Tài chính phi tập trung An toàn: Các lỗ hổng bảo mật phổ biến và biện pháp phòng ngừa
Gần đây, một chuyên gia an ninh đã chia sẻ một khóa học về an ninh DeFi cho các thành viên trong cộng đồng. Chuyên gia này đã xem xét những sự kiện an ninh nghiêm trọng mà ngành Web3 đã gặp phải trong hơn một năm qua, thảo luận về nguyên nhân của những sự kiện này cũng như các biện pháp phòng ngừa, đồng thời tóm tắt các lỗ hổng an ninh thường gặp trong hợp đồng thông minh và biện pháp phòng ngừa, cũng như cung cấp một số lời khuyên an ninh cho các dự án và người dùng bình thường.
Các loại lỗ hổng DeFi phổ biến
Các loại lỗ hổng thường gặp trong DeFi bao gồm cho vay chớp nhoáng, thao túng giá, vấn đề quyền hàm, gọi bên ngoài tùy ý, vấn đề hàm fallback, lỗ hổng logic kinh doanh, rò rỉ khóa riêng và tấn công tái nhập. Bài viết này sẽ tập trung vào ba loại: cho vay chớp nhoáng, thao túng giá và tấn công tái nhập.
Vay chớp nhoáng
Mặc dù vay chớp nhoáng là một đổi mới trong Tài chính phi tập trung, nhưng cũng bị tin tặc lợi dụng để tấn công. Các kẻ tấn công thường vay một lượng lớn tiền thông qua vay chớp nhoáng, thao túng giá cả hoặc tấn công logic kinh doanh. Các nhà phát triển cần xem xét xem chức năng của hợp đồng có thể bị bất thường do số tiền khổng lồ hay không, hoặc có thể thông qua số tiền lớn trong một giao dịch đơn lẻ để tương tác với nhiều hàm và nhận phần thưởng không hợp lệ hay không.
Nhiều dự án Tài chính phi tập trung có vẻ mang lại lợi nhuận cao, nhưng thực tế khả năng của các nhà phát triển dự án rất khác nhau. Một số dự án có thể mua mã nguồn, ngay cả khi mã nguồn không có lỗ hổng, về mặt logic vẫn có thể tồn tại vấn đề. Ví dụ, một số dự án sẽ phát thưởng dựa trên số lượng token của người nắm giữ vào thời điểm cố định, nhưng lại bị kẻ tấn công lợi dụng vay chớp nhoáng để mua một lượng lớn token, từ đó nhận được phần lớn phần thưởng.
thao túng giá
Vấn đề thao túng giá cả có liên quan chặt chẽ đến vay chớp nhoáng. Các vấn đề này chủ yếu xuất phát từ việc một số tham số trong quá trình tính toán giá có thể được người dùng kiểm soát. Có hai loại vấn đề phổ biến:
Sử dụng dữ liệu bên thứ ba khi tính giá, nhưng sử dụng không đúng cách hoặc thiếu kiểm tra, dẫn đến giá bị thao túng ác ý.
Sử dụng số lượng token của một số địa chỉ làm biến số tính toán, trong khi số dư token của những địa chỉ này có thể tạm thời tăng hoặc giảm.
Tấn công tái nhập
Một trong những rủi ro chính khi gọi hợp đồng bên ngoài là chúng có thể chiếm quyền kiểm soát luồng và thực hiện các thay đổi không mong đợi đối với dữ liệu. Ví dụ, trong hàm rút tiền, nếu số dư của người dùng chỉ được đặt thành 0 vào cuối hàm, thì việc gọi lại có thể dẫn đến việc rút tiền nhiều lần từ số dư.
Giải quyết vấn đề tái nhập cần lưu ý những điểm sau:
Không chỉ cần ngăn chặn vấn đề tái nhập của một hàm đơn.
Thực hiện mã hóa theo mô hình Checks-Effects-Interactions.
Sử dụng modifier đã được kiểm nghiệm theo thời gian để ngăn chặn tấn công tái nhập.
Cần lưu ý rằng việc lặp lại tạo ra những chiếc bánh xe thường làm tăng nguy cơ xảy ra lỗi. Sử dụng các thực tiễn an toàn tốt nhất đã có trong ngành thường đáng tin cậy hơn so với việc tự phát triển.
Đề xuất an toàn
Đề xuất an toàn cho dự án
Tuân thủ các thực hành an toàn tốt nhất trong phát triển hợp đồng.
Thực hiện tính năng nâng cấp và tạm dừng hợp đồng.
Áp dụng cơ chế khóa thời gian.
Tăng cường đầu tư vào an ninh, xây dựng hệ thống an ninh hoàn thiện.
Nâng cao nhận thức về an toàn cho tất cả nhân viên.
Ngăn chặn hành vi sai trái nội bộ, đồng thời nâng cao hiệu suất và tăng cường kiểm soát rủi ro.
Cẩn thận đưa vào dịch vụ bên thứ ba, thực hiện xác minh an toàn cho cả upstream và downstream.
Người dùng/LP làm thế nào để xác định độ an toàn của hợp đồng thông minh
Kiểm tra xem hợp đồng có mã nguồn mở hay không.
Xác nhận Owner có sử dụng cơ chế đa chữ ký phi tập trung hay không.
Xem tình hình giao dịch của hợp đồng đã có.
Hiểu xem hợp đồng có phải là hợp đồng ủy quyền hay không, có thể nâng cấp hay không, có có khóa thời gian hay không.
Xác nhận hợp đồng có được nhiều tổ chức kiểm toán hay không, và đánh giá quyền hạn của Owner có quá lớn hay không.
Chú ý đến loại oracle mà dự án sử dụng và độ tin cậy của nó.
Bằng cách chú ý đến những khía cạnh này, người dùng có thể đánh giá tốt hơn tính an toàn của dự án, giảm thiểu rủi ro tham gia.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
7
Chia sẻ
Bình luận
0/400
NFTArtisanHQ
· 7giờ trước
phân tích hấp dẫn, nhưng thay vì phòng ngừa, hãy thảo luận về topo thẩm mỹ của các cuộc khai thác defi...
Xem bản gốcTrả lời0
BloodInStreets
· 7giờ trước
Cắt lỗ才是最保险的防护
Xem bản gốcTrả lời0
GateUser-e51e87c7
· 7giờ trước
Học về an toàn vẫn bị trộm
Xem bản gốcTrả lời0
mev_me_maybe
· 7giờ trước
Ôi, đầu óc không tốt, không nhớ được.
Xem bản gốcTrả lời0
ForumMiningMaster
· 8giờ trước
Đồ ngốc trước khi vào thị trường nhất định phải học trước
Tài chính phi tập trung an toàn: Khám phá các lỗ hổng phổ biến và chiến lược phòng chống
Tài chính phi tập trung An toàn: Các lỗ hổng bảo mật phổ biến và biện pháp phòng ngừa
Gần đây, một chuyên gia an ninh đã chia sẻ một khóa học về an ninh DeFi cho các thành viên trong cộng đồng. Chuyên gia này đã xem xét những sự kiện an ninh nghiêm trọng mà ngành Web3 đã gặp phải trong hơn một năm qua, thảo luận về nguyên nhân của những sự kiện này cũng như các biện pháp phòng ngừa, đồng thời tóm tắt các lỗ hổng an ninh thường gặp trong hợp đồng thông minh và biện pháp phòng ngừa, cũng như cung cấp một số lời khuyên an ninh cho các dự án và người dùng bình thường.
Các loại lỗ hổng DeFi phổ biến
Các loại lỗ hổng thường gặp trong DeFi bao gồm cho vay chớp nhoáng, thao túng giá, vấn đề quyền hàm, gọi bên ngoài tùy ý, vấn đề hàm fallback, lỗ hổng logic kinh doanh, rò rỉ khóa riêng và tấn công tái nhập. Bài viết này sẽ tập trung vào ba loại: cho vay chớp nhoáng, thao túng giá và tấn công tái nhập.
Vay chớp nhoáng
Mặc dù vay chớp nhoáng là một đổi mới trong Tài chính phi tập trung, nhưng cũng bị tin tặc lợi dụng để tấn công. Các kẻ tấn công thường vay một lượng lớn tiền thông qua vay chớp nhoáng, thao túng giá cả hoặc tấn công logic kinh doanh. Các nhà phát triển cần xem xét xem chức năng của hợp đồng có thể bị bất thường do số tiền khổng lồ hay không, hoặc có thể thông qua số tiền lớn trong một giao dịch đơn lẻ để tương tác với nhiều hàm và nhận phần thưởng không hợp lệ hay không.
Nhiều dự án Tài chính phi tập trung có vẻ mang lại lợi nhuận cao, nhưng thực tế khả năng của các nhà phát triển dự án rất khác nhau. Một số dự án có thể mua mã nguồn, ngay cả khi mã nguồn không có lỗ hổng, về mặt logic vẫn có thể tồn tại vấn đề. Ví dụ, một số dự án sẽ phát thưởng dựa trên số lượng token của người nắm giữ vào thời điểm cố định, nhưng lại bị kẻ tấn công lợi dụng vay chớp nhoáng để mua một lượng lớn token, từ đó nhận được phần lớn phần thưởng.
thao túng giá
Vấn đề thao túng giá cả có liên quan chặt chẽ đến vay chớp nhoáng. Các vấn đề này chủ yếu xuất phát từ việc một số tham số trong quá trình tính toán giá có thể được người dùng kiểm soát. Có hai loại vấn đề phổ biến:
Tấn công tái nhập
Một trong những rủi ro chính khi gọi hợp đồng bên ngoài là chúng có thể chiếm quyền kiểm soát luồng và thực hiện các thay đổi không mong đợi đối với dữ liệu. Ví dụ, trong hàm rút tiền, nếu số dư của người dùng chỉ được đặt thành 0 vào cuối hàm, thì việc gọi lại có thể dẫn đến việc rút tiền nhiều lần từ số dư.
Giải quyết vấn đề tái nhập cần lưu ý những điểm sau:
Cần lưu ý rằng việc lặp lại tạo ra những chiếc bánh xe thường làm tăng nguy cơ xảy ra lỗi. Sử dụng các thực tiễn an toàn tốt nhất đã có trong ngành thường đáng tin cậy hơn so với việc tự phát triển.
Đề xuất an toàn
Đề xuất an toàn cho dự án
Người dùng/LP làm thế nào để xác định độ an toàn của hợp đồng thông minh
Bằng cách chú ý đến những khía cạnh này, người dùng có thể đánh giá tốt hơn tính an toàn của dự án, giảm thiểu rủi ro tham gia.