Finanzas descentralizadas seguridad: vulnerabilidades comunes y medidas preventivas

Recientemente, un experto en seguridad compartió un curso de seguridad DeFi con los miembros de la comunidad, revisando los importantes incidentes de seguridad que ha sufrido la industria Web3 en el último año, explorando las razones por las que ocurrieron estos eventos y cómo evitarlos, resumiendo las vulnerabilidades de seguridad comunes de los contratos inteligentes y las medidas preventivas, y ofreciendo algunos consejos de seguridad a los proyectos y a los usuarios comunes.

Los tipos comunes de vulnerabilidades en Finanzas descentralizadas generalmente incluyen préstamos relámpago, manipulación de precios, problemas de permisos de funciones, llamadas externas arbitrarias, problemas con funciones fallback, vulnerabilidades de lógica comercial, filtración de claves privadas, reentradas, entre otros. A continuación, se presentarán en detalle los préstamos relámpago, la manipulación de precios y los ataques de reentrada.

Préstamo relámpago

El préstamo relámpago en sí mismo es una innovación de las Finanzas descentralizadas, pero cuando es aprovechado por hackers, pueden obtener grandes cantidades de fondos sin necesidad de ningún costo, realizar arbitrajes y devolverlos, obteniendo enormes ganancias con solo pagar una pequeña tarifa de Gas.

En los últimos dos años, los préstamos relámpago han provocado muchos problemas de seguridad. Algunos proyectos de Finanzas descentralizadas parecen tener altos rendimientos, pero el nivel de los equipos detrás de los proyectos varía. Incluso si el código en sí no tiene vulnerabilidades, aún pueden existir problemas lógicos. Por ejemplo, hay proyectos que otorgan recompensas en función de la cantidad de tokens que se poseen en un momento fijo, pero los atacantes pueden utilizar préstamos relámpago para comprar grandes cantidades de tokens y obtener la mayor parte de las recompensas cuando se distribuyen. También hay proyectos que calculan precios a través de tokens, que pueden verse afectados por préstamos relámpago. Los equipos detrás de estos proyectos deberían estar más alerta ante estos problemas.

Manipulación de precios

Los problemas de manipulación de precios están estrechamente relacionados con los préstamos relámpago, principalmente debido a que ciertos parámetros pueden ser controlados por los usuarios al calcular el precio. Hay dos tipos comunes de problemas:

1. Al calcular el precio se utilizan datos de terceros, pero un uso incorrecto o la falta de verificación llevan a que el precio sea manipulado maliciosamente.

2. Utilizar el saldo de Token de ciertas direcciones como variable de cálculo, y la cantidad de Token en estas direcciones puede ser incrementada o disminuida temporalmente.

Ataque de reentrada

Uno de los principales riesgos de llamar a contratos externos es que pueden tomar el control del flujo y realizar cambios inesperados en los datos.

Para diferentes contratos, los métodos de ataque por reentrada son variados y pueden involucrar múltiples funciones o contratos. Al resolver el problema de reentrada, se debe tener en cuenta:

1. No solo previene el problema de reentrada de una única función.

2. Seguir el patrón de codificación Checks-Effects-Interactions

3. Utilizar un modificador de protección contra reentradas verificado

Es mejor utilizar prácticas de seguridad maduras en lugar de reinventar la rueda. Las nuevas soluciones desarrolladas internamente carecen de una validación adecuada, y la probabilidad de problemas es mucho más alta que al usar soluciones maduras y probadas.

Consejos de seguridad

Sugerencias de seguridad del equipo del proyecto

1. El desarrollo de contratos sigue las mejores prácticas de seguridad.

2. Contratos actualizables y pausables: ayudan a detectar y reducir las pérdidas por ataques de manera oportuna.

3. Uso de bloqueo temporal: proporciona una ventana de tiempo para monitorear y responder.

4. Aumentar la inversión en seguridad y establecer un sistema de seguridad completo: la seguridad es un trabajo sistemático, no se puede depender únicamente de la auditoría de contratos.

5. Aumentar la conciencia de seguridad de todos los empleados: pensar más y prestar más atención puede evitar muchos riesgos.

6. Prevenir el mal uso interno, fortaleciendo el control de riesgos mientras se aumenta la eficiencia: como la adopción de múltiples firmas, la restricción de permisos, etc.

7. Introducir terceros con precaución: verificar upstream y downstream, no utilizar contratos que no sean de código abierto.

Método para que los usuarios evalúen la seguridad de los contratos

1. Confirmar si el contrato es de código abierto

2. Verificar si el propietario utiliza un multi-firma descentralizado.

3. Ver la situación de las transacciones existentes del contrato

4. Entender si el contrato es actualizable y si tiene un bloqueo de tiempo

5. Presta atención a si el contrato ha sido auditado por varias instituciones, si los permisos del propietario son excesivos.

6. Presta atención a la fiabilidad del oráculo

En resumen, los participantes en el ámbito de las Finanzas descentralizadas deben aumentar la conciencia de seguridad, los proyectos deben mejorar sus sistemas de seguridad, y los usuarios deben evaluar cuidadosamente la seguridad del proyecto. Solo con el esfuerzo conjunto de todas las partes se podrá construir un ecosistema DeFi más seguro.