一般的なDeFiセキュリティの脆弱性と注意事項

最近、安全専門家がコミュニティメンバーのために分散型金融の安全コースを共有しました。このコースでは、過去1年以上にわたるWeb3業界で発生した重大なセキュリティ事件を振り返り、これらの事件の原因と回避方法を探求し、一般的なスマートコントラクトの安全な脆弱性と予防策をまとめ、プロジェクトチームや一般ユーザーにいくつかの安全アドバイスを提供しました。

一般的な分散型金融の脆弱性の種類には、フラッシュローン、価格操作、関数権限の問題、任意の外部呼び出し、フォールバック関数の問題、ビジネスロジックの脆弱性、秘密鍵の漏洩、再入攻撃が含まれます。本稿では、フラッシュローン、価格操作、再入攻撃の3つのタイプに重点を置いて説明します。

! Cobo DeFiセキュリティセクション(パートII):D eFiの一般的なセキュリティの脆弱性と防止

フラッシュローン

フラッシュローンは分散型金融の一つの革新ですが、ハッカーに利用される可能性もあります。攻撃者は通常、フラッシュローンを通じて大量の資金を借り出し、価格を操作したりビジネスロジックを攻撃したりします。開発者は、契約機能が巨額の資金によって異常になるか、または巨額の資金で一度の取引で複数の関数と相互作用し、不正な報酬を得る可能性があるかを考慮する必要があります。

多くの分散型金融プロジェクトは高い収益を見せているように見えますが、プロジェクトのレベルはまちまちです。いくつかのプロジェクトは購入したコードを使用している可能性があり、コード自体に脆弱性がなくても、論理的に問題が存在する可能性があります。たとえば、いくつかのプロジェクトは固定された時間に保有者のトークン数量に基づいて報酬を配布しますが、これが攻撃者によってフラッシュローンを利用して大量のトークンを購入され、報酬配布時に大部分の報酬を得られることがあります。

価格操作

価格操作の問題はフラッシュローンと密接に関連しており、主に価格計算時に特定のパラメータがユーザーによって制御できるためです。一般的な問題のタイプは2つあります：

1. 価格を計算する際に第三者のデータを使用しますが、使用方法が不適切またはチェックが欠如しているため、価格が悪意を持って操作される。
2. 特定のアドレスのトークン数量を計算変数として使用し、これらのアドレスのトークン残高は一時的に増加または減少する可能性があります。

リエントランシー攻撃

外部コントラクトを呼び出す主なリスクの一つは、それらが制御フローを引き継ぎ、データに予期しない変更を加える可能性があることです。例えば、引き出し関数において、ユーザーの残高が関数の最後まで0に設定されない場合、2回目（以降）の呼び出しも成功し、重複した引き出しを引き起こすことになります。

再入問題を解決する際に注意すべき点は以下の通りです：

1. 単一の関数の再入問題を防ぐだけではありません。
2. コーディングについては、Checks-Effects-Interactionsパターンに従います。
3. 時間が検証された再入禁止モディファイアを使用する。

注意すべきは、同じことを繰り返すことがより多くのリスクをもたらす可能性があるということです。十分に検証された最良のセキュリティプラクティスを使用することは、独自の方法を開発するよりも通常は安全です。

プロジェクト側の安全提案

1. 最良のセキュリティプラクティスに従って契約を開発する。
2. コントラクトのアップグレードと一時停止機能を実現する。
3. タイムロックメカニズムを採用する。
4. セキュリティ投資を増やし、完璧なセキュリティシステムを構築する。
5. すべての従業員のセキュリティ意識を高める。
6. 内部の悪行を防止し、効率を高めると同時にリスク管理を強化する。
7. 第三者の導入には慎重であり、上流と下流は安全ではないと仮定する。

ユーザー/LPはスマートコントラクトが安全かどうかをどのように判断するか

1. 契約がオープンソースであることを確認してください。
2. Ownerがマルチシグを使用しているかどうか、マルチシグが分散型であるかどうかを確認してください。
3. 既存の契約の取引状況を確認します。
4. コントラクトが代理コントラクトであるか、アップグレード可能であるか、タイムロックがあるかを確認してください。
5. 契約が複数の機関による監査を受けているかどうか、Owner権限が過大でないかを確認してください。
6. オラクルの使用状況に注意してください。

これらの側面に注目することで、ユーザーはスマートコントラクトの安全性をより良く評価し、リスクのあるプロジェクトへの参加の可能性を減らすことができます。