الأمن والثغرات في التمويل اللامركزي وتدابير الوقاية
مؤخراً، شارك خبير أمان درساً حول أمان التمويل اللامركزي لأعضاء المجتمع. استعرض الأحداث الأمنية الكبيرة التي واجهتها صناعة Web3 مؤخراً، وناقش أسباب هذه الأحداث وطرق تجنبها، وقدم ملخصاً عن الثغرات الأمنية الشائعة في العقود الذكية وإجراءات الوقاية، وقدم بعض النصائح الأمنية للمشاريع والمستخدمين.
تشمل الأنواع الشائعة من ثغرات التمويل اللامركزي قروض الفلاش، وتلاعب الأسعار، ومشكلات صلاحيات الدوال، واستدعاءات خارجية عشوائية، ومشكلات دالة الاسترجاع، وثغرات منطق العمل، وتسرب المفاتيح الخاصة، وهجمات إعادة الإدخال، وغيرها. فيما يلي نركز على قروض الفلاش، وتلاعب الأسعار، وهجمات إعادة الإدخال.
القرض الفوري
القرض الفوري هو نوع من الابتكار في التمويل اللامركزي، لكن يمكن أن يتسبب في خسائر ضخمة عند استغلاله من قبل القراصنة:
المهاجم يستعير كميات كبيرة من الأموال من خلال القروض الفورية، ويتلاعب بالسعر أو يهاجم منطق العمل.
يجب على المطورين مراعاة ما إذا كانت وظائف العقد ستؤدي إلى استثناءات بسبب الأموال الضخمة
بعض المشاريع تستخدم عدد الرموز لحساب المكافآت، أو تستخدم عدد الرموز في أزواج التداول في DEX للمشاركة في الحساب، هذه المتغيرات سهلة التحكم من قبل القروض الفورية.
على مدار العامين الماضيين، تعرضت العديد من مشاريع التمويل اللامركزي ذات العوائد المرتفعة لهجمات اقتراض سريعة بسبب مشاكل في الشيفرة أو المنطق. على سبيل المثال، تقوم بعض المشاريع بمنح المكافآت في أوقات ثابتة بناءً على حجم الحيازة، واستغل المهاجمون الاقتراض السريع لشراء كميات كبيرة من الرموز للحصول على معظم المكافآت.
التحكم في الأسعار
تتعلق مشكلة التلاعب بالأسعار ارتباطًا وثيقًا بالقروض الفورية، وهناك نوعان رئيسيان منها:
استخدام بيانات الطرف الثالث عند حساب الأسعار، ولكن طريقة الاستخدام غير صحيحة أو الفحص مفقود
استخدام رصيد التوكن لبعض العناوين كمتغيرات حسابية، حيث يمكن زيادة أو تقليل هذه الأرصدة بشكل مؤقت
هجوم إعادة الدخول
المخاطر الرئيسية لاستدعاء العقود الخارجية هي أنها قد تستولي على تدفق التحكم، مما يؤدي إلى تغييرات غير متوقعة في البيانات. على سبيل المثال:
سوليديتي
رسم الخرائط (address = > uint) أرصدة مستخدم خاصة ؛
وظيفة withdrawBalance() عامة {
uint amountToWithdraw = userBalances[msg.sender];
(bool النجاح ، ) = msg.sender.call.value(amountToWithdraw)( "" );
require(success).
أرصدة المستخدم[msg.sender] = 0;
}
نظرًا لأن رصيد المستخدم يتم تصفيره فقط في نهاية الدالة، فإن استدعاء الدالة بشكل متكرر سيؤدي إلى استخراج الرصيد بنجاح.
لحل مشكلة إعادة الدخول يجب الانتباه إلى:
لا تمنع فقط إعادة الدخول لوظيفة واحدة
اتبع نمط الفحوصات-التأثيرات-التفاعلات
استخدام مُعدِّل مُثبت ضد إعادة الدخول
هناك أشكال متعددة من هجمات إعادة الدخول، وقد تشمل عدة دوال أو عقود. يُنصح باستخدام ممارسات الأمان الناضجة، وتجنب إعادة اختراع العجلة.
نصائح الأمان
نصائح الأمان لفريق المشروع
اتباع أفضل ممارسات الأمان في تطوير العقود
تحقيق قابلية ترقية العقد وإمكانية الإيقاف
استخدام آلية قفل الوقت
زيادة استثمار الأمن، وإنشاء نظام أمني متكامل
زيادة الوعي الأمني لجميع الموظفين
منع الأذى الداخلي، مع تعزيز كفاءة التحكم في المخاطر في نفس الوقت
احذر من إدخال طرف ثالث، الافتراضي هو أن كل من الجانبين غير آمن
المستخدمين يحكمون على أمان العقود الذكية
هل العقد مفتوح المصدر
هل قام المالك بتبني توقيع متعدد لامركزي؟
تحقق من حالات التداول الحالية للعقد
هل العقد قابل للتحديث، وهل هناك قفل زمني
هل العقد يقبل تدقيق العديد من المؤسسات، هل صلاحيات المالك كبيرة جداً
انتبه إلى موثوقية الأوراق المالية
بشكل عام، هناك العديد من مخاطر الأمان في مجال التمويل اللامركزي، ويجب على المشاريع والمستخدمين أن يكونوا يقظين، واتخاذ تدابير حماية متعددة للحفاظ على أمان النظام البيئي.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 18
أعجبني
18
4
مشاركة
تعليق
0/400
TokenCreatorOP
· 07-28 02:54
لو كنت قد أخبرتني بهذه الأشياء مبكرًا، لم يكن ليختفي الـ usdt الخاص بي.
الأمان في التمويل اللامركزي: دليل الوقاية من القروض السريعة، التلاعب بالأسعار وهجمات إعادة الدخول
الأمن والثغرات في التمويل اللامركزي وتدابير الوقاية
مؤخراً، شارك خبير أمان درساً حول أمان التمويل اللامركزي لأعضاء المجتمع. استعرض الأحداث الأمنية الكبيرة التي واجهتها صناعة Web3 مؤخراً، وناقش أسباب هذه الأحداث وطرق تجنبها، وقدم ملخصاً عن الثغرات الأمنية الشائعة في العقود الذكية وإجراءات الوقاية، وقدم بعض النصائح الأمنية للمشاريع والمستخدمين.
! قسم أمان Cobo DeFi (الجزء الثاني) :D الثغرات الأمنية الشائعة والوقاية من eFi
تشمل الأنواع الشائعة من ثغرات التمويل اللامركزي قروض الفلاش، وتلاعب الأسعار، ومشكلات صلاحيات الدوال، واستدعاءات خارجية عشوائية، ومشكلات دالة الاسترجاع، وثغرات منطق العمل، وتسرب المفاتيح الخاصة، وهجمات إعادة الإدخال، وغيرها. فيما يلي نركز على قروض الفلاش، وتلاعب الأسعار، وهجمات إعادة الإدخال.
القرض الفوري
القرض الفوري هو نوع من الابتكار في التمويل اللامركزي، لكن يمكن أن يتسبب في خسائر ضخمة عند استغلاله من قبل القراصنة:
على مدار العامين الماضيين، تعرضت العديد من مشاريع التمويل اللامركزي ذات العوائد المرتفعة لهجمات اقتراض سريعة بسبب مشاكل في الشيفرة أو المنطق. على سبيل المثال، تقوم بعض المشاريع بمنح المكافآت في أوقات ثابتة بناءً على حجم الحيازة، واستغل المهاجمون الاقتراض السريع لشراء كميات كبيرة من الرموز للحصول على معظم المكافآت.
التحكم في الأسعار
تتعلق مشكلة التلاعب بالأسعار ارتباطًا وثيقًا بالقروض الفورية، وهناك نوعان رئيسيان منها:
هجوم إعادة الدخول
المخاطر الرئيسية لاستدعاء العقود الخارجية هي أنها قد تستولي على تدفق التحكم، مما يؤدي إلى تغييرات غير متوقعة في البيانات. على سبيل المثال:
سوليديتي رسم الخرائط (address = > uint) أرصدة مستخدم خاصة ؛
وظيفة withdrawBalance() عامة { uint amountToWithdraw = userBalances[msg.sender]; (bool النجاح ، ) = msg.sender.call.value(amountToWithdraw)( "" ); require(success). أرصدة المستخدم[msg.sender] = 0; }
نظرًا لأن رصيد المستخدم يتم تصفيره فقط في نهاية الدالة، فإن استدعاء الدالة بشكل متكرر سيؤدي إلى استخراج الرصيد بنجاح.
لحل مشكلة إعادة الدخول يجب الانتباه إلى:
هناك أشكال متعددة من هجمات إعادة الدخول، وقد تشمل عدة دوال أو عقود. يُنصح باستخدام ممارسات الأمان الناضجة، وتجنب إعادة اختراع العجلة.
نصائح الأمان
نصائح الأمان لفريق المشروع
المستخدمين يحكمون على أمان العقود الذكية
بشكل عام، هناك العديد من مخاطر الأمان في مجال التمويل اللامركزي، ويجب على المشاريع والمستخدمين أن يكونوا يقظين، واتخاذ تدابير حماية متعددة للحفاظ على أمان النظام البيئي.