Merkezi Olmayan Finans Yaygın Güvenlik Açıkları ve Önleme Yöntemleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyelerine bir Merkezi Olmayan Finans güvenlik dersi verdi. Uzman, son bir yıl boyunca Web3 sektöründe meydana gelen önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve nasıl önlenebileceğini tartıştı, yaygın akıllı sözleşmelerin güvenlik açıklarını ve önlemlerini özetledi, ayrıca proje sahipleri ve sıradan kullanıcılara bazı güvenlik önerileri sundu.
Yaygın DeFi güvenlik açıkları arasında flash loan, fiyat manipülasyonu, fonksiyon yetki sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntıları ve reentrancy gibi durumlar bulunmaktadır. Aşağıda flash loan, fiyat manipülasyonu ve reentrancy saldırısı olmak üzere bu üç türü detaylı olarak ele alacağız.
Anında Kredi
Lightning loans are an innovation in Merkezi Olmayan Finans, but can be exploited by hackers to borrow money for arbitrage at no cost. Many DeFi projects appear to have high returns, but the quality of the project teams varies significantly. Even if the code itself has no vulnerabilities, there may still be logical issues. For example, some projects distribute rewards based on the number of tokens held by holders at fixed times, which can be exploited by attackers who use lightning loans to purchase a large number of tokens, thus obtaining most of the rewards when they are distributed. There are also projects that calculate prices through Tokens, which can be influenced by lightning loans. Project teams should be vigilant about these issues.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunları ve ani kredi ilişkisi yakından ilişkilidir, bu temel olarak fiyat hesaplamasında bazı parametrelerin kullanıcılar tarafından kontrol edilebilir olmasından kaynaklanmaktadır. Yaygın sorun türleri ikiye ayrılmaktadır:
Fiyat hesaplanırken üçüncü taraf verileri kullanılır, ancak kullanım şekli yanlış veya kontrol eksikliği fiyatın kötü niyetle manipüle edilmesine yol açar.
Belirli adreslerin Token miktarını hesaplama değişkeni olarak kullanın ve bu adreslerin Token bakiyeleri geçici olarak artırılabilir veya azaltılabilir.
Yeniden Giriş Saldırısı
Dış sözleşmeleri çağırmanın ana tehlikelerinden biri, kontrol akışını ele geçirebilmeleri ve verilere, fonksiyon çağrılarında beklenmedik değişiklikler yapabilmeleridir. Farklı sözleşmelere karşı, yeniden girişin var olma yolları çoktur, farklı fonksiyonların veya birden fazla sözleşmenin fonksiyonlarının bir araya getirilmesiyle saldırılar gerçekleştirilebilir. Yeniden giriş sorununu çözmek için dikkat edilmesi gerekenler:
Sadece tek bir fonksiyonun tekrar çağrılma sorununu önlemekle kalmaz
Checks-Effects-Interactions modeline göre kodlama
Zamanla test edilmiş reentrancy modifier'ını kullanın
En büyük korku, tekerleği tekrar icat etmektir, bu alanda doğrudan kullanılabilecek birçok en iyi güvenlik pratiği var, tekerleği tekrar icat etmeye kesinlikle gerek yok. Kendi tekerleğinizi icat etmek, yeterince doğrulanmamış olup, sorun yaşama olasılığı, olgun ve uzun süre test edilmiş çözümleri kullanmaktan belirgin şekilde daha yüksektir.
Proje Güvenlik Önerileri
Sözleşme geliştirme en iyi güvenlik uygulamalarına uymalı.
Sözleşme güncellenebilir, durdurulabilir
Zaman kilidi kullanma
Güvenlik yatırımlarını artırın, kapsamlı bir güvenlik sistemi kurun.
Tüm çalışanların güvenlik bilincini artırmak
İçsel kötü niyetin önlenmesi, verimliliği artırırken risk yönetimini güçlendirmek.
Üçüncü tarafları dikkatlice dahil et, yukarı ve aşağı akışı doğrula
Kullanıcı/LP Akıllı Sözleşmenin Güvenliğini Nasıl Değerlendirir
Sözleşme açık kaynak mı?
Sahip çoklu imza kullanıyor mu, çoklu imza merkezi olmayan mı?
Sözleşmenin mevcut işlem durumu
Sözleşme bir vekil sözleşmesi mi, yükseltilebilir mi, zaman kilidi var mı?
Sözleşme birden fazla kurum tarafından denetimden geçti mi, Owner yetkisi çok mu büyük?
Oracle seçim ve kullanımına dikkat edin
Sonuç olarak, kullanıcıların Merkezi Olmayan Finans projelerine katılırken son derece dikkatli olmaları, projenin güvenliğini çok yönlü değerlendirmeleri ve yüksek getirilerin gözlerini kamaştırmasına izin vermemeleri gerekir. Proje ekipleri ise güvenlik savunmalarını çok yönlü bir şekilde inşa etmeli ve projenin güvenliğini sürekli olarak izlemeli ve geliştirmelidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 Likes
Reward
13
7
Share
Comment
0/400
WenMoon42
· 07-31 16:21
Kimse birkaç kez insanları enayi yerine koymak istemedi mi?
View OriginalReply0
GhostInTheChain
· 07-31 09:22
insanları enayi yerine koymak bir yıl enayiler bakmak kırmızı toprak
View OriginalReply0
MiningDisasterSurvivor
· 07-29 19:14
Yine bir grup enayinin insanları enayi yerine koymak üzere.
View OriginalReply0
BearMarketBard
· 07-29 19:12
Rug pull deneyimlerini paylaştığım forum
View OriginalReply0
TestnetFreeloader
· 07-29 19:08
Hızlıca nükleer cüzdanı açalım.
View OriginalReply0
BearMarketGardener
· 07-29 18:58
Yine klasik bir konuşma, çökmesi gereken çökmesi lazım!
Merkezi Olmayan Finans güvenlik açıklarının kapsamlı analizi: Flaş Krediler, fiyat manipülasyonu ve yeniden giriş saldırılarına karşı önleme kılavuzu
Merkezi Olmayan Finans Yaygın Güvenlik Açıkları ve Önleme Yöntemleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyelerine bir Merkezi Olmayan Finans güvenlik dersi verdi. Uzman, son bir yıl boyunca Web3 sektöründe meydana gelen önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve nasıl önlenebileceğini tartıştı, yaygın akıllı sözleşmelerin güvenlik açıklarını ve önlemlerini özetledi, ayrıca proje sahipleri ve sıradan kullanıcılara bazı güvenlik önerileri sundu.
Yaygın DeFi güvenlik açıkları arasında flash loan, fiyat manipülasyonu, fonksiyon yetki sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntıları ve reentrancy gibi durumlar bulunmaktadır. Aşağıda flash loan, fiyat manipülasyonu ve reentrancy saldırısı olmak üzere bu üç türü detaylı olarak ele alacağız.
Anında Kredi
Lightning loans are an innovation in Merkezi Olmayan Finans, but can be exploited by hackers to borrow money for arbitrage at no cost. Many DeFi projects appear to have high returns, but the quality of the project teams varies significantly. Even if the code itself has no vulnerabilities, there may still be logical issues. For example, some projects distribute rewards based on the number of tokens held by holders at fixed times, which can be exploited by attackers who use lightning loans to purchase a large number of tokens, thus obtaining most of the rewards when they are distributed. There are also projects that calculate prices through Tokens, which can be influenced by lightning loans. Project teams should be vigilant about these issues.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunları ve ani kredi ilişkisi yakından ilişkilidir, bu temel olarak fiyat hesaplamasında bazı parametrelerin kullanıcılar tarafından kontrol edilebilir olmasından kaynaklanmaktadır. Yaygın sorun türleri ikiye ayrılmaktadır:
Fiyat hesaplanırken üçüncü taraf verileri kullanılır, ancak kullanım şekli yanlış veya kontrol eksikliği fiyatın kötü niyetle manipüle edilmesine yol açar.
Belirli adreslerin Token miktarını hesaplama değişkeni olarak kullanın ve bu adreslerin Token bakiyeleri geçici olarak artırılabilir veya azaltılabilir.
Yeniden Giriş Saldırısı
Dış sözleşmeleri çağırmanın ana tehlikelerinden biri, kontrol akışını ele geçirebilmeleri ve verilere, fonksiyon çağrılarında beklenmedik değişiklikler yapabilmeleridir. Farklı sözleşmelere karşı, yeniden girişin var olma yolları çoktur, farklı fonksiyonların veya birden fazla sözleşmenin fonksiyonlarının bir araya getirilmesiyle saldırılar gerçekleştirilebilir. Yeniden giriş sorununu çözmek için dikkat edilmesi gerekenler:
Sadece tek bir fonksiyonun tekrar çağrılma sorununu önlemekle kalmaz
Checks-Effects-Interactions modeline göre kodlama
Zamanla test edilmiş reentrancy modifier'ını kullanın
En büyük korku, tekerleği tekrar icat etmektir, bu alanda doğrudan kullanılabilecek birçok en iyi güvenlik pratiği var, tekerleği tekrar icat etmeye kesinlikle gerek yok. Kendi tekerleğinizi icat etmek, yeterince doğrulanmamış olup, sorun yaşama olasılığı, olgun ve uzun süre test edilmiş çözümleri kullanmaktan belirgin şekilde daha yüksektir.
Proje Güvenlik Önerileri
Sözleşme geliştirme en iyi güvenlik uygulamalarına uymalı.
Sözleşme güncellenebilir, durdurulabilir
Zaman kilidi kullanma
Güvenlik yatırımlarını artırın, kapsamlı bir güvenlik sistemi kurun.
Tüm çalışanların güvenlik bilincini artırmak
İçsel kötü niyetin önlenmesi, verimliliği artırırken risk yönetimini güçlendirmek.
Üçüncü tarafları dikkatlice dahil et, yukarı ve aşağı akışı doğrula
Kullanıcı/LP Akıllı Sözleşmenin Güvenliğini Nasıl Değerlendirir
Sözleşme açık kaynak mı?
Sahip çoklu imza kullanıyor mu, çoklu imza merkezi olmayan mı?
Sözleşmenin mevcut işlem durumu
Sözleşme bir vekil sözleşmesi mi, yükseltilebilir mi, zaman kilidi var mı?
Sözleşme birden fazla kurum tarafından denetimden geçti mi, Owner yetkisi çok mu büyük?
Oracle seçim ve kullanımına dikkat edin
Sonuç olarak, kullanıcıların Merkezi Olmayan Finans projelerine katılırken son derece dikkatli olmaları, projenin güvenliğini çok yönlü değerlendirmeleri ve yüksek getirilerin gözlerini kamaştırmasına izin vermemeleri gerekir. Proje ekipleri ise güvenlik savunmalarını çok yönlü bir şekilde inşa etmeli ve projenin güvenliğini sürekli olarak izlemeli ve geliştirmelidir.