التمويل اللامركزي الأخطاء الشائعة في الأمان والتدابير الوقائية
مؤخراً، شارك خبير أمني دروسًا حول أمان التمويل اللامركزي لأعضاء المجتمع. استعرض الخبير الأحداث الأمنية الكبرى التي واجهتها صناعة Web3 خلال العام الماضي، واستكشف أسباب حدوث هذه الأحداث وكيفية تجنبها، وقدم ملخصًا للثغرات الأمنية الشائعة في العقود الذكية ووسائل الوقاية منها، كما قدم بعض النصائح الأمنية للجهات المشروعة والمستخدمين العاديين.
تشمل الأنواع الشائعة من ثغرات التمويل اللامركزي الاقتراض السريع، والتلاعب بالأسعار، ومشاكل صلاحيات الدوال، والاتصالات الخارجية العشوائية، ومشاكل دالة العودة، وثغرات منطق العمل، وتسرب المفاتيح الخاصة، والهجمات المتكررة. ستتناول هذه المقالة بشكل رئيسي الاقتراض السريع، والتلاعب بالأسعار، والهجمات المتكررة.
القروض الفورية هي ابتكار في التمويل اللامركزي، لكنها غالبًا ما تُستخدم من قبل القراصنة لشن الهجمات. يقوم المهاجمون بإقراض كميات كبيرة من الأموال من خلال القروض الفورية، للتلاعب بالأسعار أو مهاجمة المنطق التجاري. يحتاج المطورون إلى النظر في ما إذا كانت وظائف العقد قد تؤدي إلى استثنائيات بسبب كميات كبيرة من الأموال، أو ما إذا كان من الممكن الحصول على مكافآت غير مستحقة من خلال التفاعل مع عدة وظائف في صفقة واحدة بمبالغ ضخمة.
يبدو أن العديد من مشاريع التمويل اللامركزي تحقق عوائد مرتفعة، لكن في الواقع مستوى فرق العمل يختلف بشكل كبير. قد تكون بعض أكواد المشاريع تم شراؤها، وحتى لو لم يكن هناك ثغرات في الكود نفسه، فقد تكون هناك مشاكل من الناحية المنطقية. على سبيل المثال، بعض المشاريع تقوم بتوزيع المكافآت في أوقات محددة بناءً على عدد الرموز التي يحتفظ بها حاملوها، لكن يمكن للمهاجمين استغلال القروض السريعة لشراء كميات كبيرة من الرموز، وبالتالي الحصول على معظم المكافآت عند توزيعها.
التحكم في الأسعار
تتعلق مشكلة التلاعب بالأسعار ارتباطًا وثيقًا بالقروض السريعة، وذلك بسبب إمكانية تحكم المستخدمين في بعض المعلمات أثناء حساب الأسعار. هناك نوعان شائعان من المشاكل:
عند حساب الأسعار، يتم استخدام بيانات من طرف ثالث، ولكن طريقة الاستخدام غير صحيحة أو هناك نقص في التحقق، مما يؤدي إلى التلاعب بالأسعار بشكل خبيث.
استخدام كمية الرموز من بعض العناوين كمتغير حسابي، في حين يمكن زيادة أو تقليل رصيد الرموز لتلك العناوين بشكل مؤقت.
هجوم إعادة الدخول
هجوم إعادة الدخول هو واحد من المخاطر الرئيسية التي قد تواجهها عند استدعاء العقود الخارجية. قد يتمكن المهاجم من السيطرة على تدفق التحكم وإجراء تغييرات غير متوقعة على البيانات.
هناك العديد من الطرق التي يمكن أن تحدث بها إعادة الدخول بالنسبة للعقود المختلفة، وقد تشمل وظائف مختلفة من العقد أو وظائف لعقود مختلفة متعددة. عند معالجة مشكلة إعادة الدخول، يجب الانتباه إلى النقاط التالية:
يجب أن نمنع مشكلة إعادة الإدخال للدالة الواحدة فقط
اتباع نمط Checks-Effects-Interactions في الترميز
استخدم مُعدِّل منع إعادة الدخول الذي تم التحقق من صلاحيته عبر الزمن
في مجال Web3، من الحكمة استخدام ممارسات الأمان الناضجة بدلاً من إعادة اختراع العجلة. يمكن أن يؤدي استخدام الحلول التي تم التحقق منها بشكل كامل إلى تقليل احتمال حدوث المشاكل بشكل كبير.
نصائح الأمان لفريق المشروع
اتباع أفضل ممارسات الأمان في تطوير العقود
تنفيذ ميزات ترقية العقد وإيقافه
استخدام آلية القفل الزمني
زيادة الاستثمارات في الأمان، وإنشاء نظام أمان متكامل
تعزيز الوعي الأمني لجميع الموظفين
منع الأذى الداخلي، مع تعزيز كفاءة التحكم في المخاطر في نفس الوقت
توخي الحذر عند إدخال خدمات الطرف الثالث، واتباع مبدأ "جميع الأطراف الافتراضية غير آمنة"
كيف يمكن للمستخدمين تحديد ما إذا كانت العقود الذكية آمنة
تأكيد ما إذا كانت العقد مفتوحة المصدر
تحقق مما إذا كان المالك قد اعتمد آلية توقيع متعددة لامركزية.
عرض حالة التداول الحالية للعقد
تأكد مما إذا كان العقد هو عقد وكيل، وما إذا كان قابلاً للتحديث، وما إذا كان يحتوي على قفل زمني
تحقق مما إذا كانت العقد قد خضعت لتدقيق من قبل عدة جهات، وما إذا كانت صلاحيات المالك كبيرة جدًا.
انتبه إلى ما إذا كانت الأوراق المالية المستخدمة في المشروع موثوقة
من خلال التركيز على هذه النقاط، يمكن للمستخدمين تقييم أمان العقود الذكية بشكل أفضل وتقليل مخاطر المشاركة في مشاريع التمويل اللامركزي.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 18
أعجبني
18
6
إعادة النشر
مشاركة
تعليق
0/400
SnapshotStriker
· 08-09 05:42
هذه الثغرات كثيرة جدًا ، بعد الانتهاء من التعدين ، يتم اكتشاف الثغرات.
شاهد النسخة الأصليةرد0
down_only_larry
· 08-09 05:41
مرة أخرى في معركة الهجوم والدفاع ~
شاهد النسخة الأصليةرد0
ContractFreelancer
· 08-09 05:38
حان وقت الرفع أيها الإخوة
شاهد النسخة الأصليةرد0
MEVVictimAlliance
· 08-09 05:33
خداع الناس لتحقيق الربح حمقى才懂规避啊
شاهد النسخة الأصليةرد0
ValidatorVibes
· 08-09 05:25
الحوكمة معطلة للغاية... متى ستقوم البروتوكولات أخيرًا بإصلاح هذه نقاط الهجوم، يا إلهي؟
أمان التمويل اللامركزي: تحليل عميق للثغرات الشائعة واستراتيجيات الحماية
التمويل اللامركزي الأخطاء الشائعة في الأمان والتدابير الوقائية
مؤخراً، شارك خبير أمني دروسًا حول أمان التمويل اللامركزي لأعضاء المجتمع. استعرض الخبير الأحداث الأمنية الكبرى التي واجهتها صناعة Web3 خلال العام الماضي، واستكشف أسباب حدوث هذه الأحداث وكيفية تجنبها، وقدم ملخصًا للثغرات الأمنية الشائعة في العقود الذكية ووسائل الوقاية منها، كما قدم بعض النصائح الأمنية للجهات المشروعة والمستخدمين العاديين.
تشمل الأنواع الشائعة من ثغرات التمويل اللامركزي الاقتراض السريع، والتلاعب بالأسعار، ومشاكل صلاحيات الدوال، والاتصالات الخارجية العشوائية، ومشاكل دالة العودة، وثغرات منطق العمل، وتسرب المفاتيح الخاصة، والهجمات المتكررة. ستتناول هذه المقالة بشكل رئيسي الاقتراض السريع، والتلاعب بالأسعار، والهجمات المتكررة.
! قسم أمان Cobo DeFi (الجزء الثاني) :D الثغرات الأمنية الشائعة والوقاية من eFi
قرض البرق
القروض الفورية هي ابتكار في التمويل اللامركزي، لكنها غالبًا ما تُستخدم من قبل القراصنة لشن الهجمات. يقوم المهاجمون بإقراض كميات كبيرة من الأموال من خلال القروض الفورية، للتلاعب بالأسعار أو مهاجمة المنطق التجاري. يحتاج المطورون إلى النظر في ما إذا كانت وظائف العقد قد تؤدي إلى استثنائيات بسبب كميات كبيرة من الأموال، أو ما إذا كان من الممكن الحصول على مكافآت غير مستحقة من خلال التفاعل مع عدة وظائف في صفقة واحدة بمبالغ ضخمة.
يبدو أن العديد من مشاريع التمويل اللامركزي تحقق عوائد مرتفعة، لكن في الواقع مستوى فرق العمل يختلف بشكل كبير. قد تكون بعض أكواد المشاريع تم شراؤها، وحتى لو لم يكن هناك ثغرات في الكود نفسه، فقد تكون هناك مشاكل من الناحية المنطقية. على سبيل المثال، بعض المشاريع تقوم بتوزيع المكافآت في أوقات محددة بناءً على عدد الرموز التي يحتفظ بها حاملوها، لكن يمكن للمهاجمين استغلال القروض السريعة لشراء كميات كبيرة من الرموز، وبالتالي الحصول على معظم المكافآت عند توزيعها.
التحكم في الأسعار
تتعلق مشكلة التلاعب بالأسعار ارتباطًا وثيقًا بالقروض السريعة، وذلك بسبب إمكانية تحكم المستخدمين في بعض المعلمات أثناء حساب الأسعار. هناك نوعان شائعان من المشاكل:
هجوم إعادة الدخول
هجوم إعادة الدخول هو واحد من المخاطر الرئيسية التي قد تواجهها عند استدعاء العقود الخارجية. قد يتمكن المهاجم من السيطرة على تدفق التحكم وإجراء تغييرات غير متوقعة على البيانات.
هناك العديد من الطرق التي يمكن أن تحدث بها إعادة الدخول بالنسبة للعقود المختلفة، وقد تشمل وظائف مختلفة من العقد أو وظائف لعقود مختلفة متعددة. عند معالجة مشكلة إعادة الدخول، يجب الانتباه إلى النقاط التالية:
في مجال Web3، من الحكمة استخدام ممارسات الأمان الناضجة بدلاً من إعادة اختراع العجلة. يمكن أن يؤدي استخدام الحلول التي تم التحقق منها بشكل كامل إلى تقليل احتمال حدوث المشاكل بشكل كبير.
نصائح الأمان لفريق المشروع
كيف يمكن للمستخدمين تحديد ما إذا كانت العقود الذكية آمنة
من خلال التركيز على هذه النقاط، يمكن للمستخدمين تقييم أمان العقود الذكية بشكل أفضل وتقليل مخاطر المشاركة في مشاريع التمويل اللامركزي.