Tài chính phi tập trung các lỗ hổng bảo mật thường gặp và biện pháp phòng ngừa
Gần đây, một chuyên gia an ninh đã chia sẻ một bài học về an ninh DeFi cho các thành viên trong cộng đồng. Chuyên gia đã xem xét lại những sự kiện an ninh nghiêm trọng mà ngành Web3 đã gặp phải trong hơn một năm qua, thảo luận về nguyên nhân xảy ra những sự kiện này và cách tránh chúng, tóm tắt các lỗ hổng an ninh phổ biến của hợp đồng thông minh và các biện pháp phòng ngừa, đồng thời đưa ra một số lời khuyên an ninh cho các dự án và người dùng thông thường.
Các loại lỗ hổng DeFi phổ biến chủ yếu bao gồm cho vay chớp nhoáng, thao túng giá, vấn đề quyền hàm, gọi ngoại bộ tùy ý, vấn đề hàm fallback, lỗ hổng logic kinh doanh, rò rỉ khóa riêng và tấn công tái nhập. Bài viết này sẽ tập trung vào ba loại: cho vay chớp nhoáng, thao túng giá và tấn công tái nhập.
Vay chớp nhoáng
Vay chớp nhoáng là một sáng tạo trong Tài chính phi tập trung, nhưng cũng thường bị tin tặc lợi dụng để thực hiện các cuộc tấn công. Kẻ tấn công vay ra một số lượng lớn tiền qua vay chớp nhoáng, thao túng giá cả hoặc tấn công logic kinh doanh. Các nhà phát triển cần xem xét xem chức năng hợp đồng có bị bất thường do số tiền khổng lồ hay không, hoặc liệu có thể bằng cách nào đó thông qua số tiền khổng lồ tương tác với nhiều hàm trong một giao dịch để nhận phần thưởng không chính đáng.
Nhiều dự án Tài chính phi tập trung có vẻ mang lại lợi nhuận cao, nhưng thực tế là trình độ của các bên dự án rất khác nhau. Một số mã nguồn của dự án có thể được mua lại, ngay cả khi mã nguồn không có lỗ hổng, về mặt logic vẫn có thể tồn tại vấn đề. Ví dụ, một số dự án sẽ phát thưởng vào thời điểm cố định dựa trên số lượng token mà người nắm giữ sở hữu, nhưng lại bị kẻ tấn công lợi dụng vay chớp nhoáng để mua một lượng lớn token, qua đó nhận được phần lớn phần thưởng khi phát thưởng.
Giá cả thao túng
Vấn đề thao túng giá cả liên quan chặt chẽ đến vay chớp nhoáng, chủ yếu do một số tham số trong tính toán giá có thể được người dùng kiểm soát. Có hai loại vấn đề phổ biến:
Sử dụng dữ liệu bên thứ ba khi tính toán giá, nhưng cách sử dụng không đúng hoặc thiếu kiểm tra, dẫn đến giá bị thao túng ác ý.
Sử dụng số lượng token của một số địa chỉ làm biến số tính toán, trong khi số dư token của những địa chỉ này có thể được tăng hoặc giảm tạm thời.
Tấn công tái nhập
Tấn công tái nhập là một trong những nguy hiểm chính có thể gặp phải khi gọi hợp đồng bên ngoài. Kẻ tấn công có thể kiểm soát luồng điều khiển và thực hiện các thay đổi không mong đợi đối với dữ liệu.
Đối với các hợp đồng khác nhau, có nhiều cách tồn tại của việc gọi lại, có thể liên quan đến các hàm khác nhau của hợp đồng hoặc các hàm của nhiều hợp đồng khác nhau. Khi giải quyết vấn đề gọi lại, cần chú ý đến những điểm sau:
Không chỉ phải ngăn chặn vấn đề tái nhập của một hàm đơn.
Tuân theo mô hình Checks-Effects-Interactions để lập trình
Sử dụng modifier chống tấn công tái nhập đã được kiểm chứng theo thời gian
Trong lĩnh vực Web3, việc sử dụng các thực hành an toàn đã trưởng thành là hợp lý hơn so với việc lặp lại những gì đã được làm. Việc sử dụng các giải pháp đã được xác minh đầy đủ có thể giảm đáng kể xác suất xảy ra sự cố.
Đề xuất an toàn cho dự án
Tuân thủ các thực hành an toàn tốt nhất trong phát triển hợp đồng
Thực hiện chức năng nâng cấp và tạm dừng hợp đồng
Áp dụng cơ chế khóa thời gian
Tăng cường đầu tư vào an ninh, xây dựng hệ thống an ninh hoàn chỉnh
Nâng cao nhận thức về an toàn của tất cả nhân viên
Ngăn ngừa hành vi xấu bên trong, đồng thời nâng cao hiệu suất và tăng cường quản lý rủi ro.
Cẩn thận khi đưa vào dịch vụ bên thứ ba, tuân theo nguyên tắc "mặc định tất cả các bên đều không an toàn".
Người dùng làm thế nào để xác định hợp đồng thông minh có an toàn hay không
Xác nhận hợp đồng có mã nguồn mở không
Kiểm tra xem Owner có áp dụng cơ chế đa chữ ký phi tập trung hay không
Xem tình hình giao dịch hiện có của hợp đồng
Xác nhận hợp đồng có phải là hợp đồng đại diện, có thể nâng cấp, có thời gian khóa không
Kiểm tra xem hợp đồng có được nhiều tổ chức kiểm toán hay không, quyền Owner có quá lớn hay không.
Chú ý đến độ tin cậy của oracle được dự án sử dụng.
Bằng cách chú ý đến những điểm này, người dùng có thể đánh giá tốt hơn độ an toàn của hợp đồng thông minh, giảm thiểu rủi ro khi tham gia các dự án Tài chính phi tập trung.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
18 thích
Phần thưởng
18
6
Đăng lại
Chia sẻ
Bình luận
0/400
SnapshotStriker
· 21giờ trước
Lỗ hổng này nhiều quá, khai thác xong mỏ lại khai thác lỗ hổng.
Xem bản gốcTrả lời0
down_only_larry
· 21giờ trước
Lại đang trong cuộc chiến phòng thủ rồi~
Xem bản gốcTrả lời0
ContractFreelancer
· 21giờ trước
Đã đến lúc nâng lên rồi các anh em
Xem bản gốcTrả lời0
MEVVictimAlliance
· 21giờ trước
chơi đùa với mọi người mới hiểu cách tránh né.
Xem bản gốcTrả lời0
ValidatorVibes
· 21giờ trước
quản trị đang gặp vấn đề... khi nào thì các giao thức mới cuối cùng sửa chữa những vectơ tấn công này smh
Xem bản gốcTrả lời0
liquidation_surfer
· 21giờ trước
Nhìn thấu nhưng không nói ra, thật sự quá chân thật.
Tài chính phi tập trung an toàn tấn công phòng thủ: Độ sâu phân tích các lỗ hổng phổ biến và chiến lược bảo vệ
Tài chính phi tập trung các lỗ hổng bảo mật thường gặp và biện pháp phòng ngừa
Gần đây, một chuyên gia an ninh đã chia sẻ một bài học về an ninh DeFi cho các thành viên trong cộng đồng. Chuyên gia đã xem xét lại những sự kiện an ninh nghiêm trọng mà ngành Web3 đã gặp phải trong hơn một năm qua, thảo luận về nguyên nhân xảy ra những sự kiện này và cách tránh chúng, tóm tắt các lỗ hổng an ninh phổ biến của hợp đồng thông minh và các biện pháp phòng ngừa, đồng thời đưa ra một số lời khuyên an ninh cho các dự án và người dùng thông thường.
Các loại lỗ hổng DeFi phổ biến chủ yếu bao gồm cho vay chớp nhoáng, thao túng giá, vấn đề quyền hàm, gọi ngoại bộ tùy ý, vấn đề hàm fallback, lỗ hổng logic kinh doanh, rò rỉ khóa riêng và tấn công tái nhập. Bài viết này sẽ tập trung vào ba loại: cho vay chớp nhoáng, thao túng giá và tấn công tái nhập.
Vay chớp nhoáng
Vay chớp nhoáng là một sáng tạo trong Tài chính phi tập trung, nhưng cũng thường bị tin tặc lợi dụng để thực hiện các cuộc tấn công. Kẻ tấn công vay ra một số lượng lớn tiền qua vay chớp nhoáng, thao túng giá cả hoặc tấn công logic kinh doanh. Các nhà phát triển cần xem xét xem chức năng hợp đồng có bị bất thường do số tiền khổng lồ hay không, hoặc liệu có thể bằng cách nào đó thông qua số tiền khổng lồ tương tác với nhiều hàm trong một giao dịch để nhận phần thưởng không chính đáng.
Nhiều dự án Tài chính phi tập trung có vẻ mang lại lợi nhuận cao, nhưng thực tế là trình độ của các bên dự án rất khác nhau. Một số mã nguồn của dự án có thể được mua lại, ngay cả khi mã nguồn không có lỗ hổng, về mặt logic vẫn có thể tồn tại vấn đề. Ví dụ, một số dự án sẽ phát thưởng vào thời điểm cố định dựa trên số lượng token mà người nắm giữ sở hữu, nhưng lại bị kẻ tấn công lợi dụng vay chớp nhoáng để mua một lượng lớn token, qua đó nhận được phần lớn phần thưởng khi phát thưởng.
Giá cả thao túng
Vấn đề thao túng giá cả liên quan chặt chẽ đến vay chớp nhoáng, chủ yếu do một số tham số trong tính toán giá có thể được người dùng kiểm soát. Có hai loại vấn đề phổ biến:
Tấn công tái nhập
Tấn công tái nhập là một trong những nguy hiểm chính có thể gặp phải khi gọi hợp đồng bên ngoài. Kẻ tấn công có thể kiểm soát luồng điều khiển và thực hiện các thay đổi không mong đợi đối với dữ liệu.
Đối với các hợp đồng khác nhau, có nhiều cách tồn tại của việc gọi lại, có thể liên quan đến các hàm khác nhau của hợp đồng hoặc các hàm của nhiều hợp đồng khác nhau. Khi giải quyết vấn đề gọi lại, cần chú ý đến những điểm sau:
Trong lĩnh vực Web3, việc sử dụng các thực hành an toàn đã trưởng thành là hợp lý hơn so với việc lặp lại những gì đã được làm. Việc sử dụng các giải pháp đã được xác minh đầy đủ có thể giảm đáng kể xác suất xảy ra sự cố.
Đề xuất an toàn cho dự án
Người dùng làm thế nào để xác định hợp đồng thông minh có an toàn hay không
Bằng cách chú ý đến những điểm này, người dùng có thể đánh giá tốt hơn độ an toàn của hợp đồng thông minh, giảm thiểu rủi ro khi tham gia các dự án Tài chính phi tập trung.