Finance décentralisée Sécurité : Vulnérabilités de sécurité courantes et mesures préventives
Récemment, un expert en sécurité a partagé un cours sur la sécurité DeFi avec les membres de la communauté. Cet expert a passé en revue les événements de sécurité majeurs auxquels l'industrie Web3 a été confrontée au cours de l'année écoulée, a exploré les raisons de ces événements et les méthodes de prévention, et a résumé les vulnérabilités de sécurité courantes des contrats intelligents et les mesures préventives, tout en fournissant quelques conseils de sécurité aux équipes de projet et aux utilisateurs ordinaires.
Types de failles courantes en Finance décentralisée
Les types de vulnérabilités courants dans la Finance décentralisée incluent les prêts rapides, la manipulation des prix, les problèmes de permission de fonction, les appels externes arbitraires, les problèmes de fonction de fallback, les vulnérabilités de logique métier, les fuites de clés privées et les attaques par réentrance, etc. Cet article se concentrera sur trois types : les prêts rapides, la manipulation des prix et les attaques par réentrance.
prêt flash
Bien que le prêt flash soit une innovation de la Finance décentralisée, il est également exploité par des hackers pour mener des attaques. Les attaquants empruntent généralement des montants importants via des prêts flash, manipulant les prix ou attaquant la logique d'affaires. Les développeurs doivent prendre en compte si les fonctionnalités du contrat pourraient être anormales en raison de fonds massifs, ou s'il est possible d'interagir avec plusieurs fonctions en une seule transaction pour obtenir des récompenses indues.
De nombreux projets de Finance décentralisée semblent offrir des rendements élevés, mais en réalité, les capacités des équipes varient considérablement. Certains projets peuvent avoir acheté leur code, et même si le code lui-même n'a pas de vulnérabilités, il peut y avoir des problèmes logiques. Par exemple, certains projets distribuent des récompenses à des moments fixes en fonction du nombre de jetons détenus, mais des attaquants peuvent exploiter des prêts éclair pour acheter un grand nombre de jetons, obtenant ainsi la majorité des récompenses.
manipulation des prix
Les problèmes de manipulation des prix sont étroitement liés aux prêts éclair. Ce type de problème provient principalement de certains paramètres utilisés dans le calcul des prix qui peuvent être contrôlés par les utilisateurs. Il existe deux types de problèmes courants :
Utiliser des données tierces pour calculer les prix, mais une mauvaise utilisation ou un manque de vérification entraîne une manipulation malveillante des prix.
Utiliser le nombre de jetons de certaines adresses comme variable de calcul, alors que le solde des jetons de ces adresses peut être temporairement augmenté ou diminué.
attaque par réentrance
L'un des principaux risques liés à l'appel de contrats externes est qu'ils peuvent prendre le contrôle du flux d'exécution et apporter des modifications imprévues aux données. Par exemple, dans une fonction de retrait, si le solde de l'utilisateur n'est mis à 0 qu'à la fin de la fonction, un appel répété peut entraîner plusieurs retraits du solde.
Lors de la résolution du problème de réentrance, il faut prêter attention aux points suivants :
Il ne faut pas seulement prévenir le problème de réentrance d'une seule fonction.
Suivez le modèle Checks-Effects-Interactions lors de la codification.
Utilisez un modificateur anti-reentrance éprouvé.
Il est important de noter que le fait de réinventer la roue augmente souvent le risque d'erreurs. Utiliser les meilleures pratiques de sécurité déjà établies dans l'industrie est généralement plus fiable que de développer soi-même.
Conseils de sécurité
Conseils de sécurité pour le projet
Suivez les meilleures pratiques de sécurité lors du développement de contrats.
Implémenter la fonctionnalité de mise à niveau et de suspension des contrats.
Adopter un mécanisme de verrouillage temporel.
Accroître les investissements en sécurité et établir un système de sécurité complet.
Améliorer la sensibilisation à la sécurité de tous les employés.
Prévenir les abus internes tout en renforçant la gestion des risques et en améliorant l'efficacité.
Introduire des services tiers avec prudence et effectuer une vérification de sécurité pour l'ensemble de la chaîne d'approvisionnement.
Comment les utilisateurs/LP peuvent-ils évaluer la sécurité des contrats intelligents
Vérifiez si le contrat est open source.
Confirmez si le propriétaire utilise un mécanisme de multi-signatures décentralisé.
Vérifiez la situation des transactions existantes dans le contrat.
Vérifiez si le contrat est un contrat d'agent, s'il est upgradable, s'il y a un verrouillage temporel.
Vérifiez si le contrat a été audité par plusieurs institutions et évaluez si les droits du propriétaire sont trop importants.
Faites attention au type d'oracle utilisé par le projet et à sa fiabilité.
En se concentrant sur ces aspects, les utilisateurs peuvent mieux évaluer la sécurité des projets et réduire les risques de participation.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
7
Partager
Commentaire
0/400
NFTArtisanHQ
· Il y a 7h
analyse fascinante, mais plutôt que de parler de prévention, discutons de la topologie esthétique des exploits defi...
Voir l'originalRépondre0
BloodInStreets
· Il y a 7h
Cut Loss est la protection la plus sûre.
Voir l'originalRépondre0
GateUser-e51e87c7
· Il y a 7h
Avoir appris la sécurité mais s'être fait voler.
Voir l'originalRépondre0
mev_me_maybe
· Il y a 7h
Ah, je n'ai pas une bonne mémoire.
Voir l'originalRépondre0
ForumMiningMaster
· Il y a 8h
Les petits pigeons doivent impérativement apprendre avant d'entrer sur le marché.
Voir l'originalRépondre0
GweiTooHigh
· Il y a 8h
Encore en train de parler de vulnérabilités de sécurité, ça me rend fou.
Voir l'originalRépondre0
CommunitySlacker
· Il y a 8h
Encore une fois, on nous sert de la soupe au poulet.
Finance décentralisée sécurité cours : découvrir les vulnérabilités courantes et les stratégies de protection
Finance décentralisée Sécurité : Vulnérabilités de sécurité courantes et mesures préventives
Récemment, un expert en sécurité a partagé un cours sur la sécurité DeFi avec les membres de la communauté. Cet expert a passé en revue les événements de sécurité majeurs auxquels l'industrie Web3 a été confrontée au cours de l'année écoulée, a exploré les raisons de ces événements et les méthodes de prévention, et a résumé les vulnérabilités de sécurité courantes des contrats intelligents et les mesures préventives, tout en fournissant quelques conseils de sécurité aux équipes de projet et aux utilisateurs ordinaires.
Types de failles courantes en Finance décentralisée
Les types de vulnérabilités courants dans la Finance décentralisée incluent les prêts rapides, la manipulation des prix, les problèmes de permission de fonction, les appels externes arbitraires, les problèmes de fonction de fallback, les vulnérabilités de logique métier, les fuites de clés privées et les attaques par réentrance, etc. Cet article se concentrera sur trois types : les prêts rapides, la manipulation des prix et les attaques par réentrance.
prêt flash
Bien que le prêt flash soit une innovation de la Finance décentralisée, il est également exploité par des hackers pour mener des attaques. Les attaquants empruntent généralement des montants importants via des prêts flash, manipulant les prix ou attaquant la logique d'affaires. Les développeurs doivent prendre en compte si les fonctionnalités du contrat pourraient être anormales en raison de fonds massifs, ou s'il est possible d'interagir avec plusieurs fonctions en une seule transaction pour obtenir des récompenses indues.
De nombreux projets de Finance décentralisée semblent offrir des rendements élevés, mais en réalité, les capacités des équipes varient considérablement. Certains projets peuvent avoir acheté leur code, et même si le code lui-même n'a pas de vulnérabilités, il peut y avoir des problèmes logiques. Par exemple, certains projets distribuent des récompenses à des moments fixes en fonction du nombre de jetons détenus, mais des attaquants peuvent exploiter des prêts éclair pour acheter un grand nombre de jetons, obtenant ainsi la majorité des récompenses.
manipulation des prix
Les problèmes de manipulation des prix sont étroitement liés aux prêts éclair. Ce type de problème provient principalement de certains paramètres utilisés dans le calcul des prix qui peuvent être contrôlés par les utilisateurs. Il existe deux types de problèmes courants :
attaque par réentrance
L'un des principaux risques liés à l'appel de contrats externes est qu'ils peuvent prendre le contrôle du flux d'exécution et apporter des modifications imprévues aux données. Par exemple, dans une fonction de retrait, si le solde de l'utilisateur n'est mis à 0 qu'à la fin de la fonction, un appel répété peut entraîner plusieurs retraits du solde.
Lors de la résolution du problème de réentrance, il faut prêter attention aux points suivants :
Il est important de noter que le fait de réinventer la roue augmente souvent le risque d'erreurs. Utiliser les meilleures pratiques de sécurité déjà établies dans l'industrie est généralement plus fiable que de développer soi-même.
Conseils de sécurité
Conseils de sécurité pour le projet
Comment les utilisateurs/LP peuvent-ils évaluer la sécurité des contrats intelligents
En se concentrant sur ces aspects, les utilisateurs peuvent mieux évaluer la sécurité des projets et réduire les risques de participation.