Распространенные уязвимости безопасности в Децентрализованных финансах и меры предосторожности
Недавно один специалист по безопасности поделился курсом по безопасности Децентрализованных финансов, в котором обсуждались серьезные инциденты безопасности, с которыми столкнулась индустрия Web3 в последнее время, анализировались причины этих инцидентов и способы их предотвращения, а также подводились итоги распространенных уязвимостей в смарт-контрактах и мер по их предотвращению. В данной статье будет основное внимание уделено трем распространенным типам уязвимостей: Flash-кредитам, манипуляции ценами и атакам повторного входа.
Займ под залог
Мгновенные займы сами по себе являются инновацией в области Децентрализованные финансы, но часто используются хакерами для атак:
Нападающий берет в долг большое количество средств через Flash Loan, манипулируя ценами или атакуя бизнес-логику.
Разработчики должны учитывать, будет ли функциональность контракта аномальной из-за огромных средств или будет ли использована для получения чрезмерных вознаграждений в одной сделке
Часто задаваемые вопросы: расчет вознаграждений по количеству токенов или участие в расчетах по количеству токенов в паре DEX
За последние два года возникло много проблем. Некоторые проекты Децентрализованные финансы кажутся высокодоходными, но на самом деле уровень их разработки варьируется. Например, есть проекты, которые в фиксированное время выдают награды в зависимости от объема держания, что было использовано злоумышленниками для покупки большого количества токенов с помощью флеш-займов, чтобы получить большую часть награды.
Манипуляция ценами
Манипуляции с ценами тесно связаны с флеш-кредитами, существует две основные проблемы:
При расчете цены используются данные третьих сторон, но их использование неправильно или отсутствует проверка.
Использовать балансы Token некоторых адресов в качестве расчетных переменных, которые могут временно увеличиваться или уменьшаться.
Атака повторного входа
Основной риск вызова внешнего контракта заключается в том, что может быть перехвачен контрольный поток и произведены неожиданные изменения данных.
Поскольку баланс пользователя обнуляется только в конце функции, можно многократно вызывать и извлекать.
Решение проблемы повторного входа требует внимания:
Не только предотвращает повторный ввод одной функции
Следуйте модели Checks-Effects-Interactions
Используйте проверенный модификатор для предотвращения повторных вызовов
Рекомендуется использовать зрелые практики безопасности, избегая изобретения колеса заново.
Рекомендации по безопасности для проектной стороны
Следуйте лучшим практикам безопасности при разработке контрактов
Реализовать возможность обновления контрактов и их приостановки
Использование временной блокировки
Создание完善ной системы безопасности
Повышение безопасности для всех сотрудников
Предотвращение внутренних злоупотреблений, повышение эффективности и усиление контроля рисков
Осторожно вводите третьи стороны, по умолчанию считайте их небезопасными и проведите проверку.
Как пользователю определить безопасность смарт-контракта
Является ли контракт открытым исходным кодом
Использует ли владелец децентрализованный мультиподписной механизм
Посмотреть существующие сделки по контракту
Можно ли обновить контракт, есть ли временная блокировка
Принимается ли аудит от нескольких организаций, не слишком ли велики права владельца?
Обратите внимание на надежность оракулов
В общем, безопасность в области Децентрализованные финансы имеет решающее значение. Команды проектов должны всесторонне строить системы безопасности, а пользователи также должны быть бдительными и осторожно участвовать.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
8
Поделиться
комментарий
0/400
DeFiVeteran
· 07-24 01:36
Кошелек опять пропал, ничего удивительного.
Посмотреть ОригиналОтветить0
DisillusiionOracle
· 07-23 19:20
Хорошо, defi продолжает шуметь, люди Хакер каждый день дерут бычью шерсть.
Посмотреть ОригиналОтветить0
GateUser-bd883c58
· 07-21 12:00
Все равно надо оставить заднюю дверь!
Посмотреть ОригиналОтветить0
LayoffMiner
· 07-21 02:24
Ха, все еще как обычно, многообразная мойка.
Посмотреть ОригиналОтветить0
LiquidationWatcher
· 07-21 02:19
Какой смысл играть в Децентрализованные финансы, если так много уязвимостей?
Децентрализованные финансы три основных риска безопасности: Срочные займы, манипуляции с ценами и атаки повторного входа
Распространенные уязвимости безопасности в Децентрализованных финансах и меры предосторожности
Недавно один специалист по безопасности поделился курсом по безопасности Децентрализованных финансов, в котором обсуждались серьезные инциденты безопасности, с которыми столкнулась индустрия Web3 в последнее время, анализировались причины этих инцидентов и способы их предотвращения, а также подводились итоги распространенных уязвимостей в смарт-контрактах и мер по их предотвращению. В данной статье будет основное внимание уделено трем распространенным типам уязвимостей: Flash-кредитам, манипуляции ценами и атакам повторного входа.
Займ под залог
Мгновенные займы сами по себе являются инновацией в области Децентрализованные финансы, но часто используются хакерами для атак:
За последние два года возникло много проблем. Некоторые проекты Децентрализованные финансы кажутся высокодоходными, но на самом деле уровень их разработки варьируется. Например, есть проекты, которые в фиксированное время выдают награды в зависимости от объема держания, что было использовано злоумышленниками для покупки большого количества токенов с помощью флеш-займов, чтобы получить большую часть награды.
Манипуляция ценами
Манипуляции с ценами тесно связаны с флеш-кредитами, существует две основные проблемы:
Атака повторного входа
Основной риск вызова внешнего контракта заключается в том, что может быть перехвачен контрольный поток и произведены неожиданные изменения данных.
Типичный пример повторного входа: солидность отображение (address => uint) private userBalances;
функция withdrawBalance() публичная { uint amountToWithdraw = userBalances[msg.sender]; (bool успех, ) = msg.sender.call.value(amountToWithdraw)("" ); require(успех); userBalances[msg.sender] = 0; }
Поскольку баланс пользователя обнуляется только в конце функции, можно многократно вызывать и извлекать.
Решение проблемы повторного входа требует внимания:
Рекомендуется использовать зрелые практики безопасности, избегая изобретения колеса заново.
Рекомендации по безопасности для проектной стороны
Как пользователю определить безопасность смарт-контракта
В общем, безопасность в области Децентрализованные финансы имеет решающее значение. Команды проектов должны всесторонне строить системы безопасности, а пользователи также должны быть бдительными и осторожно участвовать.