DeFi 常見安全漏洞及預防措施

近期,一位安全專家爲社區成員分享了一堂 DeFi 安全課。他回顧了過去一年多 Web3 行業遭遇的重大安全事件,探討了這些事件發生的原因以及如何規避,總結了常見智能合約的安全漏洞及預防措施,並對項目方和普通用戶給出了一些安全建議。

常見的 DeFi 漏洞類型一般有閃電貸、價格操縱、函數權限問題、任意外部調用、fallback 函數問題、業務邏輯漏洞、私鑰泄漏、重入等。下面重點介紹閃電貸、價格操控以及重入攻擊這三種類型。

閃電貸

閃電貸本身是 DeFi 的一種創新,但被黑客利用時可能造成巨大損失:

• 攻擊者通過閃電貸借出大量資金,對價格進行操縱,攻擊業務邏輯等
• 開發者需考慮合約功能是否會因巨額資金導致異常,或被利用獲取不當收益
• 一些項目在設計功能時沒考慮閃電貸的影響,導致資金被盜

過去兩年出現了很多閃電貸相關問題。有些項目看起來收益很高,但實際上存在邏輯漏洞,比如:

• 在固定時間根據持倉量發放獎勵,被利用閃電貸操縱獲得大量獎勵
• 通過 Token 計算價格的項目,可被閃電貸影響價格

項目方應該對這些問題提高警惕。

價格操控

價格操控問題與閃電貸關係密切,主要有兩種類型:

1. 計算價格時使用第三方數據,但使用方式不正確或檢查缺失
2. 使用某些地址的 Token 數量作爲計算變量,而這些數量可被臨時操縱

重入攻擊

調用外部合約可能導致控制流被接管,對數據進行未預料的更改。一個典型的重入攻擊示例:

solidity mapping (address => uint) private userBalances;

function withdrawBalance() public { uint amountToWithdraw = userBalances[msg.sender]; (bool success, ) = msg.sender.call.value(amountToWithdraw)(""); require(success); userBalances[msg.sender] = 0; }

由於用戶餘額直到函數最後才設爲0,重復調用可以多次提取餘額。

解決重入問題需注意:

1. 不只防止單一函數的重入
2. 遵循 Checks-Effects-Interactions 模式
3. 使用經過驗證的防重入 modifier

建議使用成熟的最佳安全實踐,避免重復造輪子。

安全建議

對項目方的建議:

1. 遵循最佳安全實踐進行合約開發
2. 實現合約可升級、暫停功能
3. 採用時間鎖
4. 加大安全投入,建立完善的安全體系
5. 提高所有員工的安全意識
6. 預防內部作惡,在提升效率的同時增強風控
7. 謹慎引入第三方,默認上下遊都不安全

用戶如何判斷智能合約是否安全:

1. 檢查合約是否開源
2. 檢查 Owner 是否採用去中心化的多籤
3. 查看合約已有的交易情況
4. 檢查合約是否可升級,是否有時間鎖
5. 檢查是否接受多家機構審計,Owner 權限是否過大
6. 注意預言機的可靠性

總之,在 DeFi 領域,無論是項目方還是普通用戶,都需要提高安全意識,採取必要的安全措施,以降低風險,保護資產安全。