التمويل اللامركزي الأخطاء الأمنية الشائعة و تدابير الوقاية

في الآونة الأخيرة، شارك أحد خبراء الأمن رؤى حول أمان التمويل اللامركزي مع أعضاء المجتمع. وقد استعرض الأحداث الأمنية البارزة التي شهدها قطاع Web3 على مدار العام الماضي، وناقش أسباب هذه الأحداث وكيفية تجنبها، واستعرض الثغرات الأمنية الشائعة في العقود الذكية وإجراءات الوقاية، وقدم بعض النصائح الأمنية للجهات المشروع والمستخدمين.

تشمل الأنواع الشائعة من ثغرات التمويل اللامركزي القروض السريعة، وتلاعب الأسعار، ومشاكل صلاحيات الدوال، والاستدعاءات الخارجية العشوائية، ومشاكل دالة fallback، وثغرات منطق الأعمال، وتسرب المفاتيح الخاصة، وهجمات إعادة الإدخال، وغيرها. فيما يلي نركز على القروض السريعة، وتلاعب الأسعار، وهجمات إعادة الإدخال.

! قسم أمان Cobo DeFi (الجزء الثاني) :D الثغرات الأمنية الشائعة والوقاية من eFi

قرض فوري

القروض الفورية هي ابتكار في التمويل اللامركزي ، ولكن غالبًا ما يتم استغلالها من قبل القراصنة. يمكن للمهاجمين اقتراض كميات كبيرة من الأموال من خلال القروض الفورية للتلاعب بالأسعار أو مهاجمة منطق العمل. يحتاج المطورون إلى التفكير فيما إذا كانت وظائف العقد ستؤدي إلى استثنائيات بسبب كميات ضخمة من الأموال ، أو أن يتم استغلالها للحصول على مكافآت غير مناسبة.

على مدى العامين الماضيين، كانت هناك مشاكل متكررة في القروض الفورية. بعض مشاريع التمويل اللامركزي ذات العوائد العالية الظاهرة قد تحتوي في الواقع على ثغرات منطقية. على سبيل المثال، هناك مشاريع تمنح مكافآت بناءً على كمية الحيازة في وقت محدد، وقد استغلها المهاجمون من خلال القروض الفورية لشراء كميات كبيرة من الرموز والحصول على معظم المكافآت. وهناك مشاريع أخرى تعتمد على حساب الأسعار من خلال الرموز، قد تتأثر أسعارها بالقروض الفورية.

تلاعب الأسعار

مشكلة التلاعب بالأسعار مرتبطة ارتباطًا وثيقًا بالقروض الفورية، وهناك نوعان رئيسيان منها:

1. عند حساب الأسعار، يتم استخدام بيانات الطرف الثالث، ولكن الطريقة المستخدمة غير صحيحة أو أن الفحص مفقود، مما يؤدي إلى التحكم الخبيث في الأسعار.

2. استخدام عدد رموز العنوانات معينة كمتغير حسابي، حيث يمكن زيادة أو تقليل رصيد الرموز في هذه العنوانات بشكل مؤقت.

هجوم إعادة الدخول

المخاطر الرئيسية لاستدعاء العقود الخارجية هي أنها قد تستولي على تدفق التحكم وتجري تغييرات غير متوقعة على البيانات. على سبيل المثال، في دالة السحب، إذا تم تعيين رصيد المستخدم إلى 0 فقط في نهاية الدالة، فسوف تظل عملية السحب ناجحة عند الاستدعاء المتكرر.

لحل مشكلة إعادة الدخول، يجب الانتباه إلى:

1. لا يمنع فقط مشكلة إعادة الدخول لوظيفة واحدة
2. الالتزام بنمط Checks-Effects-Interactions في التشفير
3. استخدم المعدل المعتمد لمنع إعادة الإدخال

أحد الأمثلة النموذجية على هجمات إعادة الدخول هو حادث بروتوكول أومني. يكشف هذا الحادث أيضًا عن صراع بين القراصنة: تم الاستيلاء على معاملات المهاجم الأصلي من قبل قراصنة آخرين، مما أدى في النهاية إلى تحقيق الربح لمن اكتشف الثغرة بدلاً من الأكثر.

نصائح الأمان

نصائح أمان لمشروع

1. اتباع أفضل الممارسات الأمنية في تطوير العقود
2. تنفيذ العقود القابلة للتحديث والتوقف
3. استخدام آلية القفل الزمني
4. زيادة الاستثمار في الأمن، وإنشاء نظام أمني متكامل
5. زيادة الوعي بالأمان بين جميع الموظفين
6. منع الأذى الداخلي، وتعزيز إدارة المخاطر أثناء تحسين الكفاءة
7. احذر من إدخال خدمات الطرف الثالث، واتبع مبدأ "افتراض أن كلا الجانبين غير آمنين".

طرق المستخدمين/مقدمي السيولة (LP) لتقييم أمان العقود الذكية

1. تحقق مما إذا كانت العقد مفتوحة المصدر
2. تأكيد ما إذا كان المالك يستخدم توقيع متعدد لامركزي
3. عرض حالات التداول الحالية للعقد
4. معرفة ما إذا كانت العقد وكالة، وما إذا كانت قابلة للتحديث، وما إذا كانت تحتوي على قفل زمني
5. تحقق مما إذا كانت العقود قد خضعت لتدقيق من قبل العديد من المؤسسات، وقيم ما إذا كانت صلاحيات المالك كبيرة جداً.
6. انتبه لاختيار واستخدام الأوراق المالية

في بيئة Web3، يجب على المستخدمين أن يبقوا يقظين، وأن يفكروا ويستفسروا كثيرًا لتجنب المخاطر المحتملة. بالنسبة لأي مشروع عالي العائد، يجب تقييم سلامته بحذر قبل المشاركة.