الثغرات الأمنية الشائعة في التمويل اللامركزي وتدابير الوقاية
في الآونة الأخيرة، شارك أحد خبراء الأمن مع أعضاء المجتمع معرفته حول أمان التمويل اللامركزي. استعرض الأحداث الأمنية الكبرى التي واجهتها صناعة Web3 على مدار العام الماضي، وناقش أسباب حدوث هذه الأحداث وطرق تجنبها، وقدم ملخصاً عن الثغرات الأمنية الشائعة في العقود الذكية وطرق الوقاية منها، وقدم بعض النصائح الأمنية.
تشمل أنواع الثغرات الشائعة في التمويل اللامركزي القروض الفورية، وتلاعب الأسعار، ومشكلات أذونات الدوال، واستدعاءات خارجية عشوائية، ومشكلات دالة fallback، وثغرات منطق الأعمال، وتسريبات المفاتيح الخاصة، وإعادة الدخول، وغيرها. تركز هذه المقالة على القروض الفورية، وتلاعب الأسعار، وهجمات إعادة الدخول.
قرض البرق
القرض الفوري هو ابتكار في التمويل اللامركزي، ولكن عندما يتم استغلاله من قبل القراصنة، يمكنهم اقتراض كميات كبيرة من الأموال دون تكلفة لتنفيذ الهجمات. وغالبًا ما تصاحب الهجمات الشائعة القروض الفورية، حيث يقوم المهاجمون باقتراض كميات كبيرة من الأموال ثم التلاعب بالأسعار أو استهداف منطق الأعمال.
يحتاج المطورون إلى مراعاة ما إذا كانت وظائف العقد ستتسبب في حدوث استثنائيات بسبب الأموال الضخمة، أو إذا تم استغلالها في صفقة واحدة للتفاعل مع عدة وظائف للحصول على فوائد غير مشروعة.
تقوم بعض المشاريع بتوزيع المكافآت بناءً على حيازتها في وقت معين، ولكن يتم استغلال ذلك من قبل المهاجمين الذين يستخدمون القروض الفورية لشراء كميات كبيرة من الرموز للحصول على معظم المكافآت. وهناك مشاريع أخرى تعتمد على حساب السعر من خلال الرموز، مما يجعلها عرضة لتأثير القروض الفورية. يجب على فرق المشاريع أن تكون حذرة من هذه المشكلات.
التحكم في الأسعار
تتعلق مشكلة التلاعب بالأسعار ارتباطًا وثيقًا بالقروض الفورية، وهناك نوعان رئيسيان منها:
تم استخدام بيانات طرف ثالث لحساب السعر، ولكن الطريقة المستخدمة غير صحيحة أو أن التحقق مفقود مما أدى إلى التلاعب بالسعر بشكل خبيث.
استخدام عدد Tokens لبعض العناوين كمتغيرات حسابية، بينما يمكن زيادة أو تقليل رصيد Tokens لتلك العناوين مؤقتًا.
هجوم إعادة الإدخال
المخاطر الرئيسية لاستدعاء العقود الخارجية هي أنها قد تستحوذ على تدفق التحكم، مما يؤدي إلى تغييرات غير متوقعة في البيانات. على سبيل المثال:
صلابة
رسم الخرائط (address = > uint) أرصدة مستخدم خاصة ؛
وظيفة withdrawBalance() عامة {
uint amountToWithdraw = userBalances[msg.sender];
(bool النجاح ، ) = msg.sender.call.value(amountToWithdraw)( "" );
require(success).
أرصدة المستخدم[msg.sender] = 0;
}
نظرًا لأن الرصيد لا يتم تعيينه إلى 0 حتى نهاية الدالة، فإن الاستدعاءات المتكررة ستنجح في سحب الأموال.
أساليب هجوم إعادة الإدخال متعددة، وقد تشمل عدة دوال أو عقود. لحل مشكلة إعادة الإدخال، يجب الانتباه إلى:
لا يمنع فقط إعادة إدخال الدالة الواحدة
اتبع نمط البرمجة Checks-Effects-Interactions
استخدم مُعدّل منع إعادة الدخول المُعتمد
يجب استخدام ممارسات الأمان الناضجة قدر الإمكان، وتجنب إعادة اختراع العجلة.
نصائح أمان لمطوري المشاريع
تطوير العقود يتبع أفضل ممارسات الأمان
يمكن ترقية العقد وإيقافه: اكتشاف وتقليل الخسائر في الوقت المناسب
استخدام القفل الزمني: منح وقت للفحص والتفاعل
إنشاء نظام أمني متكامل: تجنب المخاطر بشكل شامل
زيادة الوعي الأمني بين جميع الموظفين
منع الأفعال السيئة الداخلية، مع تعزيز كفاءة النظام مع تحسين إدارة المخاطر
توخي الحذر عند إدخال طرف ثالث: تحقق من سلامة سلسلة الإمداد
كيف يمكن للمستخدمين تقييم أمان العقود الذكية
هل العقد مفتوح المصدر
هل استخدم المالك التوقيع المتعدد اللامركزي؟
تحقق من حالة المعاملات الحالية للعقد
هل يمكن ترقية العقد، وهل هناك قفل زمني
هل تقبل تدقيق عدة هيئات، هل صلاحيات المالك كبيرة جداً؟
انتبه إلى موثوقية الأوراق المالية
باختصار، فإن الأمان في مجال التمويل اللامركزي ضروري للغاية. يجب على المشروع والمستخدمين أن يكونوا أكثر حذراً وأن يتخذوا التدابير اللازمة لتقليل المخاطر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 13
أعجبني
13
2
مشاركة
تعليق
0/400
StableGeniusDegen
· منذ 14 س
عليّ أن أبدأ من الصفر في تعلم الأمان مرة أخرى، الأمر محير.
شاهد النسخة الأصليةرد0
DAOplomacy
· منذ 14 س
عرض أمان في أفضل حالاته... نفس الثغرات القديمة، نفس عدم التوافق بين أصحاب المصلحة بصراحة
تحليل ثلاثة ثغرات أمنية في التمويل اللامركزي: القروض السريعة، التلاعب في الأسعار وهجمات إعادة الإدخال
الثغرات الأمنية الشائعة في التمويل اللامركزي وتدابير الوقاية
في الآونة الأخيرة، شارك أحد خبراء الأمن مع أعضاء المجتمع معرفته حول أمان التمويل اللامركزي. استعرض الأحداث الأمنية الكبرى التي واجهتها صناعة Web3 على مدار العام الماضي، وناقش أسباب حدوث هذه الأحداث وطرق تجنبها، وقدم ملخصاً عن الثغرات الأمنية الشائعة في العقود الذكية وطرق الوقاية منها، وقدم بعض النصائح الأمنية.
تشمل أنواع الثغرات الشائعة في التمويل اللامركزي القروض الفورية، وتلاعب الأسعار، ومشكلات أذونات الدوال، واستدعاءات خارجية عشوائية، ومشكلات دالة fallback، وثغرات منطق الأعمال، وتسريبات المفاتيح الخاصة، وإعادة الدخول، وغيرها. تركز هذه المقالة على القروض الفورية، وتلاعب الأسعار، وهجمات إعادة الدخول.
قرض البرق
القرض الفوري هو ابتكار في التمويل اللامركزي، ولكن عندما يتم استغلاله من قبل القراصنة، يمكنهم اقتراض كميات كبيرة من الأموال دون تكلفة لتنفيذ الهجمات. وغالبًا ما تصاحب الهجمات الشائعة القروض الفورية، حيث يقوم المهاجمون باقتراض كميات كبيرة من الأموال ثم التلاعب بالأسعار أو استهداف منطق الأعمال.
يحتاج المطورون إلى مراعاة ما إذا كانت وظائف العقد ستتسبب في حدوث استثنائيات بسبب الأموال الضخمة، أو إذا تم استغلالها في صفقة واحدة للتفاعل مع عدة وظائف للحصول على فوائد غير مشروعة.
تقوم بعض المشاريع بتوزيع المكافآت بناءً على حيازتها في وقت معين، ولكن يتم استغلال ذلك من قبل المهاجمين الذين يستخدمون القروض الفورية لشراء كميات كبيرة من الرموز للحصول على معظم المكافآت. وهناك مشاريع أخرى تعتمد على حساب السعر من خلال الرموز، مما يجعلها عرضة لتأثير القروض الفورية. يجب على فرق المشاريع أن تكون حذرة من هذه المشكلات.
التحكم في الأسعار
تتعلق مشكلة التلاعب بالأسعار ارتباطًا وثيقًا بالقروض الفورية، وهناك نوعان رئيسيان منها:
تم استخدام بيانات طرف ثالث لحساب السعر، ولكن الطريقة المستخدمة غير صحيحة أو أن التحقق مفقود مما أدى إلى التلاعب بالسعر بشكل خبيث.
استخدام عدد Tokens لبعض العناوين كمتغيرات حسابية، بينما يمكن زيادة أو تقليل رصيد Tokens لتلك العناوين مؤقتًا.
هجوم إعادة الإدخال
المخاطر الرئيسية لاستدعاء العقود الخارجية هي أنها قد تستحوذ على تدفق التحكم، مما يؤدي إلى تغييرات غير متوقعة في البيانات. على سبيل المثال:
صلابة رسم الخرائط (address = > uint) أرصدة مستخدم خاصة ؛
وظيفة withdrawBalance() عامة { uint amountToWithdraw = userBalances[msg.sender]; (bool النجاح ، ) = msg.sender.call.value(amountToWithdraw)( "" ); require(success). أرصدة المستخدم[msg.sender] = 0; }
نظرًا لأن الرصيد لا يتم تعيينه إلى 0 حتى نهاية الدالة، فإن الاستدعاءات المتكررة ستنجح في سحب الأموال.
أساليب هجوم إعادة الإدخال متعددة، وقد تشمل عدة دوال أو عقود. لحل مشكلة إعادة الإدخال، يجب الانتباه إلى:
يجب استخدام ممارسات الأمان الناضجة قدر الإمكان، وتجنب إعادة اختراع العجلة.
نصائح أمان لمطوري المشاريع
تطوير العقود يتبع أفضل ممارسات الأمان
يمكن ترقية العقد وإيقافه: اكتشاف وتقليل الخسائر في الوقت المناسب
استخدام القفل الزمني: منح وقت للفحص والتفاعل
إنشاء نظام أمني متكامل: تجنب المخاطر بشكل شامل
زيادة الوعي الأمني بين جميع الموظفين
منع الأفعال السيئة الداخلية، مع تعزيز كفاءة النظام مع تحسين إدارة المخاطر
توخي الحذر عند إدخال طرف ثالث: تحقق من سلامة سلسلة الإمداد
كيف يمكن للمستخدمين تقييم أمان العقود الذكية
هل العقد مفتوح المصدر
هل استخدم المالك التوقيع المتعدد اللامركزي؟
تحقق من حالة المعاملات الحالية للعقد
هل يمكن ترقية العقد، وهل هناك قفل زمني
هل تقبل تدقيق عدة هيئات، هل صلاحيات المالك كبيرة جداً؟
انتبه إلى موثوقية الأوراق المالية
باختصار، فإن الأمان في مجال التمويل اللامركزي ضروري للغاية. يجب على المشروع والمستخدمين أن يكونوا أكثر حذراً وأن يتخذوا التدابير اللازمة لتقليل المخاطر.
! قسم أمان Cobo DeFi (الجزء الثاني) :D الثغرات الأمنية الشائعة والوقاية من eFi