التمويل اللامركزي 常见安全漏洞及预防措施

في الآونة الأخيرة، شارك خبير أمان درسًا حول أمان التمويل اللامركزي لأعضاء المجتمع. استعرض الأحداث الأمنية الكبرى التي شهدتها صناعة Web3 على مدى العام الماضي، وناقش أسباب حدوث هذه الأحداث وكيفية تجنبها، وقدم ملخصًا للثغرات الأمنية الشائعة في العقود الذكية وتدابير الوقاية، وقدّم بعض النصائح الأمنية لمطوري المشاريع والمستخدمين العاديين.

أنواع الثغرات الشائعة في التمويل اللامركزي عادة ما تشمل القروض الفورية، والتلاعب بالأسعار، ومشاكل صلاحيات الدوال، والاستدعاءات الخارجية العشوائية، ومشاكل دالة fallback، وثغرات منطق العمل، وتسرب المفاتيح الخاصة، والهجمات المتكررة، وغيرها. فيما يلي سنركز على القروض الفورية، والتلاعب بالأسعار، والهجمات المتكررة.

! قسم أمان Cobo DeFi (الجزء الثاني) :D الثغرات الأمنية الشائعة والوقاية من eFi

القرض الفوري

القرض الفوري هو نوع من الابتكار في التمويل اللامركزي، لكنه قد يتسبب في خسائر كبيرة عند استغلاله من قبل القراصنة:

• المهاجمون يستغلون القروض الفورية لاقتراض كميات كبيرة من الأموال، للتلاعب بالأسعار، وشن هجمات على منطق الأعمال، إلخ.
• يجب على المطورين أن يأخذوا في الاعتبار ما إذا كانت وظائف العقد ستتعرض لاستثنائات بسبب الأموال الضخمة، أو إذا كانت ستُستغل لتحقيق مكاسب غير مشروعة.
• بعض المشاريع لم تأخذ في الاعتبار تأثير القروض السريعة عند تصميم الوظائف، مما أدى إلى سرقة الأموال.

ظهرت العديد من المشاكل المتعلقة بالقروض الفورية في العامين الماضيين. تبدو بعض المشاريع ذات عوائد مرتفعة، لكنها في الواقع تحتوي على ثغرات منطقية، مثل:

• يتم توزيع المكافآت في أوقات محددة بناءً على حجم المراكز، وتم استخدام القروض الفورية للتلاعب والحصول على مكافآت كبيرة
• المشاريع التي تحسب الأسعار من خلال الرموز، يمكن أن تتأثر أسعارها بالقروض الفورية

يجب على الجهات المعنية بالمشروع أن تكون حذرة بشأن هذه المشاكل.

التحكم في الأسعار

تتعلق مشكلة تلاعب الأسعار ارتباطًا وثيقًا بالقروض السريعة، وهناك نوعان رئيسيان منها:

1. استخدام بيانات الطرف الثالث عند حساب الأسعار، ولكن الطريقة المستخدمة غير صحيحة أو هناك نقص في الفحص
2. استخدام عدد الرموز في عناوين معينة كمتغيرات حسابية، حيث يمكن التلاعب بهذه الأعداد مؤقتًا

هجوم إعادة الدخول

يمكن أن يؤدي استدعاء عقود خارجية إلى استيلاء على تدفق التحكم، مما يؤدي إلى تغييرات غير متوقعة في البيانات. مثال نموذجي على هجوم إعادة الإدخال:

صلابة رسم الخرائط (address = > uint) أرصدة مستخدم خاصة ؛

وظيفة withdrawBalance() عامة { uint amountToWithdraw = userBalances[msg.sender]; (bool النجاح ، ) = msg.sender.call.value(amountToWithdraw)( "" ); require(نجاح); أرصدة المستخدم[msg.sender] = 0; }

نظرًا لأن رصيد المستخدم يتم تعيينه إلى 0 فقط في نهاية الدالة، يمكن استدعاء الدالة المتكررة لسحب الرصيد عدة مرات.

لحل مشكلة إعادة الدخول، يجب الانتباه إلى:

1. لا يقتصر الأمر على منع إعادة إدخال دالة واحدة
2. اتبع نمط الشيكات والتأثيرات والتفاعلات
3. استخدم المُعدِّل المُعتمد ضد إعادة الإدخال

ينصح باستخدام أفضل الممارسات الأمنية الناضجة، وتجنب إعادة اختراع العجلة.

نصائح الأمان

نصيحة للمشروع:

1. اتباع أفضل الممارسات الأمنية في تطوير العقود
2. تحقيق قابلية ترقية العقد وميزة الإيقاف
3. استخدام قفل الوقت
4. زيادة الاستثمار في الأمان، وإنشاء نظام أمان متكامل
5. رفع الوعي الأمني لجميع الموظفين
6. منع الأذى الداخلي، مع تعزيز كفاءة الوقت وتعزيز إدارة المخاطر
7. يجب توخي الحذر عند إدخال طرف ثالث، الافتراض أن جميع الأطراف العليا والسفلى غير آمنة

كيف يمكن للمستخدمين الحكم على أمان العقود الذكية:

1. تحقق مما إذا كانت العقد مفتوحة المصدر
2. تحقق مما إذا كان المالك قد استخدم توقيعًا متعددًا لامركزيًا
3. راجع حالة التداول الحالية للعقد
4. تحقق مما إذا كانت العقد قابلة للتحديث، وما إذا كان هناك قفل زمني
5. تحقق مما إذا كانت هناك مراجعة من قبل عدة جهات، وما إذا كانت صلاحيات المالك كبيرة جداً
6. انتبه إلى موثوقية الأوراكيل

بالمجمل، في مجال التمويل اللامركزي، يحتاج كل من المشاريع والمستخدمين العاديين إلى تعزيز الوعي الأمني، واتخاذ التدابير الأمنية اللازمة، لتقليل المخاطر، وحماية أصولهم.