Merkezi Olmayan Finans Yaygın Güvenlik Açıkları ve Önleme Tedbirleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleriyle Merkezi Olmayan Finans güvenliği üzerine görüşlerini paylaştı. Geçtiğimiz bir yıl boyunca Web3 endüstrisinin karşılaştığı büyük güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve nasıl önlenebileceğini tartıştı, yaygın akıllı sözleşme güvenlik açıklarını ve önleyici tedbirleri özetledi ve proje sahipleri ile kullanıcılara bazı güvenlik önerileri sundu.
Yaygın DeFi açık türleri arasında flash loan, fiyat manipülasyonu, fonksiyon izin sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntıları ve reentrancy saldırıları gibi durumlar bulunmaktadır. Aşağıda flash loan, fiyat manipülasyonu ve reentrancy saldırısı olmak üzere bu üç tür üzerinde durulacaktır.
Hızlı Kredi
Hızlı kredi, Merkezi Olmayan Finans'ın (DeFi) bir yeniliğidir, ancak genellikle hackerlar tarafından kullanılmaktadır. Saldırganlar, hızlı krediler aracılığıyla büyük miktarda para borçlanarak fiyatları manipüle edebilir veya iş mantığını hedef alabilir. Geliştiricilerin, sözleşme işlevlerinin büyük miktardaki fonlar nedeniyle anormalliklere yol açıp açmayacağını veya kötü niyetli ödüller elde etmek için istismar edilip edilmeyeceğini düşünmeleri gerekmektedir.
Son iki yılda, flaş kredi sorunları sıkça yaşandı. Bazı yüksek getiri vaat eden Merkezi Olmayan Finans projeleri, aslında mantık hataları içerebilir. Örneğin, bazı projeler belirli bir zamanda pozisyon miktarına göre ödül dağıtıyor ve saldırganlar flaş krediyi kullanarak büyük miktarda token satın alıp ödüllerin çoğunu elde ediyor. Ayrıca, token fiyatlarını hesaplayan projeler, flaş krediden etkilenebilir.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunları, hızlı kredilerle yakından ilişkilidir ve esasen iki türü vardır:
Fiyat hesaplamak için üçüncü taraf verileri kullanılır, ancak kullanım şekli yanlış veya kontrol eksikliği nedeniyle fiyat kötü niyetli bir şekilde manipüle edilir.
Belirli adreslerin token sayısını hesaplama değişkeni olarak kullanın, bu adreslerin token bakiyeleri geçici olarak artırılabilir veya azaltılabilir.
Yeniden Giriş Saldırısı
Dış sözleşmeleri çağırmanın temel riski, kontrol akışını ele geçirebilmeleri ve verilere beklenmedik değişiklikler yapabilmeleridir. Örneğin, bir çekme fonksiyonunda, eğer kullanıcı bakiyesi fonksiyonun sonunda 0 olarak ayarlanıyorsa, tekrar çağrıldığında hala başarılı bir şekilde çekim yapılabilir.
Reentrancy sorununu çözmek için dikkat edilmesi gerekenler:
Sadece tek bir fonksiyonun yeniden giriş sorununu önlemekle kalmaz.
Checks-Effects-Interactions modeline göre kodlama
Doğrulanmış reentrancy modifier'ını kullanın
Reentrancy saldırısının tipik bir örneği Omni Protocol olayıdır. Bu olay ayrıca hackerlar arasındaki mücadeleyi de ortaya çıkardı: İlk saldırganın işlemleri, diğer hackerlar tarafından kapıldı ve nihayetinde açığı bulan kişi en fazla kazanç sağlamadı.
Güvenlik Önerileri
Proje tarafı güvenlik önerileri
Sözleşme geliştirme için en iyi güvenlik uygulamalarına uyun
Sözleşmenin yükseltilebilir ve durdurulabilir özelliklerini sağlamak
Zaman kilidi mekanizması kullanma
Güvenlik yatırımlarını artırın, kapsamlı bir güvenlik sistemi kurun.
Tüm çalışanların güvenlik bilincini artırmak
İçeriden kötü niyetli davranışları önlemek, verimliliği artırırken risk kontrolünü güçlendirmek
Üçüncü taraf hizmetlerini dikkatle entegre edin, "varsayılan olarak ne yukarı ne de aşağı güvenlidir" ilkesine uyun.
Kullanıcı/LP Akıllı Sözleşme Güvenliğini Değerlendirme Yöntemleri
Sözleşmenin açık kaynak olup olmadığını kontrol edin
Owner'ın merkezi olmayan çoklu imza kullanıp kullanmadığını onaylayın.
Sözleşmenin mevcut işlem durumunu kontrol et
Sözleşmenin bir vekil sözleşmesi olup olmadığını, yükseltilebilir olup olmadığını ve zaman kilidi olup olmadığını anlamak
Sözleşmenin birden fazla kurum tarafından denetimden geçip geçmediğini kontrol edin, Owner yetkisinin aşırı büyük olup olmadığını değerlendirin.
Oracle seçimleri ve kullanım durumlarına dikkat edin
Web3 ortamında, kullanıcılar dikkatli olmalı, daha fazla düşünmeli ve sormalıdırlar, böylece potansiyel risklerden kaçınabilirler. Herhangi bir yüksek getiri projesi için, katılmadan önce güvenliğini dikkatlice değerlendirmelidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Likes
Reward
9
6
Share
Comment
0/400
AllInDaddy
· 11h ago
Yine bir dalga enayileri insanları enayi yerine koymak oldu.
View OriginalReply0
DogeBachelor
· 20h ago
Flaş Krediler ne kadar ilginç, yünü aldıktan sonra Rug Pull.
View OriginalReply0
BearMarketSurvivor
· 20h ago
Kripto Para Trade yıllarca Rekt birikimi
View OriginalReply0
IfIWereOnChain
· 20h ago
Birinin söylediklerini dinlemek, bir ay kaybettirir.
View OriginalReply0
ApeEscapeArtist
· 20h ago
Her zaman enayiler insanların enayi yerine koymak.
Merkezi Olmayan Finans güvenlik açıkları analizi: Flaş Krediler, fiyat manipülasyonu ve yeniden giriş saldırılarına karşı önleme kılavuzu
Merkezi Olmayan Finans Yaygın Güvenlik Açıkları ve Önleme Tedbirleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleriyle Merkezi Olmayan Finans güvenliği üzerine görüşlerini paylaştı. Geçtiğimiz bir yıl boyunca Web3 endüstrisinin karşılaştığı büyük güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve nasıl önlenebileceğini tartıştı, yaygın akıllı sözleşme güvenlik açıklarını ve önleyici tedbirleri özetledi ve proje sahipleri ile kullanıcılara bazı güvenlik önerileri sundu.
Yaygın DeFi açık türleri arasında flash loan, fiyat manipülasyonu, fonksiyon izin sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntıları ve reentrancy saldırıları gibi durumlar bulunmaktadır. Aşağıda flash loan, fiyat manipülasyonu ve reentrancy saldırısı olmak üzere bu üç tür üzerinde durulacaktır.
Hızlı Kredi
Hızlı kredi, Merkezi Olmayan Finans'ın (DeFi) bir yeniliğidir, ancak genellikle hackerlar tarafından kullanılmaktadır. Saldırganlar, hızlı krediler aracılığıyla büyük miktarda para borçlanarak fiyatları manipüle edebilir veya iş mantığını hedef alabilir. Geliştiricilerin, sözleşme işlevlerinin büyük miktardaki fonlar nedeniyle anormalliklere yol açıp açmayacağını veya kötü niyetli ödüller elde etmek için istismar edilip edilmeyeceğini düşünmeleri gerekmektedir.
Son iki yılda, flaş kredi sorunları sıkça yaşandı. Bazı yüksek getiri vaat eden Merkezi Olmayan Finans projeleri, aslında mantık hataları içerebilir. Örneğin, bazı projeler belirli bir zamanda pozisyon miktarına göre ödül dağıtıyor ve saldırganlar flaş krediyi kullanarak büyük miktarda token satın alıp ödüllerin çoğunu elde ediyor. Ayrıca, token fiyatlarını hesaplayan projeler, flaş krediden etkilenebilir.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunları, hızlı kredilerle yakından ilişkilidir ve esasen iki türü vardır:
Fiyat hesaplamak için üçüncü taraf verileri kullanılır, ancak kullanım şekli yanlış veya kontrol eksikliği nedeniyle fiyat kötü niyetli bir şekilde manipüle edilir.
Belirli adreslerin token sayısını hesaplama değişkeni olarak kullanın, bu adreslerin token bakiyeleri geçici olarak artırılabilir veya azaltılabilir.
Yeniden Giriş Saldırısı
Dış sözleşmeleri çağırmanın temel riski, kontrol akışını ele geçirebilmeleri ve verilere beklenmedik değişiklikler yapabilmeleridir. Örneğin, bir çekme fonksiyonunda, eğer kullanıcı bakiyesi fonksiyonun sonunda 0 olarak ayarlanıyorsa, tekrar çağrıldığında hala başarılı bir şekilde çekim yapılabilir.
Reentrancy sorununu çözmek için dikkat edilmesi gerekenler:
Reentrancy saldırısının tipik bir örneği Omni Protocol olayıdır. Bu olay ayrıca hackerlar arasındaki mücadeleyi de ortaya çıkardı: İlk saldırganın işlemleri, diğer hackerlar tarafından kapıldı ve nihayetinde açığı bulan kişi en fazla kazanç sağlamadı.
Güvenlik Önerileri
Proje tarafı güvenlik önerileri
Kullanıcı/LP Akıllı Sözleşme Güvenliğini Değerlendirme Yöntemleri
Web3 ortamında, kullanıcılar dikkatli olmalı, daha fazla düşünmeli ve sormalıdırlar, böylece potansiyel risklerden kaçınabilirler. Herhangi bir yüksek getiri projesi için, katılmadan önce güvenliğini dikkatlice değerlendirmelidir.