DeFi 常見安全漏洞及預防措施

近期，某安全專家爲社區成員分享了一堂 DeFi 安全課。專家回顧了過去一年多 Web3 行業遭遇的重大安全事件,探討了這些事件發生的原因以及規避方法,總結了常見智能合約的安全漏洞及預防措施,還對項目方和普通用戶給出了一些安全建議。

常見的 DeFi 漏洞類型包括閃電貸、價格操縱、函數權限問題、任意外部調用、fallback 函數問題、業務邏輯漏洞、私鑰泄漏、重入等。下面重點介紹閃電貸、價格操控以及重入攻擊這三種類型。

閃電貸

閃電貸本身是 DeFi 的一種創新,但被黑客利用時可以無成本借錢進行套利。許多 DeFi 項目看似收益很高,但項目方水平參差不齊,即便代碼本身沒有漏洞,在邏輯上仍可能存在問題。例如,有些項目會在固定時間根據持倉者持有的代幣數量發放獎勵,卻被攻擊者利用閃電貸購買大量代幣,在獎勵發放時獲取大部分獎勵。還有一些通過 Token 來計算價格的項目,可以通過閃電貸影響價格。項目方應該對這些問題提高警惕。

價格操控

價格操控問題與閃電貸關係密切,主要由於價格計算時某些參數可被用戶控制。常見問題類型有兩種:

1. 計算價格時使用第三方數據,但使用方式不正確或檢查缺失導致價格被惡意操控。

2. 使用某些地址的 Token 數量作爲計算變量,而這些地址的 Token 餘額可被臨時增減。

重入攻擊

調用外部合約的主要危險之一是它們可以接管控制流,對數據進行調用函數未預料到的更改。針對不同合約,重入存在的方式很多,可以結合不同函數或多個合約的函數完成攻擊。解決重入問題需注意:

1. 不只防止單一函數的重入問題

2. 遵循 Checks-Effects-Interactions 模式編碼

3. 使用經過時間驗證的防重入 modifier

最怕的就是重復造輪子,在這個圈內有很多最佳安全實踐可以直接使用,完全沒必要重復造輪子。自造輪子沒有經過充分驗證,出問題的概率明顯高於使用成熟久經考驗的方案。

項目方安全建議

1. 合約開發遵循最佳安全實踐

2. 合約可升級、暫停

3. 採用時間鎖

4. 加大安全投入,建立完善的安全體系

5. 提高所有員工的安全意識

6. 預防內部作惡,在提升效率的同時增強風控

7. 謹慎引入三方,校驗上下遊

用戶/LP 如何判斷智能合約是否安全

1. 合約是否開源

2. Owner 是否採用多籤,多籤是否去中心化

3. 合約已有的交易情況

4. 合約是否爲代理合約,是否可升級,是否有時間鎖

5. 合約是否接受過多家機構審計,Owner 權限是否過大

6. 注意預言機的選擇和使用

總之,用戶在參與 DeFi 項目時要格外謹慎,多方面評估項目安全性,不要被高收益蒙蔽了雙眼。項目方則需要從多個層面構建安全防線,持續關注和改進項目的安全性。