Merkezi Olmayan Finans Yaygın Güvenlik Açıkları ve Önleme Tedbirleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için Merkezi Olmayan Finans güvenlik kursu paylaştı. Kurs, son bir yıl içinde Web3 endüstrisinin karşılaştığı önemli güvenlik olaylarını gözden geçiriyor, bu olayların nedenlerini ve önlenme yöntemlerini araştırıyor, yaygın akıllı sözleşme güvenlik açıklarını ve önleyici tedbirleri özetliyor ve proje sahipleri ile sıradan kullanıcılara bazı güvenlik önerileri sunuyor.
Sıkça görülen Merkezi Olmayan Finans (DeFi) açıkları arasında flash loan, fiyat manipülasyonu, fonksiyon yetki sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntısı ve yeniden giriş saldırıları bulunmaktadır. Bu makalede flash loan, fiyat manipülasyonu ve yeniden giriş saldırısı olmak üzere bu üç tür üzerinde durulacaktır.
Hızlı Kredi
Açık kredi, Merkezi Olmayan Finans'ın bir yeniliğidir, ancak aynı zamanda hackerlar tarafından da kullanılabilir. Saldırganlar genellikle açık kredi aracılığıyla büyük miktarda fon borçlanarak fiyatları manipüle eder veya iş mantığına saldırır. Geliştiricilerin, sözleşme işlevlerinin büyük miktardaki fonlar nedeniyle anormalliklere yol açıp açmayacağını veya büyük miktardaki fonların tek bir işlemde birden fazla fonksiyonla etkileşime girerek haksız kazanç elde etmesine olanak tanıyıp tanımayacağını dikkate alması gerekir.
Birçok Merkezi Olmayan Finans projesi yüksek getiri vaat ediyor gibi görünse de, proje ekiplerinin kalitesi değişkenlik göstermektedir. Bazı projeler satın alınmış kodlar kullanıyor olabilir, bu kodlar kendisi hatasız olsa bile, mantıksal olarak sorunlar içerebilir. Örneğin, bazı projeler belirli zaman dilimlerinde, token sahiplerinin miktarına göre ödül dağıtımı yapar; bu durum, saldırganların büyük miktarda token satın almak için flash loan kullanarak, ödül dağıtımı sırasında çoğu ödülü elde etmesine olanak tanıyabilir.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunu, kullanıcıların kontrol edebileceği bazı parametreler nedeniyle, genellikle fiyat hesaplaması ile yakından ilişkilidir. Yaygın sorun türleri iki tanedir:
Fiyat hesaplanırken üçüncü taraf verileri kullanılır, ancak kullanım şekli yanlış veya kontrol eksikliği nedeniyle fiyat kötü niyetli bir şekilde manipüle edilir.
Belirli adreslerin token miktarlarını hesaplama değişkeni olarak kullanın, bu adreslerin token bakiyeleri geçici olarak artırılabilir veya azaltılabilir.
Yeniden Giriş Saldırısı
Dış sözleşmeleri çağırmanın başlıca risklerinden biri, kontrol akışını ele geçirebilmeleri ve verilere beklenmedik değişiklikler yapabilmeleridir. Örneğin, bir çekim fonksiyonunda, eğer kullanıcı bakiyesi fonksiyonun sonuna kadar 0 olarak ayarlanmıyorsa, ikinci (ve daha sonraki) çağrılar hala başarılı olacak ve bu da tekrar eden çekimlere neden olacaktır.
Reentrancy sorununu çözmek için aşağıdaki noktalara dikkat edilmelidir:
Sadece tek bir fonksiyonun tekrar çağırılma sorununu önlemek yeterli değil.
Checks-Effects-Interactions modeline göre kod yazın.
Zamanla test edilmiş reentrancy modifier'ını kullanın.
Dikkate değer olan, tekrarlanan tekerlek yapımının daha fazla risk getirebileceğidir. İyi bir şekilde doğrulanmış en iyi güvenlik uygulamalarını kullanmak genellikle yeni yöntemler geliştirmekten daha güvenlidir.
Proje Tarafı Güvenlik Önerileri
Sözleşme geliştirmede en iyi güvenlik uygulamalarına uyun.
Sözleşmenin güncellenebilir ve durdurulabilir olmasını sağlamak.
Zaman kilidi mekanizması kullanın.
Güvenlik yatırımlarını artırmak ve kapsamlı bir güvenlik sistemi kurmak.
Tüm çalışanların güvenlik bilincini artırın.
İçsel kötü niyetli eylemleri önlemek, verimliliği artırırken risk kontrolünü güçlendirmek.
Üçüncü tarafları dikkatli bir şekilde dahil edin, varsayılan olarak yukarı ve aşağı akışın güvenli olmadığını varsayın.
Kullanıcı/LP Akıllı Sözleşmenin Güvenliğini Nasıl Değerlendirir
Sözleşmenin açık kaynak olup olmadığını doğrulayın.
Owner'ın çoklu imza kullanıp kullanmadığını ve çoklu imzanın merkeziyetsiz olup olmadığını kontrol edin.
Sözleşmenin mevcut işlem durumunu kontrol et.
Sözleşmenin bir vekil sözleşmesi olup olmadığını, güncellenip güncellenemeyeceğini ve zaman kilidi olup olmadığını onaylayın.
Sözleşmenin birden fazla kuruluştan denetim alıp almadığını ve Owner yetkisinin aşırı olup olmadığını kontrol edin.
Oraklerin kullanım durumuna dikkat edin.
Bu alanlara dikkat ederek, kullanıcılar akıllı sözleşmelerin güvenliğini daha iyi değerlendirebilir ve riskli projelere katılma olasılığını azaltabilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Likes
Reward
9
6
Share
Comment
0/400
GateUser-a180694b
· 15h ago
Flaş Krediler ah ah ah Emiciler Tarafından Oyuna Getirilmek olan eski dostlar değil mi?
View OriginalReply0
ContractCollector
· 15h ago
Şu anda Flaş Krediler gerçekten en çok açık istismar edilenler arasında.
View OriginalReply0
AirdropChaser
· 15h ago
Önce bir test yapayım, bu sefer birkaç enayiyi insanları enayi yerine koymak.
View OriginalReply0
BridgeTrustFund
· 15h ago
Yine Flaş Krediler başına bir iş geldi.
View OriginalReply0
DeFiVeteran
· 15h ago
Yine Flaş Krediler mağdurları mı olacak
View OriginalReply0
MidnightSnapHunter
· 16h ago
Reentrancy saldırıları artık herkesin bildiği bir konu değil mi? Artık kimse bunun ne olduğunu bilmiyor.
Merkezi Olmayan Finans'ın yaygın güvenlik açıklarının analizi: Flaş Krediler, fiyat manipülasyonu ve yeniden giriş saldırısı risklerinin önlenmesi
Merkezi Olmayan Finans Yaygın Güvenlik Açıkları ve Önleme Tedbirleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için Merkezi Olmayan Finans güvenlik kursu paylaştı. Kurs, son bir yıl içinde Web3 endüstrisinin karşılaştığı önemli güvenlik olaylarını gözden geçiriyor, bu olayların nedenlerini ve önlenme yöntemlerini araştırıyor, yaygın akıllı sözleşme güvenlik açıklarını ve önleyici tedbirleri özetliyor ve proje sahipleri ile sıradan kullanıcılara bazı güvenlik önerileri sunuyor.
Sıkça görülen Merkezi Olmayan Finans (DeFi) açıkları arasında flash loan, fiyat manipülasyonu, fonksiyon yetki sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntısı ve yeniden giriş saldırıları bulunmaktadır. Bu makalede flash loan, fiyat manipülasyonu ve yeniden giriş saldırısı olmak üzere bu üç tür üzerinde durulacaktır.
Hızlı Kredi
Açık kredi, Merkezi Olmayan Finans'ın bir yeniliğidir, ancak aynı zamanda hackerlar tarafından da kullanılabilir. Saldırganlar genellikle açık kredi aracılığıyla büyük miktarda fon borçlanarak fiyatları manipüle eder veya iş mantığına saldırır. Geliştiricilerin, sözleşme işlevlerinin büyük miktardaki fonlar nedeniyle anormalliklere yol açıp açmayacağını veya büyük miktardaki fonların tek bir işlemde birden fazla fonksiyonla etkileşime girerek haksız kazanç elde etmesine olanak tanıyıp tanımayacağını dikkate alması gerekir.
Birçok Merkezi Olmayan Finans projesi yüksek getiri vaat ediyor gibi görünse de, proje ekiplerinin kalitesi değişkenlik göstermektedir. Bazı projeler satın alınmış kodlar kullanıyor olabilir, bu kodlar kendisi hatasız olsa bile, mantıksal olarak sorunlar içerebilir. Örneğin, bazı projeler belirli zaman dilimlerinde, token sahiplerinin miktarına göre ödül dağıtımı yapar; bu durum, saldırganların büyük miktarda token satın almak için flash loan kullanarak, ödül dağıtımı sırasında çoğu ödülü elde etmesine olanak tanıyabilir.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunu, kullanıcıların kontrol edebileceği bazı parametreler nedeniyle, genellikle fiyat hesaplaması ile yakından ilişkilidir. Yaygın sorun türleri iki tanedir:
Yeniden Giriş Saldırısı
Dış sözleşmeleri çağırmanın başlıca risklerinden biri, kontrol akışını ele geçirebilmeleri ve verilere beklenmedik değişiklikler yapabilmeleridir. Örneğin, bir çekim fonksiyonunda, eğer kullanıcı bakiyesi fonksiyonun sonuna kadar 0 olarak ayarlanmıyorsa, ikinci (ve daha sonraki) çağrılar hala başarılı olacak ve bu da tekrar eden çekimlere neden olacaktır.
Reentrancy sorununu çözmek için aşağıdaki noktalara dikkat edilmelidir:
Dikkate değer olan, tekrarlanan tekerlek yapımının daha fazla risk getirebileceğidir. İyi bir şekilde doğrulanmış en iyi güvenlik uygulamalarını kullanmak genellikle yeni yöntemler geliştirmekten daha güvenlidir.
Proje Tarafı Güvenlik Önerileri
Kullanıcı/LP Akıllı Sözleşmenin Güvenliğini Nasıl Değerlendirir
Bu alanlara dikkat ederek, kullanıcılar akıllı sözleşmelerin güvenliğini daha iyi değerlendirebilir ve riskli projelere katılma olasılığını azaltabilir.