Análise Completa das Vulnerabilidades de Segurança em Finanças Descentralizadas: Guia de Prevenção contra Empréstimos Flash, Manipulação de Preços e Ataques de Reentrada
Finanças Descentralizadas comuns vulnerabilidades de segurança e medidas de prevenção
Recentemente, um especialista em segurança compartilhou uma aula de segurança em Finanças Descentralizadas com os membros da comunidade, revisitando os principais eventos de segurança que o setor Web3 enfrentou no último ano e meio, discutindo as razões pelas quais esses eventos ocorreram e como evitá-los, resumindo as vulnerabilidades de segurança comuns em contratos inteligentes e medidas de prevenção, além de fornecer algumas recomendações de segurança para os desenvolvedores de projetos e usuários.
Os tipos mais comuns de vulnerabilidades em Finanças Descentralizadas incluem empréstimos relâmpago, manipulação de preços, problemas de permissões de funções, chamadas externas arbitrárias, problemas com funções fallback, vulnerabilidades de lógica de negócios, vazamento de chaves privadas e reentradas. Abaixo, vamos focar em empréstimos relâmpago, manipulação de preços e ataques de reentrada.
Empréstimo Relâmpago
Embora o empréstimo relâmpago seja uma inovação nas Finanças Descentralizadas, também é frequentemente explorado por hackers:
O atacante empresta uma grande quantidade de fundos através de um empréstimo relâmpago, manipulando preços ou atacando a lógica de negócios.
Os desenvolvedores devem considerar se a funcionalidade do contrato pode ser afetada por grandes quantidades de fundos, ou se pode ser explorada para obter recompensas indevidas.
Alguns projetos não consideraram o impacto dos empréstimos relâmpago ao projetar suas funcionalidades, resultando em roubo de fundos.
Nos últimos dois anos, muitos projetos de Finanças Descentralizadas tiveram problemas devido a empréstimos relâmpago. Por exemplo, alguns projetos concedem recompensas com base na quantidade de ativos, mas são explorados por atacantes que utilizam empréstimos relâmpago para comprar grandes quantidades de tokens e obter a maior parte das recompensas. Além disso, projetos que calculam preços através de tokens podem ter seus preços afetados por empréstimos relâmpago. As equipes dos projetos devem estar atentas a isso.
Manipulação de Preços
O problema de manipulação de preços está intimamente relacionado com os empréstimos relâmpago, existindo principalmente dois tipos:
Ao calcular o preço, usa-se dados de terceiros, mas o uso inadequado ou a falta de verificação levam à manipulação maliciosa do preço.
Usar o saldo de Token de certos endereços como variável de cálculo, e esses saldos podem ser aumentados ou diminuídos temporariamente.
Ataque de Reentrada
O principal risco de chamar contratos externos é que eles podem assumir o controle do fluxo e fazer alterações inesperadas nos dados.
Por exemplo, na função de retirada, se o saldo do usuário for zerado apenas no final da função, o atacante pode chamar essa função novamente após a transferência de fundos, retirando repetidamente.
As formas de ataque de reentrada são diversas e podem envolver várias funções ou contratos. Para prevenir a reentrada, é necessário prestar atenção a:
Não apenas impede a reentrada de uma única função
Codificação seguindo o padrão Checks-Effects-Interactions
Utilizar um modificador de prevenção de reentrada verificado
Especialistas em segurança recomendam a utilização das melhores práticas de segurança já existentes, em vez de reinventar a roda. Isso porque as novas soluções construídas por conta própria carecem de validação adequada, e a probabilidade de problemas é muito maior do que em soluções maduras.
Sugestões de segurança para a equipe do projeto
O desenvolvimento de contratos segue as melhores práticas de segurança
O contrato pode ser atualizado e suspenso, para responder rapidamente a ataques.
Adotar um bloqueio temporal, reservando tempo para descobrir e responder a riscos
Aumentar o investimento em segurança, estabelecer um sistema de segurança completo
Aumentar a consciência de segurança de todos os funcionários
Prevenir a má conduta interna, aumentando a eficiência ao mesmo tempo que se reforça o controle de riscos.
Introduza cuidadosamente terceiros, assumindo que tanto o upstream quanto o downstream não são seguros.
Como os usuários podem avaliar a segurança dos contratos inteligentes
O contrato é open source?
O proprietário adotou um múltiplo de assinaturas descentralizado?
Verifique a situação das transações já existentes no contrato
O contrato é atualizável? Existe um bloqueio de tempo?
Se aceitou auditoria de várias instituições, se os direitos do proprietário são excessivos
Preste atenção à confiabilidade do oráculo
Em suma, no campo das Finanças Descentralizadas, tanto os desenvolvedores de projetos quanto os usuários devem manter uma alta vigilância e adotar múltiplas medidas de segurança para efetivamente reduzir os riscos.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
17 gostos
Recompensa
17
3
Partilhar
Comentar
0/400
MidnightSnapHunter
· 07-25 08:52
Eu já vi muitos desses tipos de vulnerabilidades...
Ver originalResponder0
GhostWalletSleuth
· 07-25 08:51
As vulnerabilidades são sempre um jogo de gato e rato entre a equipa do projeto e o Hacker.
Análise Completa das Vulnerabilidades de Segurança em Finanças Descentralizadas: Guia de Prevenção contra Empréstimos Flash, Manipulação de Preços e Ataques de Reentrada
Finanças Descentralizadas comuns vulnerabilidades de segurança e medidas de prevenção
Recentemente, um especialista em segurança compartilhou uma aula de segurança em Finanças Descentralizadas com os membros da comunidade, revisitando os principais eventos de segurança que o setor Web3 enfrentou no último ano e meio, discutindo as razões pelas quais esses eventos ocorreram e como evitá-los, resumindo as vulnerabilidades de segurança comuns em contratos inteligentes e medidas de prevenção, além de fornecer algumas recomendações de segurança para os desenvolvedores de projetos e usuários.
Os tipos mais comuns de vulnerabilidades em Finanças Descentralizadas incluem empréstimos relâmpago, manipulação de preços, problemas de permissões de funções, chamadas externas arbitrárias, problemas com funções fallback, vulnerabilidades de lógica de negócios, vazamento de chaves privadas e reentradas. Abaixo, vamos focar em empréstimos relâmpago, manipulação de preços e ataques de reentrada.
Empréstimo Relâmpago
Embora o empréstimo relâmpago seja uma inovação nas Finanças Descentralizadas, também é frequentemente explorado por hackers:
Nos últimos dois anos, muitos projetos de Finanças Descentralizadas tiveram problemas devido a empréstimos relâmpago. Por exemplo, alguns projetos concedem recompensas com base na quantidade de ativos, mas são explorados por atacantes que utilizam empréstimos relâmpago para comprar grandes quantidades de tokens e obter a maior parte das recompensas. Além disso, projetos que calculam preços através de tokens podem ter seus preços afetados por empréstimos relâmpago. As equipes dos projetos devem estar atentas a isso.
Manipulação de Preços
O problema de manipulação de preços está intimamente relacionado com os empréstimos relâmpago, existindo principalmente dois tipos:
Ataque de Reentrada
O principal risco de chamar contratos externos é que eles podem assumir o controle do fluxo e fazer alterações inesperadas nos dados.
Por exemplo, na função de retirada, se o saldo do usuário for zerado apenas no final da função, o atacante pode chamar essa função novamente após a transferência de fundos, retirando repetidamente.
As formas de ataque de reentrada são diversas e podem envolver várias funções ou contratos. Para prevenir a reentrada, é necessário prestar atenção a:
Especialistas em segurança recomendam a utilização das melhores práticas de segurança já existentes, em vez de reinventar a roda. Isso porque as novas soluções construídas por conta própria carecem de validação adequada, e a probabilidade de problemas é muito maior do que em soluções maduras.
Sugestões de segurança para a equipe do projeto
Como os usuários podem avaliar a segurança dos contratos inteligentes
Em suma, no campo das Finanças Descentralizadas, tanto os desenvolvedores de projetos quanto os usuários devem manter uma alta vigilância e adotar múltiplas medidas de segurança para efetivamente reduzir os riscos.