Analyse complète des vulnérabilités de la Finance décentralisée : Guide de prévention des Prêts Flash, manipulation des prix et attaques par réentrées.
Vulnérabilités de sécurité courantes en Finance décentralisée et mesures préventives
Récemment, un expert en sécurité a partagé avec les membres de la communauté un cours sur la sécurité DeFi, revenant sur les événements de sécurité majeurs auxquels l'industrie Web3 a été confrontée au cours de l'année écoulée, explorant les raisons de ces événements et comment les éviter, résumant les vulnérabilités de sécurité courantes des contrats intelligents et les mesures de prévention, et a également donné quelques conseils de sécurité aux projets et aux utilisateurs.
Les types de vulnérabilités DeFi les plus courants incluent les prêts flash, la manipulation des prix, les problèmes de permissions de fonction, les appels externes arbitraires, les problèmes de fonction fallback, les vulnérabilités de logique métier, les fuites de clés privées et les réentrées, entre autres. Ci-dessous, nous mettrons l'accent sur les prêts flash, la manipulation des prix et les attaques par réentrées.
Prêt éclair
Bien que le prêt éclair soit une innovation dans la Finance décentralisée, il est souvent exploité par des hackers :
L'attaquant emprunte d'énormes sommes d'argent via un prêt flash, manipule les prix ou attaque la logique commerciale.
Les développeurs doivent prendre en compte si les fonctionnalités du contrat peuvent être anormales en raison de fonds massifs ou être exploitées pour obtenir des récompenses indues.
Certains projets n'ont pas pris en compte l'impact des prêts flash lors de la conception de leurs fonctionnalités, ce qui a entraîné le vol de fonds.
Au cours des deux dernières années, de nombreux projets de Finance décentralisée ont rencontré des problèmes en raison des prêts éclair. Par exemple, certains projets distribuent des récompenses en fonction des quantités détenues, mais sont exploités par des attaquants utilisant des prêts éclair pour acheter d'importantes quantités de jetons et obtenir la majorité des récompenses. D'autres projets, qui calculent le prix via des jetons, peuvent voir leur prix affecté par des prêts éclair. Les équipes de projet doivent rester vigilantes à cet égard.
Manipulation des prix
Les problèmes de manipulation des prix sont étroitement liés aux prêts flash, il en existe principalement deux types :
Lors du calcul des prix, des données tierces sont utilisées, mais une mauvaise utilisation ou un manque de vérification entraînent une manipulation malveillante des prix.
Utiliser le solde des Token de certaines adresses comme variable de calcul, et ces soldes peuvent être temporairement augmentés ou diminués.
Attaque par réentrance
Le principal risque d'appeler des contrats externes est qu'ils peuvent prendre le contrôle du flux et apporter des modifications inattendues aux données.
Par exemple, dans la fonction de retrait, si le solde de l'utilisateur est mis à zéro à la fin de la fonction, un attaquant peut appeler à nouveau cette fonction après le transfert des fonds, retirant ainsi de l'argent de manière répétée.
Les formes d'attaque par réentrance sont variées et peuvent impliquer plusieurs fonctions ou contrats. Pour prévenir la réentrance, il faut faire attention à :
Non seulement cela empêche la réinjection d'une seule fonction
Suivre le modèle Checks-Effects-Interactions pour le codage
Utiliser un modificateur de protection contre les réentrées vérifié
Les experts en sécurité conseillent d'utiliser les meilleures pratiques de sécurité existantes plutôt que de réinventer la roue. En effet, les nouvelles solutions construites par soi-même manquent souvent de validation suffisante, ce qui augmente considérablement la probabilité de problèmes par rapport aux solutions matures.
Conseils de sécurité pour les projets
Le développement de contrats suit les meilleures pratiques de sécurité.
Les contrats peuvent être mis à niveau et suspendus pour faire face rapidement aux attaques.
Utiliser un verrouillage temporel pour réserver du temps pour identifier et répondre aux risques.
Accroître les investissements en sécurité et établir un système de sécurité complet.
Améliorer la sensibilisation à la sécurité de tous les employés
Prévenir les abus internes tout en renforçant le contrôle des risques en améliorant l'efficacité.
Introduire des tiers avec prudence, par défaut les上下游 ne sont pas sûrs.
Comment les utilisateurs peuvent évaluer la sécurité des contrats intelligents
Le contrat est-il open source
Le propriétaire adopte-t-il une multi-signature décentralisée ?
Vérifiez la situation des transactions existantes du contrat
Le contrat est-il évolutif, y a-t-il un verrouillage temporel
Avez-vous été audité par plusieurs organismes, et les droits du propriétaire ne sont-ils pas excessifs ?
Faites attention à la fiabilité des oracles
En résumé, dans le domaine de la Finance décentralisée, les équipes de projet et les utilisateurs doivent rester vigilants et prendre plusieurs mesures de sécurité pour réduire efficacement les risques.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
17 J'aime
Récompense
17
3
Partager
Commentaire
0/400
MidnightSnapHunter
· 07-25 08:52
J'ai déjà vu ce genre de faille...
Voir l'originalRépondre0
GhostWalletSleuth
· 07-25 08:51
Les vulnérabilités sont toujours un jeu du chat et de la souris entre le projet de fête et le Hacker.
Voir l'originalRépondre0
FlatlineTrader
· 07-25 08:45
Les anciens projets ont tous subi des attaques par réentrance.
Analyse complète des vulnérabilités de la Finance décentralisée : Guide de prévention des Prêts Flash, manipulation des prix et attaques par réentrées.
Vulnérabilités de sécurité courantes en Finance décentralisée et mesures préventives
Récemment, un expert en sécurité a partagé avec les membres de la communauté un cours sur la sécurité DeFi, revenant sur les événements de sécurité majeurs auxquels l'industrie Web3 a été confrontée au cours de l'année écoulée, explorant les raisons de ces événements et comment les éviter, résumant les vulnérabilités de sécurité courantes des contrats intelligents et les mesures de prévention, et a également donné quelques conseils de sécurité aux projets et aux utilisateurs.
Les types de vulnérabilités DeFi les plus courants incluent les prêts flash, la manipulation des prix, les problèmes de permissions de fonction, les appels externes arbitraires, les problèmes de fonction fallback, les vulnérabilités de logique métier, les fuites de clés privées et les réentrées, entre autres. Ci-dessous, nous mettrons l'accent sur les prêts flash, la manipulation des prix et les attaques par réentrées.
Prêt éclair
Bien que le prêt éclair soit une innovation dans la Finance décentralisée, il est souvent exploité par des hackers :
Au cours des deux dernières années, de nombreux projets de Finance décentralisée ont rencontré des problèmes en raison des prêts éclair. Par exemple, certains projets distribuent des récompenses en fonction des quantités détenues, mais sont exploités par des attaquants utilisant des prêts éclair pour acheter d'importantes quantités de jetons et obtenir la majorité des récompenses. D'autres projets, qui calculent le prix via des jetons, peuvent voir leur prix affecté par des prêts éclair. Les équipes de projet doivent rester vigilantes à cet égard.
Manipulation des prix
Les problèmes de manipulation des prix sont étroitement liés aux prêts flash, il en existe principalement deux types :
Attaque par réentrance
Le principal risque d'appeler des contrats externes est qu'ils peuvent prendre le contrôle du flux et apporter des modifications inattendues aux données.
Par exemple, dans la fonction de retrait, si le solde de l'utilisateur est mis à zéro à la fin de la fonction, un attaquant peut appeler à nouveau cette fonction après le transfert des fonds, retirant ainsi de l'argent de manière répétée.
Les formes d'attaque par réentrance sont variées et peuvent impliquer plusieurs fonctions ou contrats. Pour prévenir la réentrance, il faut faire attention à :
Les experts en sécurité conseillent d'utiliser les meilleures pratiques de sécurité existantes plutôt que de réinventer la roue. En effet, les nouvelles solutions construites par soi-même manquent souvent de validation suffisante, ce qui augmente considérablement la probabilité de problèmes par rapport aux solutions matures.
Conseils de sécurité pour les projets
Comment les utilisateurs peuvent évaluer la sécurité des contrats intelligents
En résumé, dans le domaine de la Finance décentralisée, les équipes de projet et les utilisateurs doivent rester vigilants et prendre plusieurs mesures de sécurité pour réduire efficacement les risques.