دورة أمان التمويل اللامركزي: الثغرات الشائعة وتدابير الوقاية

مؤخراً، شارك خبير أمان دورة أمان التمويل اللامركزي لأعضاء المجتمع، واستعرض الأحداث الأمنية الكبرى التي شهدها قطاع Web3 على مدار أكثر من عام، وناقش أسباب وقوع هذه الأحداث وكيفية تجنبها، وقدم ملخصًا عن الثغرات الأمنية الشائعة في العقود الذكية وإجراءات الوقاية، وقدّم بعض النصائح الأمنية للمشاريع والمستخدمين العاديين.

أنواع الثغرات الشائعة في التمويل اللامركزي تشمل عادةً القروض الفورية، والتلاعب بالأسعار، ومشاكل صلاحيات الدوال، والاستدعاءات الخارجية العشوائية، ومشاكل دالة fallback، وثغرات المنطق التجاري، وتسرب المفاتيح الخاصة، وإعادة الإدخال، وغيرها. فيما يلي سنركز على القروض الفورية، والتلاعب بالأسعار، وهجمات إعادة الإدخال.

! قسم أمان Cobo DeFi (الجزء الثاني) :D الثغرات الأمنية الشائعة والوقاية من eFi

قرض الفلاش

القروض السريعة هي في حد ذاتها ابتكار في التمويل اللامركزي ، ولكن عندما يتم استغلالها من قبل المتسللين ، يمكنهم اقتراض كميات كبيرة من الأموال دون الحاجة إلى أي تكلفة ، وإجراء عمليات التحكيم ثم إعادتها ، مما يتطلب دفع رسوم غاز قليلة فقط لتحقيق أرباح ضخمة.

على مدار العامين الماضيين، أثارت القروض الفورية العديد من مشكلات الأمان. تبدو بعض مشاريع التمويل اللامركزي (DeFi) ذات عوائد مرتفعة، ولكن مستوى فرق العمل متباين. حتى لو لم يكن هناك ثغرات في الكود نفسه، فقد لا تزال هناك مشكلات من الناحية المنطقية. على سبيل المثال، هناك مشاريع تقوم بتوزيع المكافآت بناءً على حجم الحيازة في أوقات محددة، ولكن يتمكن المهاجمون من استخدام القروض الفورية لشراء كميات كبيرة من الرموز، وبالتالي الحصول على معظم المكافآت عند توزيعها. وهناك مشاريع أخرى تعتمد على حساب الأسعار من خلال الرموز، يمكن أن تؤثر أسعارها من خلال القروض الفورية. ينبغي على فرق العمل أن تكون أكثر حذراً بشأن هذه المشكلات.

التحكم في الأسعار

تتعلق مشكلة التلاعب في الأسعار ارتباطًا وثيقًا بالقروض الفورية، ويرجع ذلك أساسًا إلى إمكانية التحكم في بعض المعلمات أثناء حساب السعر. هناك نوعان شائعان من المشكلات:

1. عند حساب الأسعار، يتم استخدام بيانات من طرف ثالث، ولكن الطريقة المستخدمة غير صحيحة أو عدم التحقق يؤدي إلى التلاعب الخبيث في الأسعار.

2. استخدام رصيد التوكن لبعض العناوين كمتغيرات حسابية، في حين يمكن زيادة أو تقليل عدد التوكنات لتلك العناوين مؤقتًا.

هجوم إعادة الإدخال

أحد المخاطر الرئيسية لاستدعاء العقود الخارجية هو أنها قد تستولي على تدفق التحكم، مما يؤدي إلى تغييرات غير متوقعة في البيانات.

بالنسبة للعقود المختلفة، فإن أساليب هجوم إعادة الدخول متعددة، وقد تنطوي على دوال أو عقود متعددة. لحل مشكلة إعادة الدخول يجب الانتباه إلى:

1. لا يقتصر الأمر على منع مشكلة إعادة الإدخال لوظيفة واحدة فقط

2. اتباع نمط Checks-Effects-Interactions في البرمجة

3. استخدام مُعدل مُعتمد لمنع إعادة الدخول

من الأفضل استخدام ممارسات الأمان الناضجة، بدلاً من إعادة اختراع العجلة. الحلول الجديدة التي يتم تطويرها ذاتياً تفتقر إلى التحقق الكافي، واحتمالية حدوث المشاكل أعلى بكثير من استخدام الحلول الناضجة التي تم اختبارها على مر الزمن.

نصائح السلامة

نصائح أمان لمشروع الطرف

1. تطوير العقود يتبع أفضل ممارسات الأمان.

2. العقود قابلة للتحديث والتعليق: تساعد على اكتشاف وتقليل خسائر الهجمات في الوقت المناسب.

3. استخدام قفل الوقت: توفير نافذة زمنية للمراقبة والاستجابة.

4. زيادة الاستثمارات في الأمن، وإنشاء نظام أمني متكامل: الأمن هو عمل منهجي، ولا يمكن الاعتماد فقط على تدقيق العقود.

5. زيادة وعي جميع الموظفين بالأمان: التفكير أكثر والانتباه يمكن أن يتجنب العديد من المخاطر.

6. منع الأذى الداخلي، وتعزيز التحكم في المخاطر أثناء تحسين الكفاءة: مثل استخدام التوقيع المتعدد، وتقييد الأذونات، وغيرها.

7. توخى الحذر عند إدخال طرف ثالث: تحقق من الأطراف المعنية، لا تستشهد بالعقود غير المفتوحة المصدر.

طريقة المستخدم لتقييم أمان العقد

1. تأكد من أن العقد مفتوح المصدر

2. تحقق مما إذا كان المالك يستخدم التوقيع المتعدد اللامركزي

3. تحقق من حالة الصفقات الموجودة للعقد

4. معرفة ما إذا كان العقد قابلًا للتحديث، وما إذا كان هناك قفل زمني

5. راقب ما إذا كانت العقود قد خضعت لتدقيق من قبل عدة هيئات، وما إذا كانت صلاحيات المالك كبيرة جداً

6. انتبه إلى موثوقية الأوراق المالية

بشكل عام، يجب على المشاركين في مجال التمويل اللامركزي زيادة الوعي بالأمان، ويجب على الفرق المسؤولة عن المشاريع تحسين أنظمة الأمان، بينما يجب على المستخدمين تقييم أمان المشاريع بحذر. فقط من خلال جهود مشتركة يمكن بناء نظام بيئي أكثر أمانًا للتمويل اللامركزي.