Keamanan DeFi: Kerentanan Umum dan Langkah Pencegahan

Baru-baru ini, seorang ahli keamanan berbagi kursus keamanan DeFi untuk anggota komunitas, meninjau peristiwa keamanan besar yang dialami industri Web3 selama lebih dari setahun terakhir, membahas penyebab terjadinya peristiwa tersebut serta cara menghindarinya, merangkum kerentanan keamanan umum pada kontrak pintar dan langkah-langkah pencegahannya, serta memberikan beberapa saran keamanan kepada pengembang proyek dan pengguna biasa.

Jenis-jenis kerentanan DeFi yang umum meliputi pinjaman kilat, manipulasi harga, masalah hak akses fungsi, panggilan eksternal sembarangan, masalah fungsi fallback, kerentanan logika bisnis, kebocoran kunci pribadi, dan reentrancy. Berikut ini akan dibahas secara khusus tentang pinjaman kilat, manipulasi harga, dan serangan reentrancy.

Pinjaman Kilat

Pinjaman kilat itu sendiri adalah inovasi dalam Keuangan Desentralisasi, tetapi ketika dimanfaatkan oleh peretas, mereka dapat meminjam sejumlah besar dana tanpa biaya apapun, melakukan arbitrase dan mengembalikannya, hanya dengan membayar sedikit biaya Gas untuk mendapatkan keuntungan besar.

Dalam dua tahun terakhir, pinjaman kilat telah menimbulkan banyak masalah keamanan. Beberapa proyek DeFi tampak menawarkan imbal hasil yang tinggi, tetapi kualitas tim proyek sangat bervariasi. Meskipun kode itu sendiri tidak memiliki celah, secara logis masih mungkin ada masalah. Misalnya, beberapa proyek akan memberikan hadiah berdasarkan jumlah kepemilikan pada waktu tertentu, tetapi penyerang memanfaatkan pinjaman kilat untuk membeli sejumlah besar token, sehingga mereka mendapatkan sebagian besar hadiah saat hadiah diberikan. Ada juga beberapa proyek yang menghitung harga melalui Token, yang dapat dipengaruhi oleh pinjaman kilat. Tim proyek harus lebih waspada terhadap masalah ini.

Manipulasi Harga

Masalah manipulasi harga sangat terkait dengan pinjaman kilat, terutama karena beberapa parameter dalam perhitungan harga dapat dikendalikan oleh pengguna. Ada dua jenis masalah umum:

1. Menggunakan data pihak ketiga saat menghitung harga, tetapi cara penggunaannya tidak benar atau pemeriksaan yang hilang menyebabkan harga dimanipulasi secara jahat.

2. Menggunakan saldo Token di beberapa alamat sebagai variabel perhitungan, di mana jumlah Token di alamat tersebut dapat ditambah atau dikurangi sementara.

Serangan Reentrancy

Salah satu risiko utama dari memanggil kontrak eksternal adalah mereka dapat mengambil alih alur kontrol dan melakukan perubahan yang tidak terduga pada data.

Untuk kontrak yang berbeda, metode serangan reentrancy bervariasi dan mungkin melibatkan beberapa fungsi atau kontrak. Untuk menyelesaikan masalah reentrancy, perlu diperhatikan:

1. Tidak hanya mencegah masalah reentrancy pada fungsi tunggal

2. Mengkode sesuai pola Checks-Effects-Interactions

3. Menggunakan modifier pencegah reentrancy yang telah diverifikasi

Sebaiknya menggunakan praktik keamanan yang sudah matang, daripada mengulangi roda. Solusi baru yang dikembangkan sendiri kurang terverifikasi dengan baik, dan kemungkinan mengalami masalah jauh lebih tinggi dibandingkan dengan menggunakan solusi matang yang sudah teruji.

Saran Keamanan

Saran Keamanan dari Pihak Proyek

1. Pengembangan kontrak mengikuti praktik keamanan terbaik.

2. Kontrak dapat ditingkatkan dan dijeda: membantu dalam mendeteksi dan mengurangi kerugian akibat serangan secara tepat waktu.

3. Menggunakan kunci waktu: memberikan jendela waktu untuk pemantauan dan respons.

4. Meningkatkan investasi keamanan, membangun sistem keamanan yang lengkap: Keamanan adalah pekerjaan sistemik, tidak bisa hanya bergantung pada audit kontrak.

5. Meningkatkan kesadaran keamanan semua karyawan: Berpikir lebih banyak dan lebih memperhatikan dapat menghindari banyak risiko.

6. Mencegah tindakan jahat internal, sambil meningkatkan efisiensi dan memperkuat kontrol risiko: seperti menggunakan multi-tanda tangan, membatasi hak akses, dll.

7. Hati-hati dalam melibatkan pihak ketiga: verifikasi hulu dan hilir, jangan mengacu pada kontrak yang tidak bersumber terbuka.

Metode pengguna untuk menilai keamanan kontrak

1. Konfirmasi apakah kontrak bersifat open source

2. Periksa apakah Pemilik menggunakan multi-tanda tangan desentralisasi

3. Lihat situasi perdagangan yang ada pada kontrak

4. Pahami apakah kontrak dapat diperbarui, apakah ada kunci waktu

5. Perhatikan apakah kontrak telah diaudit oleh beberapa lembaga, apakah hak Owner terlalu besar.

6. Perhatikan keandalan oracle

Singkatnya, para peserta di bidang Keuangan Desentralisasi harus meningkatkan kesadaran keamanan, pihak proyek harus memperbaiki sistem keamanan, dan pengguna perlu dengan hati-hati mengevaluasi keamanan proyek. Hanya dengan usaha bersama semua pihak, kita dapat membangun ekosistem Keuangan Desentralisasi yang lebih aman.