Децентралізовані фінанси: загальні вразливості безпеки та заходи запобігання

Нещодавно один експерт з безпеки поділився своїми думками щодо безпеки Децентралізовані фінанси, оглянувши значні безпекові інциденти, які сталися в індустрії Web3 за минулий рік, обговоривши причини цих подій та способи їх уникнення, підсумувавши поширені вразливості смарт-контрактів та заходи їх запобігання, а також надавши деякі рекомендації щодо безпеки для проектів та користувачів.

Звичайні типи вразливостей DeFi включають миттєві позики, маніпуляції з цінами, проблеми з правами функцій, довільні зовнішні виклики, проблеми з функцією fallback, вразливості бізнес-логіки, витік приватних ключів, повторні атаки тощо. Нижче особливо розглядаються три типи: миттєві позики, маніпуляції з цінами та повторні атаки.

Лайтнінг-кредит

Швидкі позики є інновацією в Децентралізованих фінансах, але також використовуються хакерами для атак. Зловмисники беруть в борг великі суми коштів через швидкі позики, маніпулюючи цінами або атакуючи бізнес-логіку. Розробники повинні враховувати, чи можуть функції контракту аномально реагувати через великі суми коштів або бути використаними для отримання неправомірних винагород.

Багато проектів DeFi здаються високоприбутковими, але насправді рівень команди проектів варіюється. У деяких проектах код може бути купленим, навіть якщо сам код не має вразливостей, логічно все ще можуть бути проблеми. Наприклад, деякі проекти розподіляють винагороди в певний час на основі володіння токенами, але зловмисники використовують флеш-кредити для покупки великої кількості токенів та отримання більшості винагород.

Контроль цін

Проблема маніпуляції цінами тісно пов'язана з миттєвими позиками, головним чином через те, що параметри, що використовуються для розрахунку ціни, можуть контролюватися користувачами. Існує два основних типи проблем:

1. При розрахунку ціни використовуються дані третіх сторін, але спосіб використання неправильний або відсутня перевірка, що призводить до злонамереного маніпулювання ціною.

2. Використання кількості токенів з певних адрес як змінної для розрахунків, при цьому баланс токенів на цих адресах може бути тимчасово збільшений або зменшений.

Атака повторного входу

Одним з основних ризиків виклику зовнішніх контрактів є те, що вони можуть захопити контрольний потік і внести непередбачені зміни в дані. Наприклад:

солідність відображення (address => uint) private userBalances;

функція withdrawBalance() публічна { uint amountToRemove = userBalances[msg.sender]; (bool успіху ) = msg.sender.call.value(amountToWithdraw)("" ); require(success); userBalances[msg.sender] = 0; }

Оскільки баланс користувача обнулюється лише в кінці функції, повторні виклики все ще будуть успішними, що дозволяє багаторазово знімати баланс.

Для вирішення проблеми повторного входу необхідно звернути увагу на:

1. Не лише запобігання повторному входу одного функції
2. Дотримуйтесь моделі Checks-Effects-Interactions
3. Використовуйте перевірений модифікатор для захисту від повторних викликів

Атаки повторного входу мають різноманітні форми і можуть включати кілька функцій або контрактів, тому їх вирішення є досить складним. Найкраще використовувати вже перевірені найкращі практики, а не повторно винаходити колесо.

Рекомендації щодо безпеки від команди проекту

1. Дотримуйтесь найкращих практик безпеки при розробці контрактів
2. Реалізація функцій оновлення та призупинення контракту
3. Використання механізму таймлока
4. Збільшити інвестиції в безпеку, створити вдосконалену систему безпеки
5. Підвищити обізнаність усіх співробітників щодо безпеки
6. Запобігання внутрішнім зловживанням, зміцнюючи контроль ризиків під час підвищення ефективності
7. Обережно впроваджуйте сторонні компоненти, здійснюйте належну перевірку безпеки.

Як користувачам оцінити безпеку смарт-контрактів

1. Підтвердьте, чи є контракт відкритим
2. Перевірте, чи використовує Owner мультипідпис, чи є мультипідпис децентралізованим.
3. Перегляньте вже існуючі угоди контракту
4. Визначте, чи є контракт代理合约, чи можна його оновити, чи є у нього тайм-лок.
5. Підтвердіть, чи контракт був перевірений кількома організаціями, чи не є повноваження власника занадто великими.
6. Зверніть увагу на використання оракулів

Отже, у сфері Децентралізованих фінансів безпекові питання є особливо важливими. Проектні команди повинні приділяти увагу інвестиціям у безпеку, а користувачі також повинні бути насторожі та обережно брати участь. Тільки спільними зусиллями можна побудувати більш безпечну та надійну екосистему Децентралізованих фінансів.