Análisis de las vulnerabilidades de seguridad comunes en Finanzas descentralizadas: prevención de riesgos de Flash Loans, manipulación de precios y ataques de reentrada.
Finanzas descentralizadas comunes vulnerabilidades de seguridad y medidas de prevención
Recientemente, un experto en seguridad compartió un curso de seguridad en Finanzas descentralizadas para los miembros de la comunidad. El curso revisó los importantes incidentes de seguridad que ha enfrentado la industria Web3 en el último año, exploró las causas de estos eventos y los métodos para evitarlos, resumió las vulnerabilidades de seguridad más comunes en los contratos inteligentes y las medidas de prevención, y proporcionó algunas recomendaciones de seguridad para los desarrolladores de proyectos y los usuarios en general.
Los tipos comunes de vulnerabilidades en Finanzas descentralizadas incluyen préstamos relámpago, manipulación de precios, problemas de permisos de funciones, llamadas externas arbitrarias, problemas con funciones de fallback, vulnerabilidades en la lógica de negocio, filtración de claves privadas y ataques de reentrada. Este artículo se centrará en los préstamos relámpago, la manipulación de precios y los ataques de reentrada.
Préstamo relámpago
Los préstamos relámpago son una innovación en las Finanzas descentralizadas, pero también pueden ser utilizados por hackers. Los atacantes suelen pedir prestados grandes cantidades de dinero a través de préstamos relámpago para manipular los precios o atacar la lógica del negocio. Los desarrolladores deben considerar si las funciones del contrato podrían comportarse de manera anormal debido a grandes cantidades de dinero, o si es posible obtener recompensas indebidas interactuando con múltiples funciones en una sola transacción mediante grandes sumas de dinero.
Muchos proyectos de Finanzas descentralizadas parecen tener altos rendimientos, pero el nivel de los desarrolladores del proyecto varía. Algunos proyectos pueden utilizar código comprado; aunque el código en sí no tenga vulnerabilidades, aún pueden existir problemas lógicos. Por ejemplo, algunos proyectos otorgan recompensas en momentos fijos según la cantidad de tokens de los titulares, lo que puede ser explotado por atacantes que utilizan préstamos relámpago para comprar una gran cantidad de tokens y obtener la mayor parte de las recompensas en el momento de la distribución.
Manipulación de precios
Los problemas de manipulación de precios están estrechamente relacionados con los préstamos relámpago, principalmente debido a que ciertos parámetros pueden ser controlados por los usuarios al calcular el precio. Existen dos tipos comunes de problemas:
Al calcular el precio se utilizan datos de terceros, pero el uso no es correcto o falta verificación, lo que provoca que el precio sea manipulado maliciosamente.
Utilizar la cantidad de tokens de ciertas direcciones como variable de cálculo, y los saldos de tokens de esas direcciones pueden ser aumentados o disminuidos temporalmente.
Ataque de reentrada
Uno de los principales riesgos de llamar a contratos externos es que pueden tomar el control del flujo y realizar cambios no anticipados en los datos. Por ejemplo, en la función de retiro, si el saldo del usuario se establece en 0 solo al final de la función, entonces una segunda (y posteriores) llamadas aún tendrán éxito, lo que resultará en retiros duplicados.
Para resolver el problema de reentrada, hay que tener en cuenta los siguientes puntos:
No solo hay que prevenir el problema de reentrada de una única función.
Seguir el patrón Checks-Effects-Interactions durante la codificación.
Utilizar modificadores de prevención de reentrada que han sido probados con el tiempo.
Es importante señalar que reinventar la rueda puede conllevar más riesgos. Usar las mejores prácticas de seguridad que han sido ampliamente verificadas suele ser más seguro que desarrollar nuevos métodos por uno mismo.
Sugerencias de seguridad para el proyecto
Seguir las mejores prácticas de seguridad en el desarrollo de contratos.
Implementar la función de actualización y pausa del contrato.
Adoptar un mecanismo de bloqueo temporal.
Aumentar la inversión en seguridad y establecer un sistema de seguridad completo.
Aumentar la concienciación sobre la seguridad de todos los empleados.
Prevenir el mal uso interno, mejorando la eficiencia mientras se refuerza el control de riesgos.
Introducir terceros con precaución, asumiendo que tanto los proveedores como los consumidores no son seguros.
Cómo pueden los usuarios/LP determinar si un contrato inteligente es seguro
Confirme si el contrato es de código abierto.
Verificar si el Owner utiliza múltiples firmas y si estas son descentralizadas.
Ver la situación de las transacciones existentes del contrato.
Confirma si el contrato es un contrato de代理, si es actualizable y si tiene un bloqueo de tiempo.
Verificar si el contrato ha sido auditado por varias instituciones y si los permisos del propietario son excesivos.
Presta atención al uso de los oráculos.
Al prestar atención a estos aspectos, los usuarios pueden evaluar mejor la seguridad de los contratos inteligentes y reducir la posibilidad de participar en proyectos de alto riesgo.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
9 me gusta
Recompensa
9
6
Compartir
Comentar
0/400
GateUser-a180694b
· hace8h
Flash Loans, tontos, ¿verdad que es un viejo compañero de tomar a la gente por tonta?
Ver originalesResponder0
ContractCollector
· hace8h
Ahora los Flash Loans son realmente los más explotados.
Ver originalesResponder0
AirdropChaser
· hace8h
Voy a intentar ver qué pasa, esta vez me han tomado a la gente por tonta a varios tontos.
Ver originalesResponder0
BridgeTrustFund
· hace8h
Otra vez se presentan problemas con los Flash Loans
Ver originalesResponder0
DeFiVeteran
· hace8h
Otra vez hay víctimas de Flash Loans.
Ver originalesResponder0
MidnightSnapHunter
· hace8h
El ataque de reentrada es un tema recurrente, ¿verdad? Ahora, ¿quién no lo sabe?
Análisis de las vulnerabilidades de seguridad comunes en Finanzas descentralizadas: prevención de riesgos de Flash Loans, manipulación de precios y ataques de reentrada.
Finanzas descentralizadas comunes vulnerabilidades de seguridad y medidas de prevención
Recientemente, un experto en seguridad compartió un curso de seguridad en Finanzas descentralizadas para los miembros de la comunidad. El curso revisó los importantes incidentes de seguridad que ha enfrentado la industria Web3 en el último año, exploró las causas de estos eventos y los métodos para evitarlos, resumió las vulnerabilidades de seguridad más comunes en los contratos inteligentes y las medidas de prevención, y proporcionó algunas recomendaciones de seguridad para los desarrolladores de proyectos y los usuarios en general.
Los tipos comunes de vulnerabilidades en Finanzas descentralizadas incluyen préstamos relámpago, manipulación de precios, problemas de permisos de funciones, llamadas externas arbitrarias, problemas con funciones de fallback, vulnerabilidades en la lógica de negocio, filtración de claves privadas y ataques de reentrada. Este artículo se centrará en los préstamos relámpago, la manipulación de precios y los ataques de reentrada.
Préstamo relámpago
Los préstamos relámpago son una innovación en las Finanzas descentralizadas, pero también pueden ser utilizados por hackers. Los atacantes suelen pedir prestados grandes cantidades de dinero a través de préstamos relámpago para manipular los precios o atacar la lógica del negocio. Los desarrolladores deben considerar si las funciones del contrato podrían comportarse de manera anormal debido a grandes cantidades de dinero, o si es posible obtener recompensas indebidas interactuando con múltiples funciones en una sola transacción mediante grandes sumas de dinero.
Muchos proyectos de Finanzas descentralizadas parecen tener altos rendimientos, pero el nivel de los desarrolladores del proyecto varía. Algunos proyectos pueden utilizar código comprado; aunque el código en sí no tenga vulnerabilidades, aún pueden existir problemas lógicos. Por ejemplo, algunos proyectos otorgan recompensas en momentos fijos según la cantidad de tokens de los titulares, lo que puede ser explotado por atacantes que utilizan préstamos relámpago para comprar una gran cantidad de tokens y obtener la mayor parte de las recompensas en el momento de la distribución.
Manipulación de precios
Los problemas de manipulación de precios están estrechamente relacionados con los préstamos relámpago, principalmente debido a que ciertos parámetros pueden ser controlados por los usuarios al calcular el precio. Existen dos tipos comunes de problemas:
Ataque de reentrada
Uno de los principales riesgos de llamar a contratos externos es que pueden tomar el control del flujo y realizar cambios no anticipados en los datos. Por ejemplo, en la función de retiro, si el saldo del usuario se establece en 0 solo al final de la función, entonces una segunda (y posteriores) llamadas aún tendrán éxito, lo que resultará en retiros duplicados.
Para resolver el problema de reentrada, hay que tener en cuenta los siguientes puntos:
Es importante señalar que reinventar la rueda puede conllevar más riesgos. Usar las mejores prácticas de seguridad que han sido ampliamente verificadas suele ser más seguro que desarrollar nuevos métodos por uno mismo.
Sugerencias de seguridad para el proyecto
Cómo pueden los usuarios/LP determinar si un contrato inteligente es seguro
Al prestar atención a estos aspectos, los usuarios pueden evaluar mejor la seguridad de los contratos inteligentes y reducir la posibilidad de participar en proyectos de alto riesgo.