Finance décentralisée sécurité : vulnérabilités courantes et mesures préventives

Récemment, un expert en sécurité a partagé avec les membres de la communauté un cours sur la sécurité de la Finance décentralisée, passant en revue les événements de sécurité majeurs auxquels l'industrie Web3 a été confrontée au cours de l'année écoulée, discutant des raisons de ces événements et comment les éviter, résumant les vulnérabilités de sécurité courantes des contrats intelligents et les mesures de prévention, et donnant quelques conseils de sécurité aux projets et aux utilisateurs ordinaires.

Les types courants de vulnérabilités DeFi comprennent généralement les prêts flash, la manipulation des prix, les problèmes de droits d'accès aux fonctions, les appels externes arbitraires, les problèmes de fonction de fallback, les vulnérabilités de logique métier, les fuites de clés privées, et les attaques par réentrance. Ci-dessous, nous mettrons l'accent sur les prêts flash, la manipulation des prix et les attaques par réentrance.

Prêt éclair

Le prêt éclair est en soi une innovation de la Finance décentralisée, mais lorsqu'il est exploité par des hackers, ils peuvent emprunter d'énormes sommes d'argent sans aucun coût, réaliser des arbitrages et rembourser, ne devant payer qu'un faible coût de Gas pour obtenir d'énormes bénéfices.

Au cours des deux dernières années, les prêts flash ont suscité de nombreux problèmes de sécurité. Certains projets DeFi semblent offrir des rendements très élevés, mais la qualité des équipes varie considérablement. Même si le code lui-même ne présente pas de vulnérabilités, des problèmes logiques peuvent toujours exister. Par exemple, certains projets distribuent des récompenses à des moments fixes en fonction de la quantité détenue, mais des attaquants peuvent exploiter des prêts flash pour acheter de grandes quantités de jetons et obtenir la majeure partie des récompenses lors de la distribution. D'autres projets qui calculent les prix via des jetons peuvent influencer les prix grâce aux prêts flash. Les équipes de projet devraient être vigilantes face à ces problèmes.

Manipulation des prix

Les problèmes de manipulation des prix sont étroitement liés aux prêts flash, principalement en raison du fait que certains paramètres peuvent être contrôlés par les utilisateurs lors du calcul des prix. Il existe deux types de problèmes courants :

1. Lors du calcul des prix, des données tierces sont utilisées, mais une utilisation incorrecte ou un manque de vérification entraînent une manipulation malveillante des prix.

2. Utiliser le solde de Token de certaines adresses comme variable de calcul, et la quantité de Token de ces adresses peut être temporairement augmentée ou diminuée.

Attaque par réentrance

L'un des principaux risques liés à l'appel de contrats externes est qu'ils peuvent prendre le contrôle du flux, entraînant des modifications inattendues des données.

Pour différents contrats, les méthodes d'attaque par réentrance sont variées et peuvent impliquer plusieurs fonctions ou contrats. Pour résoudre le problème de réentrance, il faut prêter attention à :

1. Ne pas seulement prévenir le problème de réentrance d'une seule fonction

2. Suivre le modèle Checks-Effects-Interactions pour le codage

3. Utiliser un modificateur de réentrance vérifié

Il est préférable d'utiliser des pratiques de sécurité établies plutôt que de réinventer la roue. Les nouvelles solutions développées en interne manquent de validation adéquate, et la probabilité de problèmes est beaucoup plus élevée que celle d'utiliser des solutions éprouvées.

Conseils de sécurité

recommandations de sécurité du projet

1. Le développement de contrats suit les meilleures pratiques de sécurité.

2. Contrats pouvant être mis à niveau et suspendus : aide à détecter rapidement et à réduire les pertes dues aux attaques.

3. Utiliser un verrouillage temporel : offrir une fenêtre de temps pour la surveillance et la réaction.

4. Augmenter les investissements en sécurité et établir un système de sécurité complet : la sécurité est un travail systémique, elle ne peut pas reposer uniquement sur l'audit des contrats.

5. Améliorer la sensibilisation à la sécurité de tous les employés : réfléchir davantage et faire plus attention peut permettre d'éviter de nombreux risques.

6. Prévenir les abus internes tout en renforçant le contrôle des risques lors de l'amélioration de l'efficacité : par exemple, en utilisant des signatures multiples, en limitant les permissions, etc.

7. Introduire des tiers avec prudence : vérifier en amont et en aval, ne pas utiliser de contrats non open source.

Méthodes pour évaluer la sécurité des contrats par les utilisateurs

1. Confirmer si le contrat est open source

2. Vérifiez si le propriétaire utilise une multi-signature décentralisée.

3. Vérifiez la situation des transactions existantes dans le contrat

4. Comprendre si le contrat est évolutif et s'il y a un verrouillage temporel.

5. Vérifiez si le contrat a été audité par plusieurs organismes et si les droits du propriétaire sont trop étendus.

6. Faites attention à la fiabilité des oracles

En somme, les participants dans le domaine de la Finance décentralisée doivent améliorer leur sensibilisation à la sécurité, les équipes de projet doivent perfectionner leur système de sécurité, et les utilisateurs doivent évaluer avec prudence la sécurité des projets. Ce n'est qu'avec les efforts conjoints de toutes les parties qu'il sera possible de construire un écosystème DeFi plus sûr.