Finanzas descentralizadas comunes vulnerabilidades de seguridad y medidas de prevención
Recientemente, un experto en seguridad compartió una clase de seguridad DeFi con los miembros de la comunidad. El experto revisó los importantes incidentes de seguridad que ha sufrido la industria Web3 en el último año, exploró las razones de estos eventos y cómo evitarlos, resumió las vulnerabilidades de seguridad comunes en los contratos inteligentes y las medidas preventivas, y dio algunos consejos de seguridad para los desarrolladores de proyectos y los usuarios comunes.
Los tipos comunes de vulnerabilidades en las Finanzas descentralizadas incluyen préstamos flash, manipulación de precios, problemas de permisos de funciones, llamadas externas arbitrarias, problemas con la función fallback, vulnerabilidades de lógica de negocio, filtración de claves privadas y reentradas, entre otros. Este artículo se centrará en los préstamos flash, la manipulación de precios y los ataques de reentrada.
Préstamo relámpago
El préstamo relámpago es una innovación en las Finanzas descentralizadas, pero también es comúnmente utilizado por hackers para llevar a cabo ataques. Los atacantes piden prestados grandes cantidades de fondos a través de préstamos relámpago, manipulando los precios o atacando la lógica del negocio. Los desarrolladores deben considerar si la funcionalidad del contrato podría verse afectada por grandes cantidades de fondos, o si es posible obtener recompensas indebidas al interactuar con múltiples funciones en una sola transacción.
Muchos proyectos de Finanzas descentralizadas parecen tener altos rendimientos, pero en realidad el nivel de los equipos detrás de ellos varía. Algunos proyectos pueden haber comprado su código, y aunque el código en sí no tenga vulnerabilidades, todavía pueden existir problemas lógicos. Por ejemplo, algunos proyectos otorgan recompensas en momentos fijos según la cantidad de tokens que poseen los titulares, pero los atacantes pueden aprovechar los préstamos relámpago para comprar grandes cantidades de tokens y obtener la mayor parte de las recompensas cuando se distribuyen.
Manipulación de precios
Los problemas de manipulación de precios están estrechamente relacionados con los préstamos relámpago, principalmente debido a que ciertos parámetros en el cálculo de precios pueden ser controlados por los usuarios. Hay dos tipos comunes de problemas:
Al calcular el precio se utilizan datos de terceros, pero el uso no es correcto o falta una verificación, lo que lleva a que el precio sea manipulado maliciosamente.
Usar la cantidad de tokens de ciertas direcciones como variable de cálculo, y el saldo de tokens de estas direcciones puede ser aumentado o disminuido temporalmente.
Ataque de reentrada
Un ataque de reentrada es uno de los principales peligros que se pueden enfrentar al llamar a contratos externos. Un atacante podría tomar el control del flujo y realizar cambios inesperados en los datos.
Existen muchas formas de reentrada para diferentes contratos, que pueden involucrar diferentes funciones de un contrato o funciones de múltiples contratos diferentes. Al resolver problemas de reentrada, se deben tener en cuenta los siguientes puntos:
No solo hay que prevenir el problema de reentrada de una única función.
Seguir el patrón de Checks-Effects-Interactions al codificar
Utilizar un modificador de protección contra reentradas que haya sido probado con el tiempo
En el ámbito de Web3, es más sensato utilizar prácticas de seguridad maduras que reinventar la rueda. Usar soluciones bien verificadas puede reducir significativamente la probabilidad de que surjan problemas.
Sugerencias de seguridad del proyecto
Seguir las mejores prácticas de seguridad en el desarrollo de contratos
Implementar funciones de actualización y pausa de contratos
Adoptar un mecanismo de bloqueo temporal
Aumentar la inversión en seguridad y establecer un sistema de seguridad completo.
Aumentar la conciencia de seguridad de todos los empleados
Prevenir la mala conducta interna, mejorando la eficiencia y al mismo tiempo fortaleciendo el control de riesgos.
Introduzca servicios de terceros con precaución, siguiendo el principio de que "por defecto, tanto el upstream como el downstream son inseguros".
¿Cómo pueden los usuarios juzgar si un contrato inteligente es seguro?
Confirma si el contrato es de código abierto
Verifique si el propietario utiliza un mecanismo de múltiples firmas descentralizado.
Ver la situación de las transacciones existentes del contrato
Confirme si el contrato es un contrato de agencia, si es actualizable y si tiene un bloqueo de tiempo.
Verifica si el contrato ha sido auditado por varias instituciones y si los permisos del Owner son demasiado amplios.
Presta atención a si el oráculo utilizado por el proyecto es confiable.
Al prestar atención a estos puntos, los usuarios pueden evaluar mejor la seguridad de los contratos inteligentes y reducir el riesgo de participar en proyectos de Finanzas descentralizadas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
18 me gusta
Recompensa
18
6
Republicar
Compartir
Comentar
0/400
SnapshotStriker
· 08-09 05:42
Este agujero tiene demasiadas fallas, después de minar, se minan los agujeros.
Ver originalesResponder0
down_only_larry
· 08-09 05:41
Otra vez en la batalla defensiva~
Ver originalesResponder0
ContractFreelancer
· 08-09 05:38
Es hora de levantarlo, hermanos.
Ver originalesResponder0
MEVVictimAlliance
· 08-09 05:33
tomar a la gente por tonta solo se entiende al evitarlo.
Ver originalesResponder0
ValidatorVibes
· 08-09 05:25
la gobernanza está rota af... ¿cuándo los protocolos finalmente solucionarán estos vectores de ataque smh
Seguridad en DeFi: Profundidad en el análisis de vulnerabilidades comunes y estrategias de protección
Finanzas descentralizadas comunes vulnerabilidades de seguridad y medidas de prevención
Recientemente, un experto en seguridad compartió una clase de seguridad DeFi con los miembros de la comunidad. El experto revisó los importantes incidentes de seguridad que ha sufrido la industria Web3 en el último año, exploró las razones de estos eventos y cómo evitarlos, resumió las vulnerabilidades de seguridad comunes en los contratos inteligentes y las medidas preventivas, y dio algunos consejos de seguridad para los desarrolladores de proyectos y los usuarios comunes.
Los tipos comunes de vulnerabilidades en las Finanzas descentralizadas incluyen préstamos flash, manipulación de precios, problemas de permisos de funciones, llamadas externas arbitrarias, problemas con la función fallback, vulnerabilidades de lógica de negocio, filtración de claves privadas y reentradas, entre otros. Este artículo se centrará en los préstamos flash, la manipulación de precios y los ataques de reentrada.
Préstamo relámpago
El préstamo relámpago es una innovación en las Finanzas descentralizadas, pero también es comúnmente utilizado por hackers para llevar a cabo ataques. Los atacantes piden prestados grandes cantidades de fondos a través de préstamos relámpago, manipulando los precios o atacando la lógica del negocio. Los desarrolladores deben considerar si la funcionalidad del contrato podría verse afectada por grandes cantidades de fondos, o si es posible obtener recompensas indebidas al interactuar con múltiples funciones en una sola transacción.
Muchos proyectos de Finanzas descentralizadas parecen tener altos rendimientos, pero en realidad el nivel de los equipos detrás de ellos varía. Algunos proyectos pueden haber comprado su código, y aunque el código en sí no tenga vulnerabilidades, todavía pueden existir problemas lógicos. Por ejemplo, algunos proyectos otorgan recompensas en momentos fijos según la cantidad de tokens que poseen los titulares, pero los atacantes pueden aprovechar los préstamos relámpago para comprar grandes cantidades de tokens y obtener la mayor parte de las recompensas cuando se distribuyen.
Manipulación de precios
Los problemas de manipulación de precios están estrechamente relacionados con los préstamos relámpago, principalmente debido a que ciertos parámetros en el cálculo de precios pueden ser controlados por los usuarios. Hay dos tipos comunes de problemas:
Ataque de reentrada
Un ataque de reentrada es uno de los principales peligros que se pueden enfrentar al llamar a contratos externos. Un atacante podría tomar el control del flujo y realizar cambios inesperados en los datos.
Existen muchas formas de reentrada para diferentes contratos, que pueden involucrar diferentes funciones de un contrato o funciones de múltiples contratos diferentes. Al resolver problemas de reentrada, se deben tener en cuenta los siguientes puntos:
En el ámbito de Web3, es más sensato utilizar prácticas de seguridad maduras que reinventar la rueda. Usar soluciones bien verificadas puede reducir significativamente la probabilidad de que surjan problemas.
Sugerencias de seguridad del proyecto
¿Cómo pueden los usuarios juzgar si un contrato inteligente es seguro?
Al prestar atención a estos puntos, los usuarios pueden evaluar mejor la seguridad de los contratos inteligentes y reducir el riesgo de participar en proyectos de Finanzas descentralizadas.