخاطر أثناء تحسين الكفاءة
7. توخي الحذر عند إدخال مكونات الطرف الثالث، وإجراء التحقق من الأمان بشكل جيد

كيف يمكن للمستخدمين تقييم أمان العقود الذكية

1. تأكد من أن العقد مفتوح المصدر
2. تحقق مما إذا كان المالك يستخدم التوقيع المتعدد، وما إذا كان التوقيع المتعدد لامركزيًا.
3. عرض حالة التداول الحالية للعقد
4. تحديد ما إذا كان العقد هو عقد وكيل، وما إذا كان قابلاً للتحديث، وما إذا كان لديه قفل زمني
5. تأكيد ما إذا كان العقد قد تم تدقيقه من قبل عدة هيئات، وما إذا كانت صلاحيات المالك كبيرة جداً.
6. انتبه لاستخدام الأوراكل

بالمجمل، تعتبر مسائل الأمان في مجال التمويل اللامركزي مهمة بشكل خاص. يجب على فرق المشاريع أن تولي أهمية لاستثمار الأمن، كما ينبغي على المستخدمين أن يكونوا حذرين وواعين عند المشاركة. فقط من خلال الجهود المشتركة يمكننا بناء نظام بيئي للتمويل اللامركزي أكثر أمانًا وموثوقية.

! قسم أمان Cobo DeFi (الجزء الثاني) :D الثغرات الأمنية الشائعة والوقاية من eFi