Análisis de vulnerabilidades de seguridad en Finanzas descentralizadas: Guía de prevención de Flash Loans, manipulación de precios y ataques de reentrada
Finanzas descentralizadas comunes vulnerabilidades de seguridad y medidas de prevención
Recientemente, un experto en seguridad compartió con los miembros de la comunidad sus ideas sobre la seguridad en las Finanzas descentralizadas. Repasó los importantes incidentes de seguridad que ha enfrentado la industria de Web3 en el último año, exploró las causas de estos eventos y cómo evitarlos, resumió las vulnerabilidades de seguridad comunes en los contratos inteligentes y las medidas preventivas, y brindó algunos consejos de seguridad para los proyectos y los usuarios.
Los tipos comunes de vulnerabilidades en Finanzas descentralizadas incluyen préstamos relámpago, manipulación de precios, problemas de permisos de funciones, llamadas externas arbitrarias, problemas con funciones de fallback, vulnerabilidades en la lógica de negocio, filtración de claves privadas y ataques de reentrada, entre otros. A continuación, se destacan los préstamos relámpago, la manipulación de precios y los ataques de reentrada.
Préstamo relámpago
El préstamo relámpago es una innovación de las Finanzas descentralizadas, pero también es utilizado comúnmente por hackers. Los atacantes pueden pedir prestado grandes cantidades de dinero a través de un préstamo relámpago para manipular precios o atacar la lógica de negocio. Los desarrolladores deben considerar si las funcionalidades del contrato podrían resultar en anomalías debido a grandes cantidades de dinero o ser utilizadas para obtener recompensas indebidas.
En los últimos dos años, han surgido problemas frecuentes con los préstamos relámpago. Algunos proyectos de Finanzas descentralizadas que parecen ofrecer altos rendimientos, en realidad pueden tener fallos lógicos. Por ejemplo, hay proyectos que otorgan recompensas en función de la cantidad de tokens en un tiempo fijo, que son explotados por atacantes que utilizan préstamos relámpago para comprar grandes cantidades de tokens y obtener la mayor parte de las recompensas. También hay proyectos que calculan precios a través de tokens, que pueden verse afectados por préstamos relámpago.
Manipulación de precios
El problema de la manipulación de precios está estrechamente relacionado con los préstamos relámpago, y hay principalmente dos tipos:
Se utilizan datos de terceros al calcular precios, pero el método de uso es incorrecto o falta verificación, lo que lleva a la manipulación maliciosa de precios.
Usar la cantidad de tokens de ciertas direcciones como variable de cálculo, y el saldo de tokens de estas direcciones puede ser aumentado o disminuido temporalmente.
Ataque de reingreso
El principal riesgo de llamar a contratos externos es que pueden tomar el control del flujo y realizar cambios inesperados en los datos. Por ejemplo, en la función de retiro, si el saldo del usuario se establece en 0 solo al final de la función, entonces el retiro seguirá siendo exitoso en llamadas repetidas.
Para resolver el problema de reentrada, es necesario prestar atención a:
No solo previene el problema de reentrada de una sola función.
Codificación siguiendo el patrón Checks-Effects-Interactions
Utilizar un modificador de reentrada verificado
Un caso típico de ataque de reingreso es el incidente del Omni Protocol. Este evento también revela la competencia entre los hackers: las transacciones del atacante original fueron adelantadas por otros hackers, lo que resultó en que el que descubrió la vulnerabilidad obtuviera ganancias en lugar de ser el que más ganó.
Sugerencias de Seguridad
Sugerencias de seguridad para el equipo del proyecto
Seguir las mejores prácticas de seguridad en el desarrollo de contratos.
Implementar funciones de contrato que sean actualizables y pausables
Adoptar un mecanismo de bloqueo temporal
Aumentar la inversión en seguridad y establecer un sistema de seguridad completo
Aumentar la conciencia de seguridad de todos los empleados
Prevenir el comportamiento malicioso interno, mejorando la eficiencia al mismo tiempo que se refuerza el control de riesgos.
Introducir servicios de terceros con precaución, siguiendo el principio de "por defecto, tanto el upstream como el downstream no son seguros".
Métodos para que los usuarios/LP evalúen la seguridad de los contratos inteligentes
Verifica si el contrato es de código abierto
Confirmar si el Owner utiliza una multisig descentralizada
Ver la situación de las transacciones existentes del contrato
Entender si el contrato es un contrato de agencia, si es actualizable y si tiene un bloqueo de tiempo.
Verifique si el contrato ha sido auditado por varias instituciones y evalúe si los permisos del propietario son excesivos.
Presta atención a la selección y uso de los oráculos.
En el entorno Web3, los usuarios deben mantenerse alerta, pensar más y preguntar más para evitar riesgos potenciales. Para cualquier proyecto de alto rendimiento, se debe evaluar cuidadosamente su seguridad antes de participar.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
6
Compartir
Comentar
0/400
AllInDaddy
· hace23h
Otra vez han tomado a la gente por tonta.
Ver originalesResponder0
DogeBachelor
· 08-02 07:52
Flash Loans tienen algo de especial, después de aprovecharse, se van a hacer un rug pull.
Ver originalesResponder0
BearMarketSurvivor
· 08-02 07:51
Comercio de criptomonedas durante años, Arruinado.
Ver originalesResponder0
IfIWereOnChain
· 08-02 07:41
Escuchar una sola palabra de usted puede hacer que uno pierda un mes.
Análisis de vulnerabilidades de seguridad en Finanzas descentralizadas: Guía de prevención de Flash Loans, manipulación de precios y ataques de reentrada
Finanzas descentralizadas comunes vulnerabilidades de seguridad y medidas de prevención
Recientemente, un experto en seguridad compartió con los miembros de la comunidad sus ideas sobre la seguridad en las Finanzas descentralizadas. Repasó los importantes incidentes de seguridad que ha enfrentado la industria de Web3 en el último año, exploró las causas de estos eventos y cómo evitarlos, resumió las vulnerabilidades de seguridad comunes en los contratos inteligentes y las medidas preventivas, y brindó algunos consejos de seguridad para los proyectos y los usuarios.
Los tipos comunes de vulnerabilidades en Finanzas descentralizadas incluyen préstamos relámpago, manipulación de precios, problemas de permisos de funciones, llamadas externas arbitrarias, problemas con funciones de fallback, vulnerabilidades en la lógica de negocio, filtración de claves privadas y ataques de reentrada, entre otros. A continuación, se destacan los préstamos relámpago, la manipulación de precios y los ataques de reentrada.
Préstamo relámpago
El préstamo relámpago es una innovación de las Finanzas descentralizadas, pero también es utilizado comúnmente por hackers. Los atacantes pueden pedir prestado grandes cantidades de dinero a través de un préstamo relámpago para manipular precios o atacar la lógica de negocio. Los desarrolladores deben considerar si las funcionalidades del contrato podrían resultar en anomalías debido a grandes cantidades de dinero o ser utilizadas para obtener recompensas indebidas.
En los últimos dos años, han surgido problemas frecuentes con los préstamos relámpago. Algunos proyectos de Finanzas descentralizadas que parecen ofrecer altos rendimientos, en realidad pueden tener fallos lógicos. Por ejemplo, hay proyectos que otorgan recompensas en función de la cantidad de tokens en un tiempo fijo, que son explotados por atacantes que utilizan préstamos relámpago para comprar grandes cantidades de tokens y obtener la mayor parte de las recompensas. También hay proyectos que calculan precios a través de tokens, que pueden verse afectados por préstamos relámpago.
Manipulación de precios
El problema de la manipulación de precios está estrechamente relacionado con los préstamos relámpago, y hay principalmente dos tipos:
Se utilizan datos de terceros al calcular precios, pero el método de uso es incorrecto o falta verificación, lo que lleva a la manipulación maliciosa de precios.
Usar la cantidad de tokens de ciertas direcciones como variable de cálculo, y el saldo de tokens de estas direcciones puede ser aumentado o disminuido temporalmente.
Ataque de reingreso
El principal riesgo de llamar a contratos externos es que pueden tomar el control del flujo y realizar cambios inesperados en los datos. Por ejemplo, en la función de retiro, si el saldo del usuario se establece en 0 solo al final de la función, entonces el retiro seguirá siendo exitoso en llamadas repetidas.
Para resolver el problema de reentrada, es necesario prestar atención a:
Un caso típico de ataque de reingreso es el incidente del Omni Protocol. Este evento también revela la competencia entre los hackers: las transacciones del atacante original fueron adelantadas por otros hackers, lo que resultó en que el que descubrió la vulnerabilidad obtuviera ganancias en lugar de ser el que más ganó.
Sugerencias de Seguridad
Sugerencias de seguridad para el equipo del proyecto
Métodos para que los usuarios/LP evalúen la seguridad de los contratos inteligentes
En el entorno Web3, los usuarios deben mantenerse alerta, pensar más y preguntar más para evitar riesgos potenciales. Para cualquier proyecto de alto rendimiento, se debe evaluar cuidadosamente su seguridad antes de participar.