Finanzas descentralizadas comunes vulnerabilidades de seguridad y medidas de prevención
Recientemente, un experto en seguridad compartió un curso de seguridad en Finanzas descentralizadas con los miembros de la comunidad. El experto revisó los importantes eventos de seguridad que ha enfrentado la industria de Web3 en el último año y más, y profundizó en las razones por las que ocurrieron estos eventos y cómo evitarlos. También resumió las vulnerabilidades de seguridad comunes de los contratos inteligentes y las medidas de prevención, y brindó algunos consejos de seguridad tanto para los proyectos como para los usuarios comunes.
Los tipos comunes de vulnerabilidades en Finanzas descentralizadas generalmente incluyen préstamos relámpago, manipulación de precios, problemas de permisos de funciones, llamadas externas arbitrarias, problemas de funciones de retroceso, vulnerabilidades en la lógica de negocio, filtración de claves privadas y ataques de reentrada. Este artículo se centrará en los préstamos relámpago, la manipulación de precios y los ataques de reentrada.
Préstamo relámpago
El préstamo relámpago es una innovación de las Finanzas descentralizadas, pero también es comúnmente utilizado por hackers. Los atacantes suelen pedir prestado una gran cantidad de fondos a través de un préstamo relámpago para manipular precios o atacar la lógica del negocio. Los desarrolladores necesitan considerar si la funcionalidad del contrato podría causar anormalidades debido a grandes sumas de dinero, o si podría ser explotada en una sola transacción interactuando con múltiples funciones para obtener recompensas indebidas.
Muchos proyectos de Finanzas descentralizadas parecen tener altos rendimientos, pero en realidad, el nivel de los equipos detrás de ellos varía considerablemente. Algunos proyectos pueden haber comprado su código, y aunque el código en sí no tenga vulnerabilidades, aún puede haber problemas lógicos. Por ejemplo, algunos proyectos distribuyen recompensas en momentos fijos según la cantidad de tokens que poseen los tenedores, pero los atacantes pueden aprovechar préstamos relámpago para comprar una gran cantidad de tokens, lo que lleva a que la mayor parte de las recompensas se desvíen hacia los atacantes.
Manipulación de precios
Los problemas de manipulación de precios están estrechamente relacionados con los préstamos relámpago, principalmente debido a que ciertos parámetros en el cálculo del precio pueden ser controlados por los usuarios. Hay dos tipos comunes de problemas:
Se utilizan datos de terceros para calcular precios, pero el uso no es correcto o falta una verificación, lo que lleva a la manipulación maliciosa de los precios.
Usar la cantidad de tokens en ciertas direcciones como variable de cálculo, y el saldo de tokens en estas direcciones puede ser temporalmente aumentado o disminuido.
Ataque de reingreso
Uno de los principales riesgos de llamar a contratos externos es que pueden tomar el control del flujo y realizar cambios inesperados en los datos. Un ejemplo típico de ataque de reentrada es en la función de retiro, donde el saldo del usuario no se establece en 0 hasta el final de la función, lo que permite que múltiples llamadas aún puedan retirar exitosamente.
Para diferentes contratos, los métodos de ataque de reentrada son diversos y pueden involucrar múltiples funciones diferentes o varios contratos. Al abordar el problema de la reentrada, es importante tener en cuenta los siguientes puntos:
No solo se debe prevenir el problema de reentrada de una sola función.
Seguir el patrón de Checks-Effects-Interactions para la codificación
Usar un modificador de prevención de reentrada comprobado por el tiempo
Es importante señalar que volver a inventar la rueda a menudo es peligroso. En el ámbito de Web3 ya existen muchas mejores prácticas de seguridad, y adoptar directamente estas soluciones maduras es más seguro que desarrollarlas por uno mismo.
Sugerencias de seguridad
Sugerencias de seguridad del proyecto
Seguir las mejores prácticas de seguridad en el desarrollo de contratos
Implementar funciones de actualización y pausa de contratos
Adoptar un mecanismo de bloqueo temporal
Aumentar la inversión en seguridad y establecer un sistema de seguridad completo.
Aumentar la conciencia de seguridad de todos los empleados
Prevenir el comportamiento malicioso interno, mientras se mejora la eficiencia y se refuerza el control de riesgos.
Introducir componentes de terceros con precaución, siguiendo el principio de "tanto el upstream como el downstream por defecto no son seguros"
¿Cómo pueden los usuarios/LP determinar si un contrato inteligente es seguro?
Confirmar si el contrato es de código abierto
Verificar si el Owner utiliza un mecanismo de múltiples firmas descentralizado
Ver la situación de las transacciones existentes del contrato
Entender si el contrato es un contrato de agencia, si es actualizable y si tiene un bloqueo temporal.
Confirma si el contrato ha sido auditado por varias instituciones y evalúa si los permisos del propietario son excesivos.
Presta atención al tipo y la fiabilidad del oráculo utilizado por el proyecto
En el entorno de Web3, la conciencia de seguridad es crucial. Los usuarios deben reflexionar más y estar alerta para evitar posibles riesgos de seguridad. Especialmente en momentos de mala situación del mercado, deben estar más atentos a las diversas posibles conductas fraudulentas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
18 me gusta
Recompensa
18
7
Compartir
Comentar
0/400
AirdropHunterXM
· Hace32m
Un préstamo relámpago feo y oscuro
Ver originalesResponder0
SelfRugger
· 07-31 13:56
¿Otra vez vienen a tomar a la gente por tonta? Solo hay que hodl.
Ver originalesResponder0
FlashLoanKing
· 07-31 11:16
Otra vez Flash Loans yyds
Ver originalesResponder0
GovernancePretender
· 07-31 11:14
Hacer protección de seguridad no puede curar la vida de los tontos.
Ver originalesResponder0
LiquidatorFlash
· 07-31 11:13
Los precios fluctúan un 0.3% y ya es necesario gestionar el riesgo. No esperes a la alarma de liquidación del 99.99%.
Ver originalesResponder0
MEVHunterBearish
· 07-31 11:10
Guía diaria para ser estafado
Ver originalesResponder0
rug_connoisseur
· 07-31 11:04
Escribí tanto y sigue siendo lo mismo, ¿no se va a eliminar esto?
Seguridad en DeFi: Guía de prevención contra Flash Loans, manipulación de precios y ataques por reentrada.
Finanzas descentralizadas comunes vulnerabilidades de seguridad y medidas de prevención
Recientemente, un experto en seguridad compartió un curso de seguridad en Finanzas descentralizadas con los miembros de la comunidad. El experto revisó los importantes eventos de seguridad que ha enfrentado la industria de Web3 en el último año y más, y profundizó en las razones por las que ocurrieron estos eventos y cómo evitarlos. También resumió las vulnerabilidades de seguridad comunes de los contratos inteligentes y las medidas de prevención, y brindó algunos consejos de seguridad tanto para los proyectos como para los usuarios comunes.
Los tipos comunes de vulnerabilidades en Finanzas descentralizadas generalmente incluyen préstamos relámpago, manipulación de precios, problemas de permisos de funciones, llamadas externas arbitrarias, problemas de funciones de retroceso, vulnerabilidades en la lógica de negocio, filtración de claves privadas y ataques de reentrada. Este artículo se centrará en los préstamos relámpago, la manipulación de precios y los ataques de reentrada.
Préstamo relámpago
El préstamo relámpago es una innovación de las Finanzas descentralizadas, pero también es comúnmente utilizado por hackers. Los atacantes suelen pedir prestado una gran cantidad de fondos a través de un préstamo relámpago para manipular precios o atacar la lógica del negocio. Los desarrolladores necesitan considerar si la funcionalidad del contrato podría causar anormalidades debido a grandes sumas de dinero, o si podría ser explotada en una sola transacción interactuando con múltiples funciones para obtener recompensas indebidas.
Muchos proyectos de Finanzas descentralizadas parecen tener altos rendimientos, pero en realidad, el nivel de los equipos detrás de ellos varía considerablemente. Algunos proyectos pueden haber comprado su código, y aunque el código en sí no tenga vulnerabilidades, aún puede haber problemas lógicos. Por ejemplo, algunos proyectos distribuyen recompensas en momentos fijos según la cantidad de tokens que poseen los tenedores, pero los atacantes pueden aprovechar préstamos relámpago para comprar una gran cantidad de tokens, lo que lleva a que la mayor parte de las recompensas se desvíen hacia los atacantes.
Manipulación de precios
Los problemas de manipulación de precios están estrechamente relacionados con los préstamos relámpago, principalmente debido a que ciertos parámetros en el cálculo del precio pueden ser controlados por los usuarios. Hay dos tipos comunes de problemas:
Ataque de reingreso
Uno de los principales riesgos de llamar a contratos externos es que pueden tomar el control del flujo y realizar cambios inesperados en los datos. Un ejemplo típico de ataque de reentrada es en la función de retiro, donde el saldo del usuario no se establece en 0 hasta el final de la función, lo que permite que múltiples llamadas aún puedan retirar exitosamente.
Para diferentes contratos, los métodos de ataque de reentrada son diversos y pueden involucrar múltiples funciones diferentes o varios contratos. Al abordar el problema de la reentrada, es importante tener en cuenta los siguientes puntos:
Es importante señalar que volver a inventar la rueda a menudo es peligroso. En el ámbito de Web3 ya existen muchas mejores prácticas de seguridad, y adoptar directamente estas soluciones maduras es más seguro que desarrollarlas por uno mismo.
Sugerencias de seguridad
Sugerencias de seguridad del proyecto
¿Cómo pueden los usuarios/LP determinar si un contrato inteligente es seguro?
En el entorno de Web3, la conciencia de seguridad es crucial. Los usuarios deben reflexionar más y estar alerta para evitar posibles riesgos de seguridad. Especialmente en momentos de mala situación del mercado, deben estar más atentos a las diversas posibles conductas fraudulentas.