في الآونة الأخيرة، ناقش خبير أمان في مؤتمر عبر الإنترنت الأحداث الأمنية الكبرى التي شهدتها صناعة Web3 خلال العام الماضي، وحلل أسباب حدوث هذه الأحداث وكيفية تجنبها، وقدم ملخصًا للثغرات الأمنية الشائعة في العقود الذكية والتدابير الوقائية، كما قدم بعض النصائح الأمنية للمشاريع والمستخدمين العاديين.
تشمل الأنواع الشائعة من ثغرات التمويل اللامركزي القروض الفورية، وتلاعب الأسعار، ومشاكل صلاحيات الدوال، والاستدعاءات الخارجية العشوائية، ومشاكل دالة fallback، وثغرات منطق الأعمال، وتسرب المفاتيح الخاصة، وهجمات إعادة الإدخال. من بينها، تعتبر القروض الفورية، وتلاعب الأسعار، وهجمات إعادة الإدخال من الأنواع النموذجية.
قرض الفلاش
القرض الفوري هو في حد ذاته ابتكار في التمويل اللامركزي، ولكنه غالبًا ما يُستغل من قبل المتسللين. يقوم المهاجمون باقتراض كميات كبيرة من الأموال من خلال القرض الفوري، للتلاعب بالأسعار أو مهاجمة منطق الأعمال. يحتاج المطورون إلى مراعاة ما إذا كانت وظائف العقد ستؤدي إلى استثنائيات بسبب الأموال الضخمة، أو تُستخدم للتفاعل مع عدة دوال في صفقة واحدة للحصول على عائد غير مشروع.
على مدار العامين الماضيين، تعرضت العديد من مشاريع التمويل اللامركزي لهجمات بسبب مشاكل القروض الفورية. بعض المشاريع تمنح مكافآت بناءً على حجم الحيازة في وقت ثابت، ولكن تم استغلالها من قبل المهاجمين باستخدام القروض الفورية لشراء كميات كبيرة من الرموز، مما يتيح لهم الحصول على معظم العوائد عند توزيع المكافآت. وهناك أيضًا بعض المشاريع التي تحسب الأسعار بناءً على الرموز، مما يجعلها عرضة أيضًا لتأثير القروض الفورية.
التحكم في الأسعار
تتعلق مشكلة التحكم في الأسعار ارتباطًا وثيقًا بالقروض السريعة، وهناك نوعان رئيسيان:
عند حساب الأسعار، يتم استخدام بيانات طرف ثالث، ولكن إذا كانت طريقة الاستخدام غير صحيحة أو كانت هناك أخطاء في الفحص، فقد يؤدي ذلك إلى التلاعب بالأسعار بشكل خبيث.
استخدام عدد الرموز لعناوين معينة كمتغيرات حسابية، حيث يمكن زيادة أو تقليل رصيد الرموز لتلك العناوين مؤقتًا.
هجوم إعادة الدخول
أحد المخاطر الرئيسية لاستدعاء العقود الخارجية هو أنها قد تستحوذ على تدفق التحكم، وتقوم بإجراء تغييرات غير متوقعة على البيانات. فيما يلي مثال نموذجي لهجوم إعادة الإدخال:
صمغ
رسم الخرائط (address = > uint) أرصدة مستخدم خاصة ؛
وظيفة withdrawBalance() عامة {
uint amountToWithdraw = userBalances[msg.sender];
(bool النجاح ، ) = msg.sender.call.value(amountToWithdraw)( "" );
require(success).
أرصدة المستخدم[msg.sender] = 0;
}
نظرًا لأن رصيد المستخدم يتم تعيينه إلى 0 فقط في نهاية الدالة، فإن الاستدعاءات المتكررة لا تزال قادرة على سحب الرصيد بنجاح.
لحل مشكلة إعادة الدخول، يجب الانتباه إلى:
لا يمنع فقط إعادة الدخول لوظيفة واحدة
اتبع نمط الشيكات والتأثيرات والتفاعلات
استخدام معدل منع إعادة الدخول المعتمد
نصائح الأمان للمشروع
اتباع أفضل الممارسات الأمنية في تطوير العقود
تنفيذ وظائف ترقية العقد وإيقافها
استخدام آلية قفل الوقت
زيادة الاستثمار في الأمان، وإنشاء نظام أمان متكامل
زيادة الوعي الأمني بين جميع الموظفين
منع الأذى الداخلي، مع تعزيز كفاءة إدارة المخاطر في نفس الوقت
يجب الحذر عند إدخال طرف ثالث، الافتراضي أن كلا الجانبين غير آمنين
طرق المستخدمين لتقييم أمان العقود الذكية
تأكيد ما إذا كان العقد مفتوح المصدر
تحقق مما إذا كان المالك يستخدم توقيع متعدد لامركزي
الاطلاع على حالة التداول الحالية للعقد
تأكد من ما إذا كانت العقد قابلة للتحديث، وما إذا كان هناك قفل زمني
تحقق مما إذا كانت قد تم تدقيقها من قبل عدة مؤسسات، وما إذا كانت صلاحيات المالك كبيرة جداً.
انتبه إلى استخدام الأوراكيل
بالمجمل، تعتبر أمان التمويل اللامركزي مشكلة نظامية، تتطلب اهتماماً مشتركاً من الجانبين، سواء من المشاريع أو المستخدمين، واتباع تدابير أمان شاملة لتقليل المخاطر بشكل فعال.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
التمويل اللامركزي الشائع ثغرات الأمان و تدابير الوقاية الشاملة
التمويل اللامركزي المخاطر الأمنية الشائعة وطرق الوقاية
في الآونة الأخيرة، ناقش خبير أمان في مؤتمر عبر الإنترنت الأحداث الأمنية الكبرى التي شهدتها صناعة Web3 خلال العام الماضي، وحلل أسباب حدوث هذه الأحداث وكيفية تجنبها، وقدم ملخصًا للثغرات الأمنية الشائعة في العقود الذكية والتدابير الوقائية، كما قدم بعض النصائح الأمنية للمشاريع والمستخدمين العاديين.
تشمل الأنواع الشائعة من ثغرات التمويل اللامركزي القروض الفورية، وتلاعب الأسعار، ومشاكل صلاحيات الدوال، والاستدعاءات الخارجية العشوائية، ومشاكل دالة fallback، وثغرات منطق الأعمال، وتسرب المفاتيح الخاصة، وهجمات إعادة الإدخال. من بينها، تعتبر القروض الفورية، وتلاعب الأسعار، وهجمات إعادة الإدخال من الأنواع النموذجية.
قرض الفلاش
القرض الفوري هو في حد ذاته ابتكار في التمويل اللامركزي، ولكنه غالبًا ما يُستغل من قبل المتسللين. يقوم المهاجمون باقتراض كميات كبيرة من الأموال من خلال القرض الفوري، للتلاعب بالأسعار أو مهاجمة منطق الأعمال. يحتاج المطورون إلى مراعاة ما إذا كانت وظائف العقد ستؤدي إلى استثنائيات بسبب الأموال الضخمة، أو تُستخدم للتفاعل مع عدة دوال في صفقة واحدة للحصول على عائد غير مشروع.
على مدار العامين الماضيين، تعرضت العديد من مشاريع التمويل اللامركزي لهجمات بسبب مشاكل القروض الفورية. بعض المشاريع تمنح مكافآت بناءً على حجم الحيازة في وقت ثابت، ولكن تم استغلالها من قبل المهاجمين باستخدام القروض الفورية لشراء كميات كبيرة من الرموز، مما يتيح لهم الحصول على معظم العوائد عند توزيع المكافآت. وهناك أيضًا بعض المشاريع التي تحسب الأسعار بناءً على الرموز، مما يجعلها عرضة أيضًا لتأثير القروض الفورية.
التحكم في الأسعار
تتعلق مشكلة التحكم في الأسعار ارتباطًا وثيقًا بالقروض السريعة، وهناك نوعان رئيسيان:
عند حساب الأسعار، يتم استخدام بيانات طرف ثالث، ولكن إذا كانت طريقة الاستخدام غير صحيحة أو كانت هناك أخطاء في الفحص، فقد يؤدي ذلك إلى التلاعب بالأسعار بشكل خبيث.
استخدام عدد الرموز لعناوين معينة كمتغيرات حسابية، حيث يمكن زيادة أو تقليل رصيد الرموز لتلك العناوين مؤقتًا.
هجوم إعادة الدخول
أحد المخاطر الرئيسية لاستدعاء العقود الخارجية هو أنها قد تستحوذ على تدفق التحكم، وتقوم بإجراء تغييرات غير متوقعة على البيانات. فيما يلي مثال نموذجي لهجوم إعادة الإدخال:
صمغ رسم الخرائط (address = > uint) أرصدة مستخدم خاصة ؛
وظيفة withdrawBalance() عامة { uint amountToWithdraw = userBalances[msg.sender]; (bool النجاح ، ) = msg.sender.call.value(amountToWithdraw)( "" ); require(success). أرصدة المستخدم[msg.sender] = 0; }
نظرًا لأن رصيد المستخدم يتم تعيينه إلى 0 فقط في نهاية الدالة، فإن الاستدعاءات المتكررة لا تزال قادرة على سحب الرصيد بنجاح.
لحل مشكلة إعادة الدخول، يجب الانتباه إلى:
نصائح الأمان للمشروع
طرق المستخدمين لتقييم أمان العقود الذكية
بالمجمل، تعتبر أمان التمويل اللامركزي مشكلة نظامية، تتطلب اهتماماً مشتركاً من الجانبين، سواء من المشاريع أو المستخدمين، واتباع تدابير أمان شاملة لتقليل المخاطر بشكل فعال.
! قسم أمان Cobo DeFi (الجزء الثاني) :D الثغرات الأمنية الشائعة والوقاية من eFi