التمويل اللامركزي المخاطر الأمنية الشائعة وطرق الوقاية

في الآونة الأخيرة، شارك أحد خبراء الأمن درسًا حول أمان التمويل اللامركزي للعضاء المجتمع. استعرض الخبير الأحداث الأمنية الكبيرة التي واجهتها صناعة Web3 على مدار العام الماضي، واستكشف أسباب حدوث هذه الأحداث وطرق تجنبها، وخلص إلى الثغرات الأمنية الشائعة في العقود الذكية والإجراءات الوقائية، كما قدم بعض النصائح الأمنية للجهات المعنية والمستخدمين العاديين.

تتضمن الأنواع الشائعة من ثغرات التمويل اللامركزي القروض الفورية، والتلاعب بالأسعار، ومشاكل صلاحيات الدوال، والاستدعاءات الخارجية العشوائية، ومشاكل دالة fallback، وثغرات منطق الأعمال، وتسرب المفاتيح الخاصة، وهجمات إعادة الإدخال، وغيرها. فيما يلي نركز على ثلاثة أنواع: القروض الفورية، التلاعب بالأسعار، وهجمات إعادة الإدخال.

! قسم أمان Cobo DeFi (الجزء الثاني) :D الثغرات الأمنية الشائعة والوقاية من eFi

القرض السريع

القروض الفورية هي في حد ذاتها ابتكار من التمويل اللامركزي، ولكن يمكن استخدامها من قبل المتسللين لاقتراض الأموال بدون تكلفة من أجل تحقيق الأرباح. يبدو أن العديد من مشاريع التمويل اللامركزي تحقق عوائد مرتفعة، لكن مستويات فرق العمل تختلف، وحتى لو لم يكن هناك ثغرات في الشيفرة نفسها، قد تظل هناك مشاكل من الناحية المنطقية. على سبيل المثال، تقوم بعض المشاريع بتوزيع المكافآت في أوقات محددة بناءً على عدد الرموز التي يمتلكها حاملوها، ومع ذلك يمكن للمتسللين استخدام القروض الفورية لشراء كميات كبيرة من الرموز، والحصول على معظم المكافآت عند توزيعها. وهناك أيضًا مشاريع تحسب الأسعار من خلال الرموز، يمكن أن تؤثر على الأسعار من خلال القروض الفورية. يجب على فرق العمل أن تكون أكثر حذرًا بشأن هذه المشكلات.

التحكم في الأسعار

تتعلق مشكلة التحكم في الأسعار ارتباطًا وثيقًا بالقروض الفورية، وذلك أساسًا لأن بعض المعلمات التي تستخدم في حساب الأسعار يمكن أن يتحكم بها المستخدمون. هناك نوعان شائعان من المشكلات:

1. عند حساب الأسعار، يتم استخدام بيانات طرف ثالث، ولكن الطريقة المستخدمة غير صحيحة أو أن الفحص مفقود مما يؤدي إلى التلاعب الخبيث في الأسعار.

2. استخدام عدد رموز بعض العناوين كمتغير حسابي، بينما يمكن زيادة أو تقليل رصيد رموز هذه العناوين مؤقتًا.

هجوم إعادة الإدخال

إحدى المخاطر الرئيسية لاستدعاء العقود الخارجية هي أنها يمكن أن تستولي على تدفق التحكم، مما يؤدي إلى تغييرات غير متوقعة في البيانات عند استدعاء الوظائف. توجد طرق عديدة لإعادة الإدخال للعقود المختلفة، ويمكن دمج وظائف مختلفة أو وظائف متعددة لعقود لإكمال الهجوم. عند معالجة مشكلة إعادة الإدخال، يجب الانتباه إلى:

1. لا يمنع فقط مشكلة إعادة الدخول لوظيفة واحدة

2. اتبع نمط Checks-Effects-Interactions في البرمجة

3. استخدام مُعدِّل مقاوم لإعادة الدخول مثبت عبر الزمن

أكثر ما أخشاه هو إعادة اختراع العجلة، فهناك العديد من الممارسات الأمنية المثلى التي يمكن استخدامها مباشرة في هذا المجال، ولا حاجة على الإطلاق لإعادة اختراع العجلة. إن اختراع العجلة من جديد دون تحقق كافٍ يزيد بشكل واضح من احتمال حدوث مشاكل مقارنة باستخدام حلول ناضجة وموثوقة.

نصائح الأمان لمشروع الطرف

1. تطوير العقود الذكية يتبع أفضل ممارسات الأمان

2. العقود قابلة للتحديث والإيقاف

3. استخدام قفل الوقت

4. زيادة الاستثمار في الأمن، وإنشاء نظام أمني متكامل

5. تعزيز الوعي الأمني لجميع الموظفين

6. منع الأذى الداخلي، مع تعزيز كفاءة التحكم في المخاطر في نفس الوقت

7. توخي الحذر عند إدخال الأطراف الثالثة، والتحقق من上下游

كيف يمكن للمستخدمين / مزودي السيولة تحديد ما إذا كانت العقود الذكية آمنة

1. هل العقد مفتوح المصدر

2. هل يستخدم المالك التوقيع المتعدد، وهل التوقيع المتعدد لامركزي؟

3. حالة التداول الحالية للعقد

4. هل العقد هو عقد وكيل، هل يمكن ترقيته، هل يوجد قفل زمني

5. هل تم تدقيق العقد من قبل عدة مؤسسات، وهل صلاحيات المالك كبيرة جدًا

6. انتبه لاختيار واستخدام الأوراق المالية

باختصار، يجب على المستخدمين أن يكونوا حذرين للغاية عند المشاركة في مشاريع التمويل اللامركزي، وأن يقيموا أمان المشاريع من جوانب متعددة، وألا ينخدعوا بالعوائد المرتفعة. يجب على الجهات المسؤولة عن المشاريع بناء خطوط دفاعية آمنة من عدة جوانب، والتركيز المستمر على تحسين أمان المشاريع.