Tài chính phi tập trung an toàn: Lỗ hổng phổ biến và biện pháp phòng ngừa

Gần đây, một chuyên gia an ninh đã chia sẻ khóa học về an ninh Tài chính phi tập trung cho các thành viên trong cộng đồng, tổng kết lại những sự kiện an ninh nghiêm trọng mà ngành Web3 đã gặp phải trong hơn một năm qua, thảo luận về nguyên nhân xảy ra những sự kiện này cũng như cách để tránh, tóm tắt các lỗ hổng an ninh phổ biến của hợp đồng thông minh và các biện pháp phòng ngừa, đồng thời đưa ra một số lời khuyên về an ninh cho các dự án và người dùng thông thường.

Các loại lỗ hổng DeFi thường gặp bao gồm vay chớp nhoáng, thao túng giá, vấn đề quyền truy cập hàm, gọi ngoài tùy ý, vấn đề hàm fallback, lỗ hổng logic kinh doanh, rò rỉ khóa riêng, tấn công tái nhập, v.v. Dưới đây sẽ tập trung giới thiệu ba loại vay chớp nhoáng, thao túng giá và tấn công tái nhập.

Vay chớp nhoáng

Vay chớp nhoáng bản thân là một sự đổi mới trong Tài chính phi tập trung, nhưng khi bị hacker khai thác, họ có thể vay một số lượng lớn tiền mà không cần bất kỳ chi phí nào, thực hiện arbitrage rồi trả lại, chỉ cần trả một khoản phí Gas nhỏ để có được lợi nhuận khổng lồ.

Trong hai năm qua, vay chớp nhoáng đã gây ra nhiều vấn đề an ninh. Một số dự án Tài chính phi tập trung có vẻ như mang lại lợi nhuận cao, nhưng trình độ của các nhà phát triển dự án lại không đồng đều. Ngay cả khi mã nguồn không có lỗ hổng, vẫn có thể tồn tại vấn đề về logic. Chẳng hạn, có những dự án phát thưởng dựa trên khối lượng nắm giữ tại một thời điểm cố định, nhưng lại bị kẻ tấn công lợi dụng vay chớp nhoáng để mua một lượng lớn token, từ đó nhận được phần lớn phần thưởng khi phát thưởng. Còn một số dự án tính toán giá thông qua Token, có thể bị ảnh hưởng giá bởi vay chớp nhoáng. Các nhà phát triển dự án nên nâng cao cảnh giác đối với những vấn đề này.

Kiểm soát giá

Vấn đề thao túng giá cả liên quan chặt chẽ đến vay chớp nhoáng, chủ yếu do một số tham số trong quá trình tính toán giá có thể được người dùng kiểm soát. Có hai loại vấn đề phổ biến:

1. Sử dụng dữ liệu bên thứ ba để tính giá, nhưng cách sử dụng không đúng hoặc thiếu kiểm tra dẫn đến giá bị thao túng một cách ác ý.

2. Sử dụng số dư Token của một số địa chỉ làm biến số tính toán, trong khi số lượng Token của các địa chỉ này có thể được tăng hoặc giảm tạm thời.

Tấn công tái nhập

Một trong những rủi ro chính của việc gọi hợp đồng bên ngoài là chúng có thể kiểm soát luồng điều khiển, thực hiện các thay đổi không lường trước được đối với dữ liệu.

Đối với các hợp đồng khác nhau, cách tấn công tái nhập rất đa dạng, có thể liên quan đến nhiều hàm hoặc hợp đồng. Để giải quyết vấn đề tái nhập cần lưu ý:

1. Không chỉ ngăn chặn vấn đề tái nhập của một hàm duy nhất

2. Tuân theo mô hình Checks-Effects-Interactions để lập trình

3. Sử dụng modifier chống tái nhập đã được xác thực

Tốt nhất là sử dụng các thực hành bảo mật đã trưởng thành, thay vì tự tạo lại bánh xe. Các giải pháp tự phát triển thiếu sự xác minh đầy đủ, xác suất gặp sự cố cao hơn nhiều so với việc sử dụng các giải pháp đã được thử nghiệm lâu dài.

Gợi ý an toàn

Đề xuất an toàn từ phía dự án

1. Phát triển hợp đồng tuân theo các thực tiễn an toàn tốt nhất.

2. Hợp đồng có thể nâng cấp, có thể tạm dừng: giúp phát hiện kịp thời và giảm thiểu tổn thất do tấn công.

3. Sử dụng khóa thời gian: cung cấp khoảng thời gian để giám sát và ứng phó.

4. Tăng cường đầu tư vào an ninh, xây dựng hệ thống an ninh hoàn thiện: An ninh là công việc hệ thống, không thể chỉ dựa vào việc kiểm toán hợp đồng.

5. Nâng cao nhận thức về an toàn của tất cả nhân viên: Suy nghĩ nhiều hơn, chú ý nhiều hơn để có thể tránh được nhiều rủi ro.

6. Ngăn chặn các hành vi xấu từ bên trong, đồng thời nâng cao hiệu quả và tăng cường kiểm soát rủi ro: như áp dụng chữ ký đa bên, hạn chế quyền hạn, v.v.

7. Cẩn thận khi đưa vào bên thứ ba: Kiểm tra dòng chảy lên và xuống, không trích dẫn hợp đồng không mã nguồn mở.

Phương pháp người dùng đánh giá độ an toàn của hợp đồng

1. Xác nhận hợp đồng có mã nguồn mở hay không

2. Kiểm tra xem Owner có sử dụng đa chữ ký phi tập trung hay không

3. Xem tình hình giao dịch hiện có của hợp đồng

4. Tìm hiểu xem hợp đồng có thể nâng cấp hay không, có khóa thời gian hay không.

5. Chú ý xem hợp đồng có được kiểm toán bởi nhiều tổ chức hay không, quyền hạn của chủ sở hữu có quá lớn hay không.

6. Chú ý đến độ tin cậy của oracle

Tóm lại, trong lĩnh vực Tài chính phi tập trung, các bên tham gia đều nên nâng cao nhận thức về an toàn, các dự án cần hoàn thiện hệ thống an ninh, người dùng cần thận trọng đánh giá tính an toàn của dự án. Chỉ có sự nỗ lực chung của tất cả các bên mới có thể xây dựng một hệ sinh thái Tài chính phi tập trung an toàn hơn.