الثغرات الأمنية الشائعة في التمويل اللامركزي ووسائل الوقاية منها
مؤخراً، شارك أحد خبراء الأمان دورة حول أمان التمويل اللامركزي، حيث استعرض الأحداث الأمنية الكبرى التي واجهتها صناعة Web3 مؤخراً، وحلل أسباب حدوث هذه الأحداث وكيفية تجنبها، كما لخص الثغرات الأمنية الشائعة في العقود الذكية وتدابير الوقاية. ستتناول هذه المقالة بشكل رئيسي ثلاثة أنواع شائعة من الثغرات: القروض الفورية، والتحكم في الأسعار، وهجمات إعادة الدخول.
قرض البرق هو نوع من الابتكار في التمويل اللامركزي، لكنه غالبًا ما يُستخدم من قبل القراصنة لتنفيذ الهجمات:
المهاجمون يستعيرون كميات كبيرة من الأموال من خلال القروض الفورية، ويتManipulate الأسعار أو يهاجمون منطق الأعمال
يجب على المطورين أن يأخذوا في الاعتبار ما إذا كانت وظائف العقد ستتعطل بسبب الأموال الضخمة، أو إذا كانت ستستخدم للحصول على مكافآت مفرطة في صفقة واحدة.
الأسئلة الشائعة: حساب المكافآت باستخدام عدد الرموز، أو استخدام عدد الرموز في زوج التداول في DEX للمشاركة في الحساب
ظهرت العديد من المشاكل في العامين الماضيين. بعض مشاريع التمويل اللامركزي تبدو ذات عوائد مرتفعة، لكن في الحقيقة مستوى التطوير متفاوت. على سبيل المثال، هناك مشاريع تمنح المكافآت بناءً على الحيازة في وقت محدد، وتم استغلالها من قبل المهاجمين الذين استخدموا القروض السريعة لشراء كميات كبيرة من الرموز للحصول على معظم المكافآت.
التحكم في الأسعار
تتعلق عمليات التلاعب في الأسعار ارتباطًا وثيقًا بالقروض الفورية، وهناك مشكلتان رئيسيتان:
عند حساب الأسعار، يتم استخدام بيانات الطرف الثالث، ولكن يتم استخدامها بطريقة غير صحيحة أو تفتقر إلى الفحص.
استخدام رصيد التوكنات لبعض العناوين كمتغير حسابي، حيث يمكن زيادة أو تقليل هذه الأرصدة مؤقتًا.
هجوم إعادة الإدخال
الخطر الرئيسي من استدعاء العقود الخارجية هو إمكانية السيطرة على تدفق التحكم، مما يؤدي إلى تعديل البيانات بطرق غير متوقعة.
مثال نموذجي على هجوم إعادة الدخول:
صلابة
رسم الخرائط (address = > uint) أرصدة مستخدم خاصة ؛
وظيفة withdrawBalance() عامة {
uint amountToWithdraw = userBalances[msg.sender];
(bool النجاح ، ) = msg.sender.call.value(amountToWithdraw)( "" );
require(success).
أرصدة المستخدم[msg.sender] = 0;
}
نظرًا لأن رصيد المستخدم يتم تصفيره فقط في نهاية الدالة، يمكن استدعاء الدالة عدة مرات لسحب الأموال.
لحل مشكلة إعادة الدخول يجب الانتباه إلى:
لا يقتصر على منع إعادة إدخال وظيفة واحدة
اتبع نمط الشيكات والتأثيرات والتفاعلات
استخدم مُعدل منع إعادة الإدخال المُعتمد
يوصى باستخدام ممارسات الأمان الناضجة، وتجنب إعادة اختراع العجلة.
نصائح أمنية لفريق المشروع
اتباع أفضل ممارسات الأمان في تطوير العقود
تنفيذ قابلية ترقية العقد، وظيفة الإيقاف
استخدام قفل الوقت
بناء نظام أمان متكامل
تعزيز الوعي الأمني بين جميع الأفراد
منع الأذى الداخلي، تعزيز الكفاءة مع تحسين إدارة المخاطر
توخى الحذر عند إدخال طرف ثالث، افترض أنه غير آمن وقم بالتحقق.
كيف يمكن للمستخدمين تقييم أمان العقود الذكية
هل العقد مفتوح المصدر
هل استخدم المالك التوقيع المتعدد اللامركزي؟
عرض حالة التداول الحالية للعقد
هل يمكن ترقية العقد، وهل هناك قفل زمني
هل تقبل التدقيق من عدة جهات، وهل صلاحيات المالك كبيرة جداً؟
انتبه إلى موثوقية الأوراق المالية
بشكل عام، تعتبر الأمان في مجال التمويل اللامركزي الأساسي. يجب على فريق المشروع بناء نظام أمان شامل، ويجب على المستخدمين أيضًا أن يكونوا يقظين وأن يتعاملوا بحذر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 14
أعجبني
14
6
مشاركة
تعليق
0/400
GateUser-bd883c58
· 07-21 12:00
لا بد من ترك باب خلفي!
شاهد النسخة الأصليةرد0
LayoffMiner
· 07-21 02:24
ها لا بد أنه كما هو المعتاد، طرق غسيل التعدين المتنوعة
شاهد النسخة الأصليةرد0
LiquidationWatcher
· 07-21 02:19
هناك الكثير من الثغرات، ما الفائدة من اللعب في التمويل اللامركزي؟
التمويل اللامركزي ثلاث مخاطر أمنية رئيسية: القروض السريعة، التلاعب بالأسعار وهجمات إعادة الإدخال
الثغرات الأمنية الشائعة في التمويل اللامركزي ووسائل الوقاية منها
مؤخراً، شارك أحد خبراء الأمان دورة حول أمان التمويل اللامركزي، حيث استعرض الأحداث الأمنية الكبرى التي واجهتها صناعة Web3 مؤخراً، وحلل أسباب حدوث هذه الأحداث وكيفية تجنبها، كما لخص الثغرات الأمنية الشائعة في العقود الذكية وتدابير الوقاية. ستتناول هذه المقالة بشكل رئيسي ثلاثة أنواع شائعة من الثغرات: القروض الفورية، والتحكم في الأسعار، وهجمات إعادة الدخول.
! قسم أمان Cobo DeFi (الجزء الثاني) :D الثغرات الأمنية الشائعة والوقاية من eFi
القرض السريع
قرض البرق هو نوع من الابتكار في التمويل اللامركزي، لكنه غالبًا ما يُستخدم من قبل القراصنة لتنفيذ الهجمات:
ظهرت العديد من المشاكل في العامين الماضيين. بعض مشاريع التمويل اللامركزي تبدو ذات عوائد مرتفعة، لكن في الحقيقة مستوى التطوير متفاوت. على سبيل المثال، هناك مشاريع تمنح المكافآت بناءً على الحيازة في وقت محدد، وتم استغلالها من قبل المهاجمين الذين استخدموا القروض السريعة لشراء كميات كبيرة من الرموز للحصول على معظم المكافآت.
التحكم في الأسعار
تتعلق عمليات التلاعب في الأسعار ارتباطًا وثيقًا بالقروض الفورية، وهناك مشكلتان رئيسيتان:
هجوم إعادة الإدخال
الخطر الرئيسي من استدعاء العقود الخارجية هو إمكانية السيطرة على تدفق التحكم، مما يؤدي إلى تعديل البيانات بطرق غير متوقعة.
مثال نموذجي على هجوم إعادة الدخول: صلابة رسم الخرائط (address = > uint) أرصدة مستخدم خاصة ؛
وظيفة withdrawBalance() عامة { uint amountToWithdraw = userBalances[msg.sender]; (bool النجاح ، ) = msg.sender.call.value(amountToWithdraw)( "" ); require(success). أرصدة المستخدم[msg.sender] = 0; }
نظرًا لأن رصيد المستخدم يتم تصفيره فقط في نهاية الدالة، يمكن استدعاء الدالة عدة مرات لسحب الأموال.
لحل مشكلة إعادة الدخول يجب الانتباه إلى:
يوصى باستخدام ممارسات الأمان الناضجة، وتجنب إعادة اختراع العجلة.
نصائح أمنية لفريق المشروع
كيف يمكن للمستخدمين تقييم أمان العقود الذكية
بشكل عام، تعتبر الأمان في مجال التمويل اللامركزي الأساسي. يجب على فريق المشروع بناء نظام أمان شامل، ويجب على المستخدمين أيضًا أن يكونوا يقظين وأن يتعاملوا بحذر.