Merkezi Olmayan Finans Güvenlik Dersi: Yaygın Güvenlik Açıkları ve Önleme Önlemleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için Merkezi Olmayan Finans güvenlik kursu paylaştı. Uzman, geçtiğimiz bir yıl boyunca Web3 endüstrisinin karşılaştığı önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve önlenme yollarını tartıştı, yaygın akıllı sözleşmelerin güvenlik açıklarını ve önleyici tedbirleri özetledi, ayrıca proje sahipleri ve sıradan kullanıcılar için bazı güvenlik önerileri sundu.
Yaygın Merkezi Olmayan Finans Açıkları Türleri
Merkezi Olmayan Finans alanında yaygın olarak karşılaşılan güvenlik açıkları arasında hızlı kredi, fiyat manipülasyonu, fonksiyon yetki sorunları, rastgele dış çağrılar, fallback fonksiyon sorunları, iş mantığı açıkları, özel anahtar sızıntısı ve yeniden giriş saldırıları yer almaktadır. Bu yazıda hızlı kredi, fiyat manipülasyonu ve yeniden giriş saldırısı gibi üç tür üzerinde durulacaktır.
Hızlı Kredi
Lightning loan, DeFi'nin bir yeniliği olmasına rağmen, hackerlar tarafından saldırılar için kullanılmaktadır. Saldırganlar genellikle lightning loan aracılığıyla büyük miktarda fon ödünç alarak fiyatları manipüle eder veya iş mantığını saldırıya uğratır. Geliştiricilerin, sözleşme işlevlerinin büyük miktardaki fonlar nedeniyle anormal hale gelip gelmeyeceğini veya büyük miktardaki fonlarla tek bir işlemde birden fazla fonksiyonla etkileşime geçerek haksız ödüller elde edilip edilemeyeceğini dikkate alması gerekir.
Birçok Merkezi Olmayan Finans projesi yüksek kazanç vaat etse de, aslında proje sahiplerinin yetenekleri oldukça değişkendir. Bazı projelerin kodları satın alınmış olabilir; kodun kendisi hatasız olsa bile, mantıksal olarak sorunlar içerebilir. Örneğin, bazı projeler, token sahiplerinin sayısına göre belirli zaman dilimlerinde ödül dağıtırken, saldırganlar bu ödüllerin çoğunu elde edebilmek için ani kredi (flash loan) kullanarak büyük miktarda token satın alabilir.
fiyat manipülasyonu
Fiyat manipülasyonu sorunları, hızlı kredilerle yakından ilişkilidir. Bu tür sorunlar, fiyat hesaplamalarında bazı parametrelerin kullanıcılar tarafından kontrol edilebilmesinden kaynaklanmaktadır. Yaygın sorun türleri iki çeşit vardır:
Fiyat hesaplanırken üçüncü taraf verileri kullanılır, ancak yanlış kullanım veya kontrol eksikliği nedeniyle fiyat kötü niyetle manipüle edilir.
Belirli adreslerin token miktarını hesaplama değişkeni olarak kullanın, bu adreslerin token bakiyeleri geçici olarak artırılabilir veya azaltılabilir.
Reentransiyon Saldırısı
Dış sözleşmeleri çağırmanın en büyük risklerinden biri, kontrol akışını ele geçirebilmeleri ve verilere beklenmedik değişiklikler yapabilmeleridir. Örneğin, bir çekim fonksiyonunda, eğer kullanıcı bakiyesi fonksiyonun sonunda ancak 0 olarak ayarlanıyorsa, tekrar tekrar çağrılması bakiyenin birden fazla kez çekilmesine neden olabilir.
Reentrancy sorununu çözerken aşağıdaki noktalara dikkat edilmelidir:
Sadece tek bir fonksiyonun yeniden girişi sorununu önlemekle kalmamalıyız.
Checks-Effects-Interactions modeline göre kodlama yapın.
Zamanla test edilmiş reentrancy modifier'ını kullanın.
Dikkate değer bir nokta, tekrarlayan tekerlek yapmanın genellikle hata yapma riskini artırmasıdır. Sektörde mevcut olan en iyi güvenlik uygulamalarını kullanmak genellikle kendi başına geliştirmekten daha güvenilirdir.
Güvenlik Önerileri
Proje tarafı güvenlik önerileri
Sözleşme geliştirme için en iyi güvenlik uygulamalarına uyun.
Sözleşmenin yükseltilebilir ve duraklatılabilir işlevselliğini sağlamak.
Zaman kilidi mekanizması kullanın.
Güvenlik yatırımlarını artırmak ve tam bir güvenlik sistemi kurmak.
Tüm çalışanların güvenlik bilincini artırın.
İçerideki kötü niyetli davranışları önlemek, verimliliği artırırken risk yönetimini güçlendirmek.
Üçüncü taraf hizmetlerinin dikkatli bir şekilde kullanılmasını sağlamak, hem yukarı hem de aşağı akışta güvenlik doğrulaması yapmak.
Kullanıcı/LP akıllı sözleşmenin güvenliğini nasıl değerlendirir?
Sözleşmenin açık kaynak olup olmadığını kontrol edin.
Owner'ın merkezi olmayan çoklu imza mekanizmasını benimseyip benimsemediğini doğrulayın.
Sözleşmenin mevcut işlem durumunu kontrol et.
Sözleşmenin bir vekil sözleşmesi olup olmadığını, yükseltilebilir olup olmadığını ve zaman kilidi olup olmadığını anlayın.
Sözleşmenin birden fazla kurum tarafından denetlenip denetlenmediğini onaylayın ve Owner yetkisinin aşırı olup olmadığını değerlendirin.
Projenin kullandığı oracle türüne ve güvenilirliğine dikkat edin.
Bu yönlere dikkat ederek, kullanıcılar projelerin güvenliğini daha iyi değerlendirebilir ve katılım risklerini azaltabilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
11 Likes
Reward
11
7
Share
Comment
0/400
NFTArtisanHQ
· 12h ago
büyüleyici bir analiz, ancak önlemek yerine, defi istismarlarının estetik topolojisini tartışalım...
View OriginalReply0
BloodInStreets
· 12h ago
Kesinti Kaybı en güvenli korumadır.
View OriginalReply0
GateUser-e51e87c7
· 12h ago
Güvenliği öğrendim ama yine de çalındım.
View OriginalReply0
mev_me_maybe
· 13h ago
Ah, aklım iyi çalışmıyor, hatırlayamıyorum.
View OriginalReply0
ForumMiningMaster
· 13h ago
Küçük enayiler sahaya girmeden önce mutlaka öğrenmelidir.
View OriginalReply0
GweiTooHigh
· 13h ago
Yine güvenlik açıklarından bahsediyor, başımı döndürüyor.
Merkezi Olmayan Finans güvenlik dersi: Yaygın açıklar ve koruma stratejilerini ortaya çıkarma
Merkezi Olmayan Finans Güvenlik Dersi: Yaygın Güvenlik Açıkları ve Önleme Önlemleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için Merkezi Olmayan Finans güvenlik kursu paylaştı. Uzman, geçtiğimiz bir yıl boyunca Web3 endüstrisinin karşılaştığı önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve önlenme yollarını tartıştı, yaygın akıllı sözleşmelerin güvenlik açıklarını ve önleyici tedbirleri özetledi, ayrıca proje sahipleri ve sıradan kullanıcılar için bazı güvenlik önerileri sundu.
Yaygın Merkezi Olmayan Finans Açıkları Türleri
Merkezi Olmayan Finans alanında yaygın olarak karşılaşılan güvenlik açıkları arasında hızlı kredi, fiyat manipülasyonu, fonksiyon yetki sorunları, rastgele dış çağrılar, fallback fonksiyon sorunları, iş mantığı açıkları, özel anahtar sızıntısı ve yeniden giriş saldırıları yer almaktadır. Bu yazıda hızlı kredi, fiyat manipülasyonu ve yeniden giriş saldırısı gibi üç tür üzerinde durulacaktır.
Hızlı Kredi
Lightning loan, DeFi'nin bir yeniliği olmasına rağmen, hackerlar tarafından saldırılar için kullanılmaktadır. Saldırganlar genellikle lightning loan aracılığıyla büyük miktarda fon ödünç alarak fiyatları manipüle eder veya iş mantığını saldırıya uğratır. Geliştiricilerin, sözleşme işlevlerinin büyük miktardaki fonlar nedeniyle anormal hale gelip gelmeyeceğini veya büyük miktardaki fonlarla tek bir işlemde birden fazla fonksiyonla etkileşime geçerek haksız ödüller elde edilip edilemeyeceğini dikkate alması gerekir.
Birçok Merkezi Olmayan Finans projesi yüksek kazanç vaat etse de, aslında proje sahiplerinin yetenekleri oldukça değişkendir. Bazı projelerin kodları satın alınmış olabilir; kodun kendisi hatasız olsa bile, mantıksal olarak sorunlar içerebilir. Örneğin, bazı projeler, token sahiplerinin sayısına göre belirli zaman dilimlerinde ödül dağıtırken, saldırganlar bu ödüllerin çoğunu elde edebilmek için ani kredi (flash loan) kullanarak büyük miktarda token satın alabilir.
fiyat manipülasyonu
Fiyat manipülasyonu sorunları, hızlı kredilerle yakından ilişkilidir. Bu tür sorunlar, fiyat hesaplamalarında bazı parametrelerin kullanıcılar tarafından kontrol edilebilmesinden kaynaklanmaktadır. Yaygın sorun türleri iki çeşit vardır:
Reentransiyon Saldırısı
Dış sözleşmeleri çağırmanın en büyük risklerinden biri, kontrol akışını ele geçirebilmeleri ve verilere beklenmedik değişiklikler yapabilmeleridir. Örneğin, bir çekim fonksiyonunda, eğer kullanıcı bakiyesi fonksiyonun sonunda ancak 0 olarak ayarlanıyorsa, tekrar tekrar çağrılması bakiyenin birden fazla kez çekilmesine neden olabilir.
Reentrancy sorununu çözerken aşağıdaki noktalara dikkat edilmelidir:
Dikkate değer bir nokta, tekrarlayan tekerlek yapmanın genellikle hata yapma riskini artırmasıdır. Sektörde mevcut olan en iyi güvenlik uygulamalarını kullanmak genellikle kendi başına geliştirmekten daha güvenilirdir.
Güvenlik Önerileri
Proje tarafı güvenlik önerileri
Kullanıcı/LP akıllı sözleşmenin güvenliğini nasıl değerlendirir?
Bu yönlere dikkat ederek, kullanıcılar projelerin güvenliğini daha iyi değerlendirebilir ve katılım risklerini azaltabilir.