Análise completa das vulnerabilidades de segurança em Finanças Descentralizadas: Guia de prevenção contra Empréstimos Flash, manipulação de preços e ataques de reentrada.
Finanças Descentralizadas comuns vulnerabilidades de segurança e medidas de prevenção
Recentemente, um especialista em segurança compartilhou com os membros da comunidade uma aula sobre segurança em Finanças Descentralizadas. O especialista revisitou os principais eventos de segurança que o setor Web3 enfrentou no último ano, discutiu as razões por trás desses eventos e formas de evitá-los, resumiu as vulnerabilidades comuns de contratos inteligentes e medidas de prevenção, além de oferecer algumas recomendações de segurança para as equipes de projeto e usuários comuns.
Os tipos comuns de vulnerabilidades em Finanças Descentralizadas incluem empréstimos relâmpago, manipulação de preços, problemas de permissão de funções, chamadas externas arbitrárias, problemas com funções de fallback, vulnerabilidades de lógica de negócios, vazamento de chaves privadas, e reentrância, entre outros. Abaixo, abordaremos em detalhe os empréstimos relâmpago, a manipulação de preços e os ataques de reentrância.
Empréstimo Relâmpago
Os empréstimos relâmpago são uma inovação nas Finanças Descentralizadas, mas quando explorados por hackers, podem permitir o empréstimo de dinheiro sem custo para arbitragem. Muitos projetos de DeFi parecem ter altos retornos, mas a qualidade das equipes por trás dos projetos varia bastante; mesmo que o código em si não tenha falhas, podem existir problemas lógicos. Por exemplo, alguns projetos distribuem recompensas em horários fixos com base na quantidade de tokens que os detentores possuem, mas hackers podem usar empréstimos relâmpago para comprar uma grande quantidade de tokens e obter a maior parte das recompensas quando estas são distribuídas. Além disso, alguns projetos que calculam preços com base em tokens podem ter seus preços afetados por empréstimos relâmpago. As equipes de projeto devem estar atentas a essas questões.
Manipulação de Preços
O problema de manipulação de preços está intimamente relacionado com os empréstimos relâmpago, principalmente porque certos parâmetros podem ser controlados pelos usuários ao calcular o preço. Existem dois tipos comuns de problemas:
Utilização de dados de terceiros para calcular preços, mas o uso inadequado ou a falta de verificação levam a manipulação maliciosa dos preços.
Usar a quantidade de Token de certos endereços como variáveis de cálculo, sendo que o saldo de Token desses endereços pode ser temporariamente aumentado ou diminuído.
Ataque de Reentrada
Um dos principais perigos de chamar contratos externos é que eles podem assumir o controle do fluxo, fazendo alterações inesperadas nos dados ao chamar funções. Para diferentes contratos, existem várias maneiras de reentrância, que podem ser combinadas com diferentes funções ou funções de vários contratos para realizar um ataque. Para resolver o problema de reentrância, é necessário ter em mente:
Não apenas prevenir o problema de reentrada de uma única função
Codificação seguindo o padrão Checks-Effects-Interactions
Utilize um modifier de proteção contra reentradas testado ao longo do tempo
O que mais temo é reinventar a roda. Neste setor, existem muitas melhores práticas de segurança que podem ser utilizadas diretamente, não há necessidade de reinventar a roda. Criar soluções do zero, sem a devida validação, tem uma probabilidade claramente maior de problemas do que utilizar soluções maduras e testadas.
Sugestões de segurança para a equipe do projeto
O desenvolvimento de contratos segue as melhores práticas de segurança
O contrato pode ser atualizado ou pausado
Adotar um bloqueio de tempo
Aumentar o investimento em segurança e estabelecer um sistema de segurança completo.
Aumentar a consciência de segurança de todos os funcionários
Prevenir a má conduta interna, aumentando a eficiência ao mesmo tempo que se reforça o controlo de risco.
Introduzir terceiros com cautela, verificar a cadeia de suprimentos
Como os usuários/LP podem determinar se um contrato inteligente é seguro
O contrato é de código aberto?
O proprietário utiliza múltiplas assinaturas? As múltiplas assinaturas são descentralizadas?
Situação das transações do contrato existente
O contrato é um contrato de agência, é atualizável, tem um bloqueio de tempo?
O contrato foi auditado por várias instituições? Os direitos do proprietário são excessivos?
Preste atenção à escolha e uso do oráculo
Em suma, os usuários devem ser especialmente cautelosos ao participar de projetos de Finanças Descentralizadas, avaliando a segurança do projeto de várias maneiras e não se deixando enganar por altos rendimentos. Os responsáveis pelo projeto devem, portanto, construir uma linha de defesa de múltiplas camadas e continuar a monitorar e melhorar a segurança do projeto.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
13 gostos
Recompensa
13
7
Partilhar
Comentar
0/400
WenMoon42
· 07-31 16:21
Quem é que nunca foi feito a parva algumas vezes?
Ver originalResponder0
GhostInTheChain
· 07-31 09:22
fazer as pessoas de parvas um ano idiotas ver através da ilusão
Ver originalResponder0
MiningDisasterSurvivor
· 07-29 19:14
Outra onda de idiotas vai ser feita as pessoas de parvas.
Ver originalResponder0
BearMarketBard
· 07-29 19:12
Experiência de rug pull em fóruns
Ver originalResponder0
TestnetFreeloader
· 07-29 19:08
Nuclear打Carteira吧很快的
Ver originalResponder0
BearMarketGardener
· 07-29 18:58
Mais uma conversa de sempre, tem que desmoronar!
Ver originalResponder0
WinterWarmthCat
· 07-29 18:45
Pessoas tolas com muito dinheiro, faça mais rápido.
Análise completa das vulnerabilidades de segurança em Finanças Descentralizadas: Guia de prevenção contra Empréstimos Flash, manipulação de preços e ataques de reentrada.
Finanças Descentralizadas comuns vulnerabilidades de segurança e medidas de prevenção
Recentemente, um especialista em segurança compartilhou com os membros da comunidade uma aula sobre segurança em Finanças Descentralizadas. O especialista revisitou os principais eventos de segurança que o setor Web3 enfrentou no último ano, discutiu as razões por trás desses eventos e formas de evitá-los, resumiu as vulnerabilidades comuns de contratos inteligentes e medidas de prevenção, além de oferecer algumas recomendações de segurança para as equipes de projeto e usuários comuns.
Os tipos comuns de vulnerabilidades em Finanças Descentralizadas incluem empréstimos relâmpago, manipulação de preços, problemas de permissão de funções, chamadas externas arbitrárias, problemas com funções de fallback, vulnerabilidades de lógica de negócios, vazamento de chaves privadas, e reentrância, entre outros. Abaixo, abordaremos em detalhe os empréstimos relâmpago, a manipulação de preços e os ataques de reentrância.
Empréstimo Relâmpago
Os empréstimos relâmpago são uma inovação nas Finanças Descentralizadas, mas quando explorados por hackers, podem permitir o empréstimo de dinheiro sem custo para arbitragem. Muitos projetos de DeFi parecem ter altos retornos, mas a qualidade das equipes por trás dos projetos varia bastante; mesmo que o código em si não tenha falhas, podem existir problemas lógicos. Por exemplo, alguns projetos distribuem recompensas em horários fixos com base na quantidade de tokens que os detentores possuem, mas hackers podem usar empréstimos relâmpago para comprar uma grande quantidade de tokens e obter a maior parte das recompensas quando estas são distribuídas. Além disso, alguns projetos que calculam preços com base em tokens podem ter seus preços afetados por empréstimos relâmpago. As equipes de projeto devem estar atentas a essas questões.
Manipulação de Preços
O problema de manipulação de preços está intimamente relacionado com os empréstimos relâmpago, principalmente porque certos parâmetros podem ser controlados pelos usuários ao calcular o preço. Existem dois tipos comuns de problemas:
Utilização de dados de terceiros para calcular preços, mas o uso inadequado ou a falta de verificação levam a manipulação maliciosa dos preços.
Usar a quantidade de Token de certos endereços como variáveis de cálculo, sendo que o saldo de Token desses endereços pode ser temporariamente aumentado ou diminuído.
Ataque de Reentrada
Um dos principais perigos de chamar contratos externos é que eles podem assumir o controle do fluxo, fazendo alterações inesperadas nos dados ao chamar funções. Para diferentes contratos, existem várias maneiras de reentrância, que podem ser combinadas com diferentes funções ou funções de vários contratos para realizar um ataque. Para resolver o problema de reentrância, é necessário ter em mente:
Não apenas prevenir o problema de reentrada de uma única função
Codificação seguindo o padrão Checks-Effects-Interactions
Utilize um modifier de proteção contra reentradas testado ao longo do tempo
O que mais temo é reinventar a roda. Neste setor, existem muitas melhores práticas de segurança que podem ser utilizadas diretamente, não há necessidade de reinventar a roda. Criar soluções do zero, sem a devida validação, tem uma probabilidade claramente maior de problemas do que utilizar soluções maduras e testadas.
Sugestões de segurança para a equipe do projeto
O desenvolvimento de contratos segue as melhores práticas de segurança
O contrato pode ser atualizado ou pausado
Adotar um bloqueio de tempo
Aumentar o investimento em segurança e estabelecer um sistema de segurança completo.
Aumentar a consciência de segurança de todos os funcionários
Prevenir a má conduta interna, aumentando a eficiência ao mesmo tempo que se reforça o controlo de risco.
Introduzir terceiros com cautela, verificar a cadeia de suprimentos
Como os usuários/LP podem determinar se um contrato inteligente é seguro
O contrato é de código aberto?
O proprietário utiliza múltiplas assinaturas? As múltiplas assinaturas são descentralizadas?
Situação das transações do contrato existente
O contrato é um contrato de agência, é atualizável, tem um bloqueio de tempo?
O contrato foi auditado por várias instituições? Os direitos do proprietário são excessivos?
Preste atenção à escolha e uso do oráculo
Em suma, os usuários devem ser especialmente cautelosos ao participar de projetos de Finanças Descentralizadas, avaliando a segurança do projeto de várias maneiras e não se deixando enganar por altos rendimentos. Os responsáveis pelo projeto devem, portanto, construir uma linha de defesa de múltiplas camadas e continuar a monitorar e melhorar a segurança do projeto.