التمويل اللامركزي المشاكل الأمنية الشائعة ووسائل الوقاية

مؤخراً، شارك خبير أمان مع أعضاء المجتمع درساً حول أمان التمويل اللامركزي. استعرض الخبير الأحداث الأمنية الكبرى التي تعرض لها قطاع Web3 خلال العام الماضي، وتناول أسباب حدوث هذه الأحداث وكيفية تجنبها، وقدم ملخصاً للثغرات الأمنية الشائعة في العقود الذكية وإجراءات الوقاية، وقدم بعض النصائح الأمنية للجهات المعنية والمستخدمين العاديين.

تشمل الأنواع الشائعة من ثغرات التمويل اللامركزي القروض السريعة، والتلاعب بالأسعار، ومشاكل صلاحيات الدوال، والاستدعاءات الخارجية العشوائية، ومشاكل دالة العودة، وثغرات منطق الأعمال، وتسرب المفاتيح الخاصة، وهجمات إعادة الدخول. ستركز هذه المقالة على القروض السريعة، والتلاعب بالأسعار، وهجمات إعادة الدخول.

! قسم أمان Cobo DeFi (الجزء الثاني) :D الثغرات الأمنية الشائعة والوقاية من eFi

القرض الفوري

القرض الفوري هو ابتكار في التمويل اللامركزي ، ولكنه غالبًا ما يُستغل من قبل القراصنة. عادةً ما يقوم المهاجمون بإقراض كميات كبيرة من الأموال من خلال القرض الفوري، للتلاعب بالأسعار أو مهاجمة منطق الأعمال. يحتاج المطورون إلى النظر فيما إذا كانت وظائف العقد ستؤدي إلى استثناءات بسبب الأموال الضخمة، أو ما إذا كان من الممكن استغلالها للحصول على مكافآت غير مشروعة.

تبدو العديد من مشاريع التمويل اللامركزي ذات عوائد مرتفعة، لكن في الواقع، مستوى فرق المشروع متفاوت. حتى لو لم يكن هناك ثغرات في الكود نفسه، قد لا تزال هناك مشكلات من الناحية المنطقية. على سبيل المثال، تقوم بعض المشاريع بتوزيع المكافآت في أوقات محددة بناءً على عدد الرموز التي يمتلكها حامل الرمز، ومع ذلك، يستغل المهاجمون القروض الفورية لشراء كميات كبيرة من الرموز، مما يمكنهم من الحصول على معظم المكافآت عند توزيعها.

تلاعب الأسعار

تتعلق مشكلة التحكم في الأسعار ارتباطًا وثيقًا بالقروض السريعة، ويرجع ذلك أساسًا إلى أن بعض المعلمات المستخدمة في حساب الأسعار يمكن التحكم فيها من قبل المستخدمين. هناك نوعان شائعان من المشكلات:

1. عند حساب الأسعار، يتم استخدام بيانات من طرف ثالث، ولكن الطريقة المستخدمة غير صحيحة أو التحقق مفقود، مما يؤدي إلى التلاعب الخبيث في الأسعار.
2. استخدام كمية الرموز في بعض العناوين كمتغير حسابي، حيث يمكن زيادة أو تقليل رصيد الرموز في هذه العناوين مؤقتًا.

هجوم إعادة الإدخال

واحد من المخاطر الرئيسية لاستدعاء العقود الخارجية هو أنها قد تستولي على تدفق التحكم وتقوم بإجراء تغييرات غير متوقعة على البيانات. مثال نموذجي لهجوم إعادة الإدخال هو إتمام عملية التحويل قبل تحديث رصيد المستخدم، مما يسمح للمهاجم بسحب الرصيد مرارًا وتكرارًا.

لحل مشكلة إعادة الإدخال، يجب الانتباه إلى النقاط التالية:

1. لا ينبغي فقط منع مشكلة إعادة الدخول لوظيفة واحدة؛
2. اتبع نمط Checks-Effects-Interactions في الترميز؛
3. استخدم مُعدِّل الحماية من إعادة الدخول الذي تم التحقق من صحته عبر الزمن.

من الجدير بالذكر أن هناك العديد من أفضل الممارسات الأمنية في هذا المجال، ولا داعي لإعادة اختراع العجلة. استخدام الحلول الناضجة التي تم التحقق منها بشكل كافٍ هو أكثر أمانًا من تطوير حلول جديدة بنفسك.

نصائح أمان لمشروع الفريق

1. اتباع أفضل ممارسات الأمان في تطوير العقود.
2. تنفيذ وظيفة قابلة للترقية وقابلة للإيقاف للعقد.
3. استخدام آلية قفل الوقت.
4. زيادة الاستثمارات في الأمان، وإنشاء نظام أمان متكامل.
5. زيادة الوعي بالأمان بين جميع الموظفين.
6. منع الأذى الداخلي، مع تعزيز إدارة المخاطر أثناء تحسين الكفاءة.
7. احرص على إدخال الاعتماد على الطرف الثالث بحذر، وقم بإجراء التحقق الأمني على الأطراف العليا والسفلى.

كيف يمكن للمستخدمين تحديد ما إذا كانت العقود الذكية آمنة

1. تأكيد ما إذا كانت العقد مفتوحة المصدر.
2. تحقق مما إذا كان المالك يستخدم آلية توقيع متعددة لامركزية.
3. تحقق من حالة التداول الحالية للعقد.
4. تحقق مما إذا كانت العقدة هي عقد代理، وما إذا كانت قابلة للتحديث، وما إذا كان هناك قفل زمني.
5. تأكد من ما إذا كانت العقد قد خضعت لعدة تدقيقات من قبل مؤسسات مختلفة، وما إذا كانت صلاحيات المالك كبيرة جدًا.
6. انتبه لاستخدام الأوراكيل، وكن حذرًا بشكل خاص من الأوراكيل التي تم إنشاؤها ذاتيًا أو غير الموثوقة.

من خلال التركيز على هذه الجوانب، يمكن للمستخدمين تقييم أمان العقود الذكية بشكل أفضل وتقليل مخاطر المشاركة في مشاريع التمويل اللامركزي.