Finanças Descentralizadas comuns vulnerabilidades de segurança e medidas de prevenção
Recentemente, um especialista em segurança compartilhou uma aula sobre segurança em Finanças Descentralizadas para os membros da comunidade. O especialista revisou os principais eventos de segurança que o setor Web3 enfrentou no último ano e meio, discutiu as razões por trás desses eventos e como evitá-los, resumiu as vulnerabilidades de segurança comuns em contratos inteligentes e as medidas de prevenção, e deu algumas recomendações de segurança para as equipes de projeto e usuários comuns.
Os tipos comuns de vulnerabilidades em Finanças Descentralizadas incluem empréstimos relâmpago, manipulação de preços, problemas de permissões de funções, chamadas externas arbitrárias, problemas com funções de fallback, vulnerabilidades de lógica de negócios, vazamento de chaves privadas e reentrâncias. Este artigo irá focar nos empréstimos relâmpago, manipulação de preços e ataques de reentrada.
Empréstimo Relâmpago
Empréstimos relâmpago são uma inovação nas Finanças Descentralizadas, mas também são frequentemente utilizados por hackers para realizar ataques. Os atacantes emprestam grandes quantias através de empréstimos relâmpago, manipulando preços ou atacando a lógica de negócios. Os desenvolvedores precisam considerar se a funcionalidade dos contratos pode levar a anomalias devido a grandes quantias de dinheiro, ou se é possível obter recompensas indevidas ao interagir com várias funções em uma única transação usando grandes quantias.
Muitos projetos de Finanças Descentralizadas parecem ter retornos muito altos, mas na verdade o nível das equipes por trás dos projetos varia bastante. Alguns códigos de projetos podem ter sido comprados; mesmo que o código em si não tenha vulnerabilidades, pode haver problemas lógicos. Por exemplo, alguns projetos distribuem recompensas em horários fixos com base na quantidade de tokens que os detentores possuem, mas os atacantes podem aproveitar-se de empréstimos relâmpago para comprar grandes quantidades de tokens e obter a maior parte das recompensas no momento da distribuição.
Manipulação de Preços
O problema de manipulação de preços está intimamente relacionado com os empréstimos relâmpago, principalmente devido a certos parâmetros que podem ser controlados pelos usuários durante o cálculo de preços. Existem dois tipos comuns de problemas:
Os preços são calculados utilizando dados de terceiros, mas a forma de utilização não é correta ou faltam verificações, levando a manipulações maliciosas dos preços.
Usar a quantidade de tokens de certos endereços como variável de cálculo, enquanto o saldo de tokens desses endereços pode ser temporariamente aumentado ou diminuído.
Ataque de Reentrada
Um ataque de reentrada é um dos principais perigos que podem ser enfrentados ao chamar contratos externos. Um atacante pode assumir o fluxo de controle e fazer alterações inesperadas nos dados.
Existem muitas maneiras de reentrância para diferentes contratos, que podem envolver diferentes funções de um contrato ou funções de vários contratos diferentes. Ao resolver problemas de reentrância, é necessário ter em mente os seguintes pontos:
Não só devemos prevenir problemas de reentrada de uma única função.
Seguir o padrão Checks-Effects-Interactions ao codificar
Usar um modifier de proteção contra reentrada testado ao longo do tempo
No domínio do Web3, é mais sensato usar práticas de segurança maduras do que reinventar a roda. A utilização de soluções bem testadas pode reduzir significativamente a probabilidade de problemas.
Recomendações de segurança para o projeto
Seguir as melhores práticas de segurança para o desenvolvimento de contratos
Implementar funções de atualização e pausa do contrato
Adotar um mecanismo de bloqueio de tempo
Aumentar o investimento em segurança e estabelecer um sistema de segurança completo.
Aumentar a consciência de segurança de todos os funcionários
Prevenir comportamentos maliciosos internos, enquanto se aumenta a eficiência e se reforça o controle de riscos
Introduza serviços de terceiros com cautela, seguindo o princípio de que "por defeito, todos os upstream e downstream são inseguros"
Como os usuários podem determinar se um contrato inteligente é seguro
Confirmar se o contrato é de código aberto
Verifique se o Owner utiliza um mecanismo de múltiplas assinaturas descentralizado.
Verifique a situação das transações existentes do contrato
Confirme se o contrato é um contrato de agência, se é atualizável e se tem um bloqueio de tempo.
Verifique se o contrato foi auditado por várias instituições e se os direitos do Owner são excessivos.
Preste atenção se o oráculo utilizado pelo projeto é confiável
Ao prestar atenção a esses pontos, os usuários podem avaliar melhor a segurança dos contratos inteligentes e reduzir o risco de participar em projetos de Finanças Descentralizadas.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
18 gostos
Recompensa
18
6
Republicar
Partilhar
Comentar
0/400
SnapshotStriker
· 08-09 05:42
Esta vulnerabilidade é demais, minerar é mais fácil do que explorar falhas.
Ver originalResponder0
down_only_larry
· 08-09 05:41
Mais uma vez na batalha de ataque e defesa~
Ver originalResponder0
ContractFreelancer
· 08-09 05:38
Está na hora de levantar, irmãos.
Ver originalResponder0
MEVVictimAlliance
· 08-09 05:33
fazer as pessoas de parvas idiotas才懂规避啊
Ver originalResponder0
ValidatorVibes
· 08-09 05:25
a governança está quebrada af... quando é que os protocolos finalmente vão corrigir esses vetores de ataque smh
Finanças Descentralizadas segurança ofensiva e defensiva: Profundidade na análise de vulnerabilidades comuns e estratégias de proteção
Finanças Descentralizadas comuns vulnerabilidades de segurança e medidas de prevenção
Recentemente, um especialista em segurança compartilhou uma aula sobre segurança em Finanças Descentralizadas para os membros da comunidade. O especialista revisou os principais eventos de segurança que o setor Web3 enfrentou no último ano e meio, discutiu as razões por trás desses eventos e como evitá-los, resumiu as vulnerabilidades de segurança comuns em contratos inteligentes e as medidas de prevenção, e deu algumas recomendações de segurança para as equipes de projeto e usuários comuns.
Os tipos comuns de vulnerabilidades em Finanças Descentralizadas incluem empréstimos relâmpago, manipulação de preços, problemas de permissões de funções, chamadas externas arbitrárias, problemas com funções de fallback, vulnerabilidades de lógica de negócios, vazamento de chaves privadas e reentrâncias. Este artigo irá focar nos empréstimos relâmpago, manipulação de preços e ataques de reentrada.
Empréstimo Relâmpago
Empréstimos relâmpago são uma inovação nas Finanças Descentralizadas, mas também são frequentemente utilizados por hackers para realizar ataques. Os atacantes emprestam grandes quantias através de empréstimos relâmpago, manipulando preços ou atacando a lógica de negócios. Os desenvolvedores precisam considerar se a funcionalidade dos contratos pode levar a anomalias devido a grandes quantias de dinheiro, ou se é possível obter recompensas indevidas ao interagir com várias funções em uma única transação usando grandes quantias.
Muitos projetos de Finanças Descentralizadas parecem ter retornos muito altos, mas na verdade o nível das equipes por trás dos projetos varia bastante. Alguns códigos de projetos podem ter sido comprados; mesmo que o código em si não tenha vulnerabilidades, pode haver problemas lógicos. Por exemplo, alguns projetos distribuem recompensas em horários fixos com base na quantidade de tokens que os detentores possuem, mas os atacantes podem aproveitar-se de empréstimos relâmpago para comprar grandes quantidades de tokens e obter a maior parte das recompensas no momento da distribuição.
Manipulação de Preços
O problema de manipulação de preços está intimamente relacionado com os empréstimos relâmpago, principalmente devido a certos parâmetros que podem ser controlados pelos usuários durante o cálculo de preços. Existem dois tipos comuns de problemas:
Ataque de Reentrada
Um ataque de reentrada é um dos principais perigos que podem ser enfrentados ao chamar contratos externos. Um atacante pode assumir o fluxo de controle e fazer alterações inesperadas nos dados.
Existem muitas maneiras de reentrância para diferentes contratos, que podem envolver diferentes funções de um contrato ou funções de vários contratos diferentes. Ao resolver problemas de reentrância, é necessário ter em mente os seguintes pontos:
No domínio do Web3, é mais sensato usar práticas de segurança maduras do que reinventar a roda. A utilização de soluções bem testadas pode reduzir significativamente a probabilidade de problemas.
Recomendações de segurança para o projeto
Como os usuários podem determinar se um contrato inteligente é seguro
Ao prestar atenção a esses pontos, os usuários podem avaliar melhor a segurança dos contratos inteligentes e reduzir o risco de participar em projetos de Finanças Descentralizadas.