DeFi常见安全漏洞及预防措施

近期,一位安全专家为社区成员分享了DeFi安全知识。他回顾了Web3行业过去一年多遭遇的重大安全事件,探讨了事件发生的原因及规避方法,总结了常见智能合约安全漏洞及预防措施,并给出了一些安全建议。

常见的DeFi漏洞类型包括闪电贷、价格操纵、函数权限问题、任意外部调用、fallback函数问题、业务逻辑漏洞、私钥泄漏、重入等。本文重点介绍闪电贷、价格操控以及重入攻击这三种类型。

闪电贷

闪电贷本身是DeFi的一种创新,但被黑客利用时可以无成本借入大量资金进行攻击。常见攻击往往伴随着闪电贷,攻击者借出大量资金后操纵价格或攻击业务逻辑。

开发者需要考虑合约功能是否会因巨额资金导致异常,或被利用在一笔交易中与多个函数交互获取不当收益。

有些项目会在固定时间根据持仓发放奖励,却被攻击者利用闪电贷购买大量代币获取大部分奖励。还有些项目通过Token计算价格,可被闪电贷影响。项目方应对这些问题提高警惕。

价格操控

价格操控问题与闪电贷密切相关,主要有两种类型:

1. 计算价格时使用第三方数据,但使用方式不正确或检查缺失导致价格被恶意操控。

2. 使用某些地址的Token数量作为计算变量,而这些地址的Token余额可被临时增减。

重入攻击

调用外部合约的主要风险是它们可能接管控制流,对数据进行意外更改。例如:

solidity mapping (address => uint) private userBalances;

function withdrawBalance() public { uint amountToWithdraw = userBalances[msg.sender]; (bool success, ) = msg.sender.call.value(amountToWithdraw)(""); require(success); userBalances[msg.sender] = 0; }

由于余额直到函数最后才置0,重复调用仍会成功提取。

重入攻击方式多样,可能涉及多个函数或合约。解决重入问题需注意:

1. 不只防止单一函数的重入
2. 遵循Checks-Effects-Interactions模式编码
3. 使用经验证的防重入modifier

应尽量使用成熟的安全实践,避免重复造轮子。

项目方安全建议

1. 合约开发遵循最佳安全实践

2. 合约可升级、暂停:及时发现并降低损失

3. 采用时间锁:给予检查和反应时间

4. 建立完善的安全体系:全面规避风险

5. 提高所有员工安全意识

6. 预防内部作恶,在提升效率同时加强风控

7. 谨慎引入第三方:校验上下游安全性

用户如何判断智能合约安全性

1. 合约是否开源

2. Owner是否采用去中心化多签

3. 检查合约已有交易情况

4. 合约是否可升级、是否有时间锁

5. 是否接受多家机构审计,Owner权限是否过大

6. 注意预言机的可靠性

总之,在DeFi领域安全至关重要。项目方和用户都应提高警惕,采取必要措施降低风险。