Finanças Descentralizadas Segurança: Vulnerabilidades de segurança comuns e medidas de prevenção
Recentemente, um especialista em segurança compartilhou um curso de segurança DeFi com os membros da comunidade. O especialista revisitou os principais eventos de segurança que o setor Web3 enfrentou no último ano e meio, discutiu as causas desses eventos e as formas de prevenção, e resumiu as vulnerabilidades de segurança comuns em contratos inteligentes e as medidas preventivas, ao mesmo tempo que ofereceu algumas dicas de segurança para as equipes de projeto e usuários comuns.
Tipos Comuns de Vulnerabilidades em Finanças Descentralizadas
Os tipos comuns de vulnerabilidades em Finanças Descentralizadas incluem empréstimos relâmpago, manipulação de preços, problemas de permissões de funções, chamadas externas arbitrárias, problemas com funções de fallback, vulnerabilidades de lógica de negócios, vazamento de chaves privadas e ataques de reentrada, entre outros. Este artigo irá focar em empréstimos relâmpago, manipulação de preços e ataques de reentrada.
Empréstimo Relâmpago
Embora o empréstimo relâmpago seja uma inovação nas Finanças Descentralizadas, também é explorado por hackers para realizar ataques. Os atacantes geralmente pegam emprestado grandes quantias de dinheiro através de empréstimos relâmpago, manipulando preços ou atacando a lógica de negócios. Os desenvolvedores precisam considerar se a funcionalidade do contrato pode resultar em anomalias devido a grandes quantias de dinheiro, ou se é possível obter recompensas indevidas através da interação com várias funções em uma única transação utilizando grandes quantidades de dinheiro.
Muitos projetos de Finanças Descentralizadas parecem ter altos rendimentos, mas na verdade a capacidade das equipes por trás dos projetos varia bastante. Alguns projetos podem ter seu código adquirido, e mesmo que o código em si não tenha falhas, ainda podem haver problemas lógicos. Por exemplo, alguns projetos distribuem recompensas em momentos fixos com base na quantidade de tokens dos detentores, mas são explorados por atacantes que utilizam empréstimos relâmpago para comprar uma grande quantidade de tokens, obtendo assim a maior parte das recompensas.
manipulação de preços
O problema da manipulação de preços está intimamente relacionado com os empréstimos relâmpago. Este tipo de problema surge principalmente porque certos parâmetros usados no cálculo de preços podem ser controlados pelos utilizadores. Existem dois tipos comuns de problemas:
Utiliza dados de terceiros para calcular preços, mas o uso inadequado ou a falta de verificação pode levar à manipulação maliciosa dos preços.
Usar a quantidade de tokens de certos endereços como variáveis de cálculo, enquanto o saldo de tokens desses endereços pode ser temporariamente aumentado ou diminuído.
ataque de reentrada
Um dos principais riscos de chamar contratos externos é que eles podem assumir o controle do fluxo e fazer alterações inesperadas nos dados. Por exemplo, em uma função de retirada, se o saldo do usuário for definido como 0 apenas no final da função, chamadas repetidas podem resultar em múltiplas retiradas do saldo.
Ao resolver o problema de reentrada, deve-se ter em atenção os seguintes pontos:
Não só é necessário prevenir problemas de reentrada de uma única função.
Seguir o padrão Checks-Effects-Interactions ao codificar.
Utilize um modifier de prevenção de reentrada testado ao longo do tempo.
É importante notar que a repetição de esforços pode aumentar o risco de erros. Usar as melhores práticas de segurança já existentes na indústria geralmente é mais confiável do que desenvolver algo do zero.
Sugestões de Segurança
Sugestões de segurança da equipe do projeto
Seguir as melhores práticas de segurança para o desenvolvimento de contratos.
Implementar funcionalidades de atualização e pausa de contratos.
Adotar um mecanismo de bloqueio de tempo.
Aumentar o investimento em segurança e estabelecer um sistema de segurança completo.
Aumentar a consciência de segurança de todos os funcionários.
Prevenir comportamentos maliciosos internos, enquanto se aumenta a eficiência e se fortalece a gestão de riscos.
Introduzir serviços de terceiros com cautela e realizar verificações de segurança em ambas as direções.
Como os usuários/LP podem avaliar a segurança de um contrato inteligente
Verifique se o contrato é de código aberto.
Confirme se o Owner está a utilizar um mecanismo de múltiplas assinaturas descentralizado.
Verifique a situação das transações já existentes no contrato.
Compreender se o contrato é um contrato de代理, se é atualizável e se possui um bloqueio temporal.
Confirme se o contrato foi auditado por várias instituições e avalie se os direitos do Owner são excessivos.
Preste atenção ao tipo de oráculo utilizado no projeto e à sua confiabilidade.
Ao focar nesses aspectos, os usuários podem avaliar melhor a segurança do projeto e reduzir os riscos de participação.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
10 Curtidas
Recompensa
10
7
Compartilhar
Comentário
0/400
NFTArtisanHQ
· 7h atrás
análise fascinante, mas em vez de prevenção, vamos discutir a topologia estética dos exploits de defi...
Ver originalResponder0
BloodInStreets
· 7h atrás
Perda de corte é a proteção mais segura.
Ver originalResponder0
GateUser-e51e87c7
· 7h atrás
Aprendi sobre segurança, mas ainda fui roubado.
Ver originalResponder0
mev_me_maybe
· 7h atrás
Ai, a cabeça não consegue lembrar.
Ver originalResponder0
ForumMiningMaster
· 8h atrás
Os idiotas devem estudar antes de entrar no mercado.
Ver originalResponder0
GweiTooHigh
· 8h atrás
Já está a falar de vulnerabilidades de segurança, que chato!
Finanças Descentralizadas segurança: desvendar vulnerabilidades comuns e estratégias de proteção
Finanças Descentralizadas Segurança: Vulnerabilidades de segurança comuns e medidas de prevenção
Recentemente, um especialista em segurança compartilhou um curso de segurança DeFi com os membros da comunidade. O especialista revisitou os principais eventos de segurança que o setor Web3 enfrentou no último ano e meio, discutiu as causas desses eventos e as formas de prevenção, e resumiu as vulnerabilidades de segurança comuns em contratos inteligentes e as medidas preventivas, ao mesmo tempo que ofereceu algumas dicas de segurança para as equipes de projeto e usuários comuns.
Tipos Comuns de Vulnerabilidades em Finanças Descentralizadas
Os tipos comuns de vulnerabilidades em Finanças Descentralizadas incluem empréstimos relâmpago, manipulação de preços, problemas de permissões de funções, chamadas externas arbitrárias, problemas com funções de fallback, vulnerabilidades de lógica de negócios, vazamento de chaves privadas e ataques de reentrada, entre outros. Este artigo irá focar em empréstimos relâmpago, manipulação de preços e ataques de reentrada.
Empréstimo Relâmpago
Embora o empréstimo relâmpago seja uma inovação nas Finanças Descentralizadas, também é explorado por hackers para realizar ataques. Os atacantes geralmente pegam emprestado grandes quantias de dinheiro através de empréstimos relâmpago, manipulando preços ou atacando a lógica de negócios. Os desenvolvedores precisam considerar se a funcionalidade do contrato pode resultar em anomalias devido a grandes quantias de dinheiro, ou se é possível obter recompensas indevidas através da interação com várias funções em uma única transação utilizando grandes quantidades de dinheiro.
Muitos projetos de Finanças Descentralizadas parecem ter altos rendimentos, mas na verdade a capacidade das equipes por trás dos projetos varia bastante. Alguns projetos podem ter seu código adquirido, e mesmo que o código em si não tenha falhas, ainda podem haver problemas lógicos. Por exemplo, alguns projetos distribuem recompensas em momentos fixos com base na quantidade de tokens dos detentores, mas são explorados por atacantes que utilizam empréstimos relâmpago para comprar uma grande quantidade de tokens, obtendo assim a maior parte das recompensas.
manipulação de preços
O problema da manipulação de preços está intimamente relacionado com os empréstimos relâmpago. Este tipo de problema surge principalmente porque certos parâmetros usados no cálculo de preços podem ser controlados pelos utilizadores. Existem dois tipos comuns de problemas:
ataque de reentrada
Um dos principais riscos de chamar contratos externos é que eles podem assumir o controle do fluxo e fazer alterações inesperadas nos dados. Por exemplo, em uma função de retirada, se o saldo do usuário for definido como 0 apenas no final da função, chamadas repetidas podem resultar em múltiplas retiradas do saldo.
Ao resolver o problema de reentrada, deve-se ter em atenção os seguintes pontos:
É importante notar que a repetição de esforços pode aumentar o risco de erros. Usar as melhores práticas de segurança já existentes na indústria geralmente é mais confiável do que desenvolver algo do zero.
Sugestões de Segurança
Sugestões de segurança da equipe do projeto
Como os usuários/LP podem avaliar a segurança de um contrato inteligente
Ao focar nesses aspectos, os usuários podem avaliar melhor a segurança do projeto e reduzir os riscos de participação.