Merkezi Olmayan Finans güvenlik açıkları ve önleme yöntemleri

Son zamanlarda, bir güvenlik uzmanı toplulukla Merkezi Olmayan Finans güvenlik kursu paylaştı. Uzman, geçtiğimiz yıl Web3 sektörünün karşılaştığı önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve nasıl kaçınılacağına dair tartışmalarda bulundu, yaygın akıllı sözleşme güvenlik açıklarını ve önleme tedbirlerini özetledi ve proje sahipleri ile kullanıcılar için bazı güvenlik önerileri sundu.

Yaygın DeFi güvenlik açıkları arasında flash loan, fiyat manipülasyonu, fonksiyon yetki sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntıları ve yeniden giriş saldırıları gibi türler bulunmaktadır. Bu yazıda flash loan, fiyat manipülasyonu ve yeniden giriş saldırısı olmak üzere bu üç tür üzerinde durulacaktır.

Hızlı Kredi

Açık kredi, Merkezi Olmayan Finans'ın (DeFi) bir yeniliğidir, ancak aynı zamanda hackerlar tarafından saldırılar için kullanılmaktadır. Saldırganlar, açık kredi aracılığıyla büyük miktarda para borç alarak fiyatları manipüle eder veya iş mantığını hedef alır. Geliştiricilerin, sözleşme işlevlerinin büyük miktardaki fonlar nedeniyle anormal bir duruma yol açıp açmayacağını veya kötüye kullanılarak haksız kazanç elde edilip edilmeyeceğini düşünmeleri gerekmektedir.

Birçok Merkezi Olmayan Finans projesi, kod veya mantık sorunları nedeniyle hızlı kredi saldırılarına kolayca maruz kalmaktadır. Örneğin, bazı projeler belirli bir zaman diliminde pozisyona göre ödül verirken, saldırganlar hızlı krediyi kullanarak büyük miktarda token satın alıp ödüllerin çoğunu alabiliyor. Diğer bazı projeler Token ile fiyat hesaplaması yaparken, hızlı krediden etkilenebilir. Proje ekipleri bu sorunlara karşı dikkatli olmalıdır.

Fiyat Manipülasyonu

Fiyat manipülasyonu sorunu, hızlı kredilerle yakından ilişkilidir, başlıca iki durum vardır:

1. Fiyat hesaplama esnasında üçüncü taraf verileri kullanılır, ancak kullanım şekli yanlış veya kontrol eksikliği nedeniyle fiyat kötü niyetli bir şekilde manipüle edilir.

2. Belirli adreslerin Token miktarını hesaplama değişkeni olarak kullanın ve bu adreslerin Token bakiyeleri geçici olarak artırılabilir veya azaltılabilir.

Yeniden Giriş Saldırısı

Dış sözleşmeleri çağırmanın ana riski, kontrol akışını ele geçirebilmeleri ve verilere beklenmeyen değişiklikler yapabilmeleridir. Örneğin:

katılık mapping (address => uint) private userBalances;

function withdrawBalance() public { uint amountToWithdraw = userBalances[msg.sender]; (bool success, ) = msg.sender.call.value(amountToWithdraw)(""); require(başarı); userBalances[msg.sender] = 0; }

Kullanıcı bakiyesi işlevin sonunda 0 olarak ayarlandığından, tekrar tekrar çağrılar hala başarılı olacak ve bakiye birden fazla kez çekilebilir.

Reentrancy saldırısının birçok biçimi vardır, bu tek bir sözleşmenin farklı fonksiyonlarını veya birden fazla sözleşmenin fonksiyonlarını içerebilir. Reentrancy sorununu çözmek için dikkat edilmesi gerekenler:

1. Sadece tek bir fonksiyonun yeniden girişini önlemekle kalmaz
2. Checks-Effects-Interactions modeline uygun kodlama
3. Doğrulanmış reentrancy modifier'larını kullanın

Olgun güvenlik uygulamalarını kullanmanızı öneririm, tekerleği yeniden icat etmekten kaçının. Kendi geliştirdiğiniz yeni çözümler yeterince doğrulanmamış olabilir, sorun yaşama olasılığı daha yüksektir.

Güvenlik Önerileri

Proje tarafı güvenlik önerileri

1. Sözleşme geliştirme için en iyi güvenlik uygulamalarına uyun
2. Sözleşmenin yükseltilebilir ve durdurulabilir işlevlerini gerçekleştirmek
3. Zaman kilidi mekanizması kullanma
4. Güvenlik yatırımlarını artırmak, kapsamlı bir güvenlik sistemi kurmak
5. Tüm çalışanların güvenlik bilincini artırmak
6. İçerideki kötü niyetli davranışları önlemek, verimliliği artırırken risk kontrolünü güçlendirmek
7. Üçüncü taraf bağımlılıklarını dikkatlice tanıtın, varsayılan olarak yukarı ve aşağı akış güvenli değildir.

Kullanıcılar akıllı sözleşmelerin güvenliğini nasıl değerlendirir?

1. Sözleşme açık kaynak mı?
2. Owner merkezi olmayan çoklu imza kullanıyor mu?
3. Sözleşmenin mevcut işlem durumunu kontrol et
4. Sözleşme yükseltilebilir mi, zaman kilidi var mı?
5. Birden fazla kurumun denetimini kabul ediyor musunuz, Owner yetkisi fazla mı?
6. Orakların güvenilirliğine dikkat edin

Sonuç olarak, proje sahipleri ve kullanıcılar güvenlik bilincini artırmalı ve DeFi güvenlik risklerini azaltmak için gerekli önlemleri almalıdır.