Децентралізовані фінанси常见安全漏洞及预防措施

Нещодавно один експерт з безпеки поділився лекцією про безпеку Децентралізованих фінансів, в якій обговорювалися нещодавні серйозні інциденти безпеки в індустрії Web3, аналізувалися причини виникнення цих інцидентів та способи уникнення, а також підсумовувалися поширені вразливості в смарт-контрактах та заходи їх запобігання. У цій статті буде зосереджено увагу на трьох типах поширених вразливостей: миттєвих кредитах, маніпуляціях з цінами та атаках повторного входу.

Швидкий кредит

Швидкі кредити є інновацією в Децентралізованих фінансах, але часто використовуються хакерами для атак:

• Зловмисники позичають велику кількість коштів через кредит на вимогу, маніпулюючи ціною або атакуючи бізнес-логіку
• Розробники повинні враховувати, чи не стануть функції контракту аномальними через великі суми коштів або можуть бути використані для отримання надмірних винагород в одній угоді.
• Загальні питання: Обчислення винагороди на основі кількості токенів або участь у розрахунках на основі кількості токенів у парі DEX.

Протягом останніх двох років виникло багато проблем. Деякі проєкти DeFi здаються високодохідними, але насправді рівень їх розробки дуже різний. Наприклад, є проєкти, які розподіляють винагороди відповідно до обсягу володіння в фіксований час, і зловмисники використовують флеш-кредити, щоб купити велику кількість токенів та отримати більшу частину винагороди.

Маніпуляція цінами

Ціна маніпуляції тісно пов'язана з блискавичними кредитами, основними є дві проблеми:

1. При розрахунку ціни використовуйте дані третіх сторін, але неправильне використання або відсутність перевірки.
2. Використання балансу Token певних адрес як змінної для обчислень, при цьому ці залишки можуть тимчасово збільшуватися або зменшуватися.

Атака повторного входу

Основний ризик виклику зовнішніх контрактів полягає в тому, що може бути перехоплено керування потоком і неочікувані зміни даних.

Типовий приклад повторного виклику: солідність відображення (address => uint) private userBalances;

функція withdrawBalance() публічна { uint amountToRemove = userBalances[msg.sender]; (bool успіху ) = msg.sender.call.value(amountToWithdraw)("" ); require(успішно); userBalances[msg.sender] = 0; }

Оскільки баланс користувача обнуляється лише наприкінці функції, повторні виклики дозволяють багаторазово виводити.

Щоб вирішити проблему повторного входу, слід звернути увагу на:

1. Не лише захист від повторного входу одного функції
2. Дотримуйтесь моделі Checks-Effects-Interactions
3. Використовуйте перевірений модифікатор для запобігання повторним викликам

Рекомендується використовувати зрілі практики безпеки, уникати повторного винаходу колеса.

Рекомендації щодо безпеки від проєкту

1. Дотримуйтесь найкращих практик безпеки при розробці контрактів
2. Реалізація можливості оновлення та призупинки контракту
3. Використання тайм-локів
4. Створити досконалу систему безпеки
5. Підвищення усвідомлення безпеки серед усіх співробітників
6. Запобігання внутрішньому зловживанню, підвищення ефективності і одночасне посилення ризик-менеджменту
7. Обережно вводьте третіх осіб, вважаючи їх небезпечними та добре перевіряйте.

Як користувачам оцінити безпеку смарт-контрактів

1. Чи є контракт відкритим?
2. Чи використовує власник децентралізовану мультипідпис?
3. Переглянути вже здійснені угоди за контрактом
4. Чи може контракт бути оновлений, чи є часовий замок
5. Чи приймаєте ви аудити від кількох установ, чи не є права власника занадто великими?
6. Зверніть увагу на надійність оракулів

Отже, у сфері Децентралізовані фінанси безпека має вирішальне значення. Команди проекту повинні всебічно будувати систему безпеки, а користувачі також повинні бути пильними та обережно брати участь.