التمويل اللامركزي أمن الثغرات والتدابير الوقائية

مؤخراً، شارك أحد خبراء الأمن دورة تدريبية حول أمان التمويل اللامركزي مع المجتمع. استعرض هذا الخبير الأحداث الأمنية الكبيرة التي تعرضت لها صناعة Web3 في السنة الماضية، واستكشف أسباب هذه الأحداث وكيفية تجنبها، وخلص إلى الثغرات الأمنية الشائعة في العقود الذكية والتدابير الوقائية، وقدم بعض النصائح الأمنية للمشاريع والمستخدمين.

تشمل أنواع الثغرات الشائعة في التمويل اللامركزي القروض الفورية، وتلاعب الأسعار، ومشاكل صلاحيات الدوال، والاستدعاءات الخارجية العشوائية، ومشاكل دالة الاسترجاع، وثغرات منطق الأعمال، وتسرب المفاتيح الخاصة، وهجمات إعادة الإدخال، وغيرها. تركز هذه المقالة على ثلاثة أنواع: القروض الفورية، وتلاعب الأسعار، وهجمات إعادة الإدخال.

! قسم أمان Cobo DeFi (الجزء الثاني) :D الثغرات الأمنية الشائعة والوقاية من eFi

قرض الفلاش

القروض الفورية هي ابتكار في التمويل اللامركزي لكن تم استغلالها أيضًا من قبل القراصنة للهجوم. يقوم المهاجمون بإقراض مبالغ ضخمة من الأموال عبر القروض الفورية، للتلاعب بالأسعار أو هجوم على منطق العمل. يحتاج المطورون إلى النظر في ما إذا كانت وظائف العقد ستؤدي إلى استثناءات بسبب كميات ضخمة من الأموال، أو يتم استغلالها للحصول على مكافآت غير مستحقة.

الكثير من مشاريع التمويل اللامركزي تتعرض لهجمات القروض الفورية بسبب مشاكل في الشفرة أو المنطق. على سبيل المثال، بعض المشاريع تمنح المكافآت بناءً على الحيازة في وقت معين، لكن المهاجمين يستغلون القروض الفورية لشراء كميات كبيرة من الرموز للحصول على معظم المكافآت. وبعض المشاريع الأخرى قد تتأثر أيضاً بالقروض الفورية من خلال حساب الأسعار عبر الرموز. يجب على فرق المشاريع أن تظل يقظة تجاه هذه المشكلات.

التحكم في الأسعار

تتعلق مشكلة التلاعب في الأسعار ارتباطًا وثيقًا بالقروض الفورية، وهناك حالتان رئيسيتان:

1. استخدام بيانات الطرف الثالث عند حساب الأسعار، لكن الطريقة المستخدمة غير صحيحة أو فحصها مفقود، مما أدى إلى التلاعب بالأسعار بشكل خبيث.

2. استخدام عدد Tokens من بعض العناوين كمتغيرات حسابية، بينما يمكن زيادة أو تقليل رصيد Tokens لتلك العناوين مؤقتًا.

هجوم إعادة الدخول

إن الخطر الرئيسي من استدعاء العقود الخارجية هو أنها قد تستولي على تدفق التحكم، مما يؤدي إلى تغييرات غير مقصودة في البيانات. على سبيل المثال:

صلابة تعيين (العنوان => uint) الخاص userBalances;

وظيفة withdrawBalance() عامة { uint amountToWithdraw = userBalances[msg.sender]; (bool النجاح ، ) = msg.sender.call.value(amountToWithdraw)( "" ); require(success). أرصدة المستخدم[msg.sender] = 0; }

نظرًا لأن رصيد المستخدم يتم تعيينه إلى 0 فقط في نهاية الدالة، ستظل المكالمات المتكررة ناجحة، ويمكن سحب الرصيد عدة مرات.

تأتي أشكال هجوم إعادة الإدخال متنوعة، وقد تشمل وظائف مختلفة لعقد واحد أو وظائف لعقود متعددة. عند معالجة مشكلة إعادة الإدخال، يجب الانتباه إلى:

1. لا يقتصر الأمر على منع إعادة الدخول لوظيفة واحدة
2. اتباع نمط Checks-Effects-Interactions في الترميز
3. استخدام modifier موثوق للتحقق من عدم إعادة الدخول

ينصح باستخدام ممارسات الأمان الناضجة لتجنب إعادة اختراع العجلة. الحلول الجديدة التي يتم تطويرها ذاتيًا تفتقر إلى التحقق الكافي، مما يزيد من احتمال حدوث مشكلات.

نصائح أمان

نصائح أمان المشروع

1. اتباع أفضل الممارسات الأمنية في تطوير العقود
2. تحقيق وظيفة ترقية العقد وإيقافه
3. استخدام آلية القفل الزمني
4. زيادة الاستثمار في الأمن، وإنشاء نظام أمان متكامل
5. رفع الوعي الأمني لدى جميع الموظفين
6. منع الأذى الداخلي، مع تعزيز كفاءة تعزيز إدارة المخاطر
7. يجب تقديم الاعتماد على الأطراف الثالثة بحذر، حيث أن الموردين والمستهلكين الافتراضيين غير آمنين.

كيف يمكن للمستخدمين تحديد أمان العقود الذكية

1. هل العقد مفتوح المصدر
2. هل المالك يستخدم التوقيع المتعدد اللامركزي؟
3. تحقق من حالة المعاملات الحالية للعقد
4. هل العقد قابل للتحديث، وهل هناك قفل زمني
5. هل تقبل تدقيق عدة مؤسسات، هل صلاحيات المالك كبيرة جداً
6. انتبه إلى موثوقية الأوراكيل

بصفة عامة، يجب على فرق المشروع والمستخدمين تعزيز الوعي بالأمان واتخاذ التدابير اللازمة لتقليل مخاطر أمان التمويل اللامركزي.