Keamanan Umum dalam Keuangan Desentralisasi dan Tindakan Pencegahannya
Baru-baru ini, seorang ahli keamanan membagikan wawasan tentang keamanan DeFi kepada anggota komunitas. Ia meninjau peristiwa keamanan besar yang dihadapi industri Web3 selama lebih dari setahun terakhir, membahas penyebab peristiwa tersebut dan cara menghindarinya, merangkum kerentanan keamanan umum pada kontrak pintar dan langkah pencegahannya, serta memberikan beberapa saran keamanan kepada pengembang proyek dan pengguna.
Jenis-jenis kerentanan DeFi yang umum termasuk pinjaman kilat, manipulasi harga, masalah izin fungsi, panggilan eksternal sembarangan, masalah fungsi fallback, kerentanan logika bisnis, kebocoran kunci privat, dan serangan reentrancy. Berikut ini adalah penjelasan khusus tentang pinjaman kilat, manipulasi harga, dan serangan reentrancy.
Pinjaman Kilat
Pinjaman kilat adalah inovasi dalam Keuangan Desentralisasi, tetapi juga sering disalahgunakan oleh peretas. Pelaku serangan dapat meminjam sejumlah besar dana melalui pinjaman kilat, untuk memanipulasi harga atau menyerang logika bisnis. Para pengembang perlu mempertimbangkan apakah fungsi kontrak akan menyebabkan abnormalitas karena dana yang sangat besar, atau disalahgunakan untuk mendapatkan imbalan yang tidak semestinya.
Selama dua tahun terakhir, masalah pinjaman kilat sering terjadi. Beberapa proyek DeFi yang tampaknya memberikan imbal hasil tinggi, sebenarnya mungkin memiliki celah logika. Misalnya, ada proyek yang memberikan hadiah berdasarkan jumlah kepemilikan pada waktu tertentu, yang dimanfaatkan oleh penyerang dengan pinjaman kilat untuk membeli sejumlah besar token dan mendapatkan sebagian besar hadiah. Selain itu, beberapa proyek yang menghitung harga berdasarkan token, mungkin dipengaruhi oleh pinjaman kilat.
Manipulasi Harga
Masalah manipulasi harga terkait erat dengan pinjaman kilat, yang terutama terdiri dari dua jenis:
Menggunakan data pihak ketiga saat menghitung harga, tetapi cara penggunaannya tidak benar atau pemeriksaan tidak ada, yang mengakibatkan harga dimanipulasi secara jahat.
Menggunakan jumlah token dari alamat tertentu sebagai variabel perhitungan, di mana saldo token alamat tersebut dapat ditambah atau dikurangi sementara.
Serangan Reentrancy
Risiko utama dari memanggil kontrak eksternal adalah mereka dapat mengambil alih alur kontrol dan membuat perubahan data yang tidak terduga. Misalnya, dalam fungsi penarikan, jika saldo pengguna diatur menjadi 0 di akhir fungsi, maka panggilan ulang masih akan berhasil melakukan penarikan.
Mengatasi masalah reentrancy perlu diperhatikan:
Tidak hanya mencegah masalah reentrance dari satu fungsi.
Mengikuti pola Checks-Effects-Interactions dalam pengkodean
Menggunakan modifier reentrancy yang telah terverifikasi
Salah satu contoh klasik dari serangan reentrancy adalah peristiwa Omni Protocol. Peristiwa ini juga mengungkapkan persaingan di antara para hacker: transaksi dari penyerang asli diambil alih oleh hacker lain, yang akhirnya menyebabkan penemu celah menjadi yang paling diuntungkan, bukan yang terbanyak.
Saran Keamanan
Saran Keamanan Proyek
Mengikuti praktik keamanan terbaik dalam pengembangan kontrak
Mewujudkan fungsi kontrak yang dapat ditingkatkan dan dapat dijeda
Menggunakan mekanisme kunci waktu
Meningkatkan investasi keamanan, membangun sistem keamanan yang sempurna
Meningkatkan kesadaran keamanan semua karyawan
Mencegah kejahatan internal, sambil meningkatkan efisiensi dan memperkuat manajemen risiko
Hati-hati dalam memperkenalkan layanan pihak ketiga, ikuti prinsip "default upstream dan downstream tidak aman".
Metode untuk menilai keamanan smart contract oleh pengguna/LP
Periksa apakah kontrak tersebut open source
Konfirmasi apakah Pemilik menggunakan multi-tanda tangan yang terdesentralisasi
Lihat situasi transaksi yang sudah ada di kontrak
Memahami apakah kontrak tersebut adalah kontrak perwakilan, apakah dapat ditingkatkan, dan apakah ada kunci waktu.
Periksa apakah kontrak telah diaudit oleh beberapa lembaga, dan evaluasi apakah hak akses Owner terlalu besar.
Perhatikan pemilihan dan penggunaan oracle
Dalam lingkungan Web3, pengguna harus tetap waspada, banyak berpikir, dan banyak bertanya untuk menghindari risiko potensial. Untuk setiap proyek dengan imbal hasil tinggi, harus dengan hati-hati mengevaluasi keamanannya sebelum berpartisipasi.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
9 Suka
Hadiah
9
6
Bagikan
Komentar
0/400
AllInDaddy
· 8jam yang lalu
Sudah memplay people for suckers lagi ya
Lihat AsliBalas0
DogeBachelor
· 17jam yang lalu
Pinjaman Flash ada apa yang aneh, setelah memanfaatkan kesempatan langsung Rug Pull.
Lihat AsliBalas0
BearMarketSurvivor
· 17jam yang lalu
Perdagangan Mata Uang Kripto bertahun-tahun Rekt
Lihat AsliBalas0
IfIWereOnChain
· 17jam yang lalu
Mendengar satu kalimat dari Anda, saya rugi sebulan.
Analisis Kerentanan Keamanan DeFi: Panduan Pencegahan Pinjaman Flash, Manipulasi Harga, dan Serangan Re-entrancy
Keamanan Umum dalam Keuangan Desentralisasi dan Tindakan Pencegahannya
Baru-baru ini, seorang ahli keamanan membagikan wawasan tentang keamanan DeFi kepada anggota komunitas. Ia meninjau peristiwa keamanan besar yang dihadapi industri Web3 selama lebih dari setahun terakhir, membahas penyebab peristiwa tersebut dan cara menghindarinya, merangkum kerentanan keamanan umum pada kontrak pintar dan langkah pencegahannya, serta memberikan beberapa saran keamanan kepada pengembang proyek dan pengguna.
Jenis-jenis kerentanan DeFi yang umum termasuk pinjaman kilat, manipulasi harga, masalah izin fungsi, panggilan eksternal sembarangan, masalah fungsi fallback, kerentanan logika bisnis, kebocoran kunci privat, dan serangan reentrancy. Berikut ini adalah penjelasan khusus tentang pinjaman kilat, manipulasi harga, dan serangan reentrancy.
Pinjaman Kilat
Pinjaman kilat adalah inovasi dalam Keuangan Desentralisasi, tetapi juga sering disalahgunakan oleh peretas. Pelaku serangan dapat meminjam sejumlah besar dana melalui pinjaman kilat, untuk memanipulasi harga atau menyerang logika bisnis. Para pengembang perlu mempertimbangkan apakah fungsi kontrak akan menyebabkan abnormalitas karena dana yang sangat besar, atau disalahgunakan untuk mendapatkan imbalan yang tidak semestinya.
Selama dua tahun terakhir, masalah pinjaman kilat sering terjadi. Beberapa proyek DeFi yang tampaknya memberikan imbal hasil tinggi, sebenarnya mungkin memiliki celah logika. Misalnya, ada proyek yang memberikan hadiah berdasarkan jumlah kepemilikan pada waktu tertentu, yang dimanfaatkan oleh penyerang dengan pinjaman kilat untuk membeli sejumlah besar token dan mendapatkan sebagian besar hadiah. Selain itu, beberapa proyek yang menghitung harga berdasarkan token, mungkin dipengaruhi oleh pinjaman kilat.
Manipulasi Harga
Masalah manipulasi harga terkait erat dengan pinjaman kilat, yang terutama terdiri dari dua jenis:
Menggunakan data pihak ketiga saat menghitung harga, tetapi cara penggunaannya tidak benar atau pemeriksaan tidak ada, yang mengakibatkan harga dimanipulasi secara jahat.
Menggunakan jumlah token dari alamat tertentu sebagai variabel perhitungan, di mana saldo token alamat tersebut dapat ditambah atau dikurangi sementara.
Serangan Reentrancy
Risiko utama dari memanggil kontrak eksternal adalah mereka dapat mengambil alih alur kontrol dan membuat perubahan data yang tidak terduga. Misalnya, dalam fungsi penarikan, jika saldo pengguna diatur menjadi 0 di akhir fungsi, maka panggilan ulang masih akan berhasil melakukan penarikan.
Mengatasi masalah reentrancy perlu diperhatikan:
Salah satu contoh klasik dari serangan reentrancy adalah peristiwa Omni Protocol. Peristiwa ini juga mengungkapkan persaingan di antara para hacker: transaksi dari penyerang asli diambil alih oleh hacker lain, yang akhirnya menyebabkan penemu celah menjadi yang paling diuntungkan, bukan yang terbanyak.
Saran Keamanan
Saran Keamanan Proyek
Metode untuk menilai keamanan smart contract oleh pengguna/LP
Dalam lingkungan Web3, pengguna harus tetap waspada, banyak berpikir, dan banyak bertanya untuk menghindari risiko potensial. Untuk setiap proyek dengan imbal hasil tinggi, harus dengan hati-hati mengevaluasi keamanannya sebelum berpartisipasi.