الثغرات الأمنية الشائعة في التمويل اللامركزي والإجراءات الوقائية

مؤخراً، شارك أحد خبراء الأمان درساً عن أمان التمويل اللامركزي لأعضاء المجتمع، حيث استعرض الأحداث الأمنية الكبرى التي واجهتها صناعة Web3 على مدى أكثر من عام، واستكشف أسباب حدوث هذه الأحداث وكيفية تجنبها، وخلص إلى الثغرات الأمنية الشائعة في العقود الذكية وإجراءات الوقاية، كما قدم بعض النصائح الأمنية للجهات المعنية والمستخدمين.

تتضمن الأنواع الشائعة من ثغرات التمويل اللامركزي قروض الوميض، والتلاعب بالأسعار، ومشكلات صلاحيات الدوال، والاستدعاءات الخارجية العشوائية، ومشكلات دالة الاسترجاع، وثغرات منطق العمل، وتسريبات المفاتيح الخاصة، وإعادة الإدخال. فيما يلي سيتم التركيز على قروض الوميض، والتلاعب بالأسعار، وهجمات إعادة الإدخال.

قرض البرق

على الرغم من أن القرض الفوري هو نوع من الابتكارات في التمويل اللامركزي ، إلا أنه غالبًا ما يتم استخدامه من قبل المتسللين:

• المهاجمون يقترضون كميات كبيرة من الأموال عبر القروض الفورية، للتلاعب بالأسعار أو مهاجمة منطق العمل
• يجب على المطورين مراعاة ما إذا كانت وظائف العقد ستؤدي إلى استثناءات بسبب الأموال الضخمة، أو أن يتم استغلالها للحصول على مكافآت غير مستحقة.
• بعض المشاريع لم تأخذ في الاعتبار تأثير القروض الفورية عند تصميم الميزات، مما أدى إلى سرقة الأموال

على مدار العامين الماضيين، واجهت العديد من مشاريع التمويل اللامركزي مشاكل بسبب القروض الفورية. على سبيل المثال، تمنح بعض المشاريع المكافآت بناءً على كمية الحيازة، لكن يتم استغلالها من قبل المهاجمين من خلال القروض الفورية لشراء كميات كبيرة من الرموز والحصول على معظم المكافآت. بالإضافة إلى ذلك، يمكن أن تتأثر المشاريع التي تحسب الأسعار باستخدام الرموز بالقروض الفورية. يجب على فرق المشاريع أن تكون يقظة حيال ذلك.

التحكم في الأسعار

تتعلق مشكلة التلاعب في الأسعار ارتباطًا وثيقًا بالقروض الفورية، وهناك نوعان رئيسيان:

1. عند حساب الأسعار، يتم استخدام بيانات الطرف الثالث، ولكن الاستخدام غير السليم أو نقص الفحص يؤدي إلى التلاعب الضار في الأسعار.
2. استخدام رصيد Token لبعض العناوين كمتغيرات حسابية، حيث يمكن زيادة أو تقليل هذه الأرصدة مؤقتًا

هجوم إعادة الإدخال

الخطر الرئيسي من استدعاء العقود الخارجية هو أنها قد تتولى التحكم في تدفق العمليات، وتقوم بإجراء تغييرات غير متوقعة على البيانات.

على سبيل المثال، في دالة السحب، إذا كانت رصيد المستخدم يتم تصفيره في نهاية الدالة، فيمكن للمهاجم استدعاء هذه الدالة مرة أخرى بعد تحويل الأموال، مما يؤدي إلى سحب متكرر.

تتعدد أشكال هجوم إعادة الإدخال، وقد تشمل عدة دوال أو عقود. يجب الانتباه إلى ما يلي لتجنب إعادة الإدخال:

1. لا يمنع فقط إعادة الدخول لوظيفة واحدة
2. اتبع نمط Checks-Effects-Interactions في الترميز
3. استخدام معدل الحماية من إعادة الإدخال الموثوق

ينصح خبراء الأمن باستخدام أفضل الممارسات الأمنية الموجودة بدلاً من إعادة اختراع العجلة. لأن الحلول الجديدة التي يتم بناؤها من قبل النفس تفتقر إلى التحقق الكافي، واحتمالية حدوث المشكلات أعلى بكثير من الحلول الناضجة.

نصائح أمان لمشروع الفريق

1. تطوير العقود يتبع أفضل ممارسات الأمان
2. يمكن ترقية العقد، وإيقافه، من أجل الاستجابة للهجمات في الوقت المناسب
3. استخدام قفل الوقت، لتوفير الوقت لاكتشاف المخاطر والتعامل معها
4. زيادة الاستثمارات في الأمان، وإنشاء نظام أمان متكامل
5. تعزيز الوعي الأمني لدى جميع الموظفين
6. منع السلوك السيئ الداخلي، وتعزيز التحكم في المخاطر أثناء تحسين الكفاءة
7. توخى الحذر عند إدخال طرف ثالث، افترض أن جميع المستويات غير آمنة

كيف يمكن للمستخدمين تقييم أمان العقود الذكية

1. هل العقد مفتوح المصدر
2. هل استخدم المالك التوقيع المتعدد اللامركزي؟
3. تحقق من حالة المعاملات الحالية للعقد
4. هل العقد قابل للتحديث، وهل هناك قفل زمني
5. هل تمت مراجعة عدة مؤسسات، هل صلاحيات المالك مفرطة؟
6. انتبه إلى موثوقية الأوراق المالية

بشكل عام، في مجال التمويل اللامركزي، يجب على أصحاب المشاريع والمستخدمين أن يظلوا في حالة تأهب عالية، وأن يتخذوا تدابير أمان متعددة، لتقليل المخاطر بشكل فعال.

! قسم أمان Cobo DeFi (الجزء الثاني) :D الثغرات الأمنية الشائعة والوقاية من eFi