Merkezi Olmayan Finans Yaygın Güvenlik Açıkları ve Önleme Önlemleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için bir Merkezi Olmayan Finans güvenlik dersi paylaştı. Uzman, son bir yıl içinde Web3 endüstrisinin karşılaştığı önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve nasıl kaçınılacağına dair tartışmalar yaptı, yaygın akıllı sözleşme güvenlik açıklarını ve önleyici tedbirleri özetledi ve proje sahipleri ile sıradan kullanıcılara bazı güvenlik önerileri sundu.
Yaygın DeFi güvenlik açıkları arasında hızlı kredi, fiyat manipülasyonu, fonksiyon izin sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntıları ve yeniden giriş gibi durumlar bulunmaktadır. Bu makale, hızlı kredi, fiyat manipülasyonu ve yeniden giriş saldırıları gibi üç türü ele alacaktır.
Hızlı Kredi
Açık Kredi, Merkezi Olmayan Finans'ın (DeFi) bir yeniliğidir, ancak genellikle hackerlar tarafından saldırılar için kullanılmaktadır. Saldırganlar, Açık Kredi aracılığıyla büyük miktarda fon borç alarak fiyatları manipüle edebilir veya iş mantığını hedef alabilirler. Geliştiricilerin, sözleşme işlevinin büyük miktarda fon nedeniyle anormal hale gelip gelmeyeceğini veya büyük miktarda fonla tek bir işlemde birden fazla fonksiyonla etkileşim kurarak haksız ödüller elde edilip edilemeyeceğini dikkate alması gerekir.
Birçok Merkezi Olmayan Finans projesi yüksek getiri sağlıyormuş gibi görünse de, aslında proje ekiplerinin düzeyi oldukça değişkenlik gösteriyor. Bazı projelerin kodları satın alınmış olabilir; bu durumda kodda bir açık olmasa bile, mantıksal olarak sorunlar ortaya çıkabilir. Örneğin, bazı projeler belirli bir zamanda, token sahiplerinin elinde bulundurduğu token miktarına göre ödül dağıtımı yapar. Ancak, saldırganlar, ödül dağıtım zamanı geldiğinde büyük miktarda token satın almak için hızlı kredi kullanarak, çoğu ödülü elde edebilirler.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunu, kullanıcıların kontrol edebileceği bazı parametrelerden kaynaklandığı için, hızlı kredi ile yakından ilişkilidir. Yaygın sorun türleri ikiye ayrılmaktadır:
Fiyat hesaplanırken üçüncü taraf verileri kullanılır, ancak kullanım şekli yanlış veya kontrol eksikliği nedeniyle fiyat kötü niyetli bir şekilde manipüle edilir.
Bazı adreslerin token miktarını hesaplama değişkeni olarak kullanın, bu adreslerin token bakiyeleri geçici olarak artırılabilir veya azaltılabilir.
Yeniden Giriş Saldırısı
Reentrancy saldırısı, dış sözleşmeleri çağırırken karşılaşılabilecek başlıca tehlikelerden biridir. Saldırgan, kontrol akışını ele geçirebilir ve verilerde beklenmedik değişiklikler yapabilir.
Farklı sözleşmelere karşı, yeniden girişin birçok şekli vardır, bu sözleşmelerin farklı fonksiyonlarını veya birden fazla farklı sözleşmenin fonksiyonlarını içerebilir. Yeniden giriş sorununu çözerken aşağıdaki noktalara dikkat edilmelidir:
Sadece tek bir fonksiyonun yeniden giriş sorununu önlemek yeterli değil.
Checks-Effects-Interactions modeline göre kodlama yapın
Zamanla kanıtlanmış reentrancy modifikatörünü kullanın
Web3 alanında, olgun güvenlik uygulamalarını kullanmak, tekerleği yeniden icat etmekten daha akıllıcadır. İyi bir şekilde doğrulanmış çözümler kullanmak, sorun yaşama olasılığını önemli ölçüde azaltabilir.
Proje Ekibi Güvenlik Önerileri
Sözleşme geliştirme için en iyi güvenlik uygulamalarına uyun
Sözleşmenin güncellenebilir ve durdurulabilir işlevlerinin gerçekleştirilmesi
Zaman kilidi mekanizması kullanma
Güvenlik yatırımlarını artırmak ve kapsamlı bir güvenlik sistemi kurmak
Tüm çalışanların güvenlik bilincini artırmak
İçerideki kötü niyetleri önlemek, verimliliği artırırken risk yönetimini güçlendirmek.
Üçüncü taraf hizmetlerini dikkatlice entegre edin, "varsayılan olarak, yukarı ve aşağı akışın güvenli olmadığı" ilkesine uyun.
Kullanıcılar akıllı sözleşmelerin güvenli olup olmadığını nasıl belirler?
Sözleşmenin açık kaynak olup olmadığını doğrulayın
Owner'ın merkezi olmayan çok imzalı bir mekanizma kullanıp kullanmadığını kontrol edin.
Sözleşmenin mevcut ticaret durumunu kontrol et
Sözleşmenin bir vekil sözleşmesi olup olmadığını, yükseltilebilir olup olmadığını ve zaman kilidi olup olmadığını onaylayın.
Sözleşmenin birden fazla kurum tarafından denetlenip denetlenmediğini ve Owner yetkisinin fazla olup olmadığını kontrol edin.
Projenin kullandığı oracle'ın güvenilir olup olmadığını kontrol edin.
Bu noktaları dikkate alarak, kullanıcılar akıllı sözleşmelerin güvenliğini daha iyi değerlendirebilir ve Merkezi Olmayan Finans projelerine katılma riskini azaltabilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
18 Likes
Reward
18
6
Repost
Share
Comment
0/400
SnapshotStriker
· 08-09 05:42
Bu açıklar çok fazla, madencilik yaparken açıkları da kazıyorum.
View OriginalReply0
down_only_larry
· 08-09 05:41
Yine bir saldırı savunma savaşı işte~
View OriginalReply0
ContractFreelancer
· 08-09 05:38
Kaldırma zamanı, kardeşler.
View OriginalReply0
MEVVictimAlliance
· 08-09 05:33
insanları enayi yerine koymak过enayiler才懂规避啊
View OriginalReply0
ValidatorVibes
· 08-09 05:25
yönetim bozuldu af... protokoller bu saldırı vektörlerini ne zaman sonunda düzeltecek smh
Merkezi Olmayan Finans güvenlik saldırı ve savunması: Yaygın açıkların ve koruma stratejilerinin derinlemesine analizi
Merkezi Olmayan Finans Yaygın Güvenlik Açıkları ve Önleme Önlemleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için bir Merkezi Olmayan Finans güvenlik dersi paylaştı. Uzman, son bir yıl içinde Web3 endüstrisinin karşılaştığı önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve nasıl kaçınılacağına dair tartışmalar yaptı, yaygın akıllı sözleşme güvenlik açıklarını ve önleyici tedbirleri özetledi ve proje sahipleri ile sıradan kullanıcılara bazı güvenlik önerileri sundu.
Yaygın DeFi güvenlik açıkları arasında hızlı kredi, fiyat manipülasyonu, fonksiyon izin sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntıları ve yeniden giriş gibi durumlar bulunmaktadır. Bu makale, hızlı kredi, fiyat manipülasyonu ve yeniden giriş saldırıları gibi üç türü ele alacaktır.
Hızlı Kredi
Açık Kredi, Merkezi Olmayan Finans'ın (DeFi) bir yeniliğidir, ancak genellikle hackerlar tarafından saldırılar için kullanılmaktadır. Saldırganlar, Açık Kredi aracılığıyla büyük miktarda fon borç alarak fiyatları manipüle edebilir veya iş mantığını hedef alabilirler. Geliştiricilerin, sözleşme işlevinin büyük miktarda fon nedeniyle anormal hale gelip gelmeyeceğini veya büyük miktarda fonla tek bir işlemde birden fazla fonksiyonla etkileşim kurarak haksız ödüller elde edilip edilemeyeceğini dikkate alması gerekir.
Birçok Merkezi Olmayan Finans projesi yüksek getiri sağlıyormuş gibi görünse de, aslında proje ekiplerinin düzeyi oldukça değişkenlik gösteriyor. Bazı projelerin kodları satın alınmış olabilir; bu durumda kodda bir açık olmasa bile, mantıksal olarak sorunlar ortaya çıkabilir. Örneğin, bazı projeler belirli bir zamanda, token sahiplerinin elinde bulundurduğu token miktarına göre ödül dağıtımı yapar. Ancak, saldırganlar, ödül dağıtım zamanı geldiğinde büyük miktarda token satın almak için hızlı kredi kullanarak, çoğu ödülü elde edebilirler.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunu, kullanıcıların kontrol edebileceği bazı parametrelerden kaynaklandığı için, hızlı kredi ile yakından ilişkilidir. Yaygın sorun türleri ikiye ayrılmaktadır:
Yeniden Giriş Saldırısı
Reentrancy saldırısı, dış sözleşmeleri çağırırken karşılaşılabilecek başlıca tehlikelerden biridir. Saldırgan, kontrol akışını ele geçirebilir ve verilerde beklenmedik değişiklikler yapabilir.
Farklı sözleşmelere karşı, yeniden girişin birçok şekli vardır, bu sözleşmelerin farklı fonksiyonlarını veya birden fazla farklı sözleşmenin fonksiyonlarını içerebilir. Yeniden giriş sorununu çözerken aşağıdaki noktalara dikkat edilmelidir:
Web3 alanında, olgun güvenlik uygulamalarını kullanmak, tekerleği yeniden icat etmekten daha akıllıcadır. İyi bir şekilde doğrulanmış çözümler kullanmak, sorun yaşama olasılığını önemli ölçüde azaltabilir.
Proje Ekibi Güvenlik Önerileri
Kullanıcılar akıllı sözleşmelerin güvenli olup olmadığını nasıl belirler?
Bu noktaları dikkate alarak, kullanıcılar akıllı sözleşmelerin güvenliğini daha iyi değerlendirebilir ve Merkezi Olmayan Finans projelerine katılma riskini azaltabilir.