Merkezi Olmayan Finans güvenlik dersi: Yaygın açıklar ve önleme yöntemleri

Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için Merkezi Olmayan Finans güvenlik kursu paylaştı, son bir yıldan fazla bir süre içinde Web3 sektörünün karşılaştığı önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve nasıl önlenebileceğini tartıştı, yaygın akıllı sözleşme güvenlik açıklarını ve önleme tedbirlerini özetledi ve proje sahipleri ile sıradan kullanıcılara bazı güvenlik önerileri sundu.

Yaygın DeFi güvenlik açıkları genellikle şunlardır: anlık kredi, fiyat manipülasyonu, fonksiyon yetki sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntıları ve yeniden giriş gibi. Aşağıda anlık kredi, fiyat manipülasyonu ve yeniden giriş saldırısı gibi üç tür güvenlik açığına özel olarak odaklanılacaktır.

Hızlı Kredi

Hızlı krediler, Merkezi Olmayan Finans'ın bir yeniliğidir, ancak bir hacker tarafından kullanıldığında, herhangi bir maliyet olmadan büyük miktarda fon alabilirler, arbitraj yaptıktan sonra geri ödeyebilirler ve yalnızca az miktarda Gas ücreti ödeyerek büyük kazançlar elde edebilirler.

Son iki yılda, flash loan'lar birçok güvenlik sorunu yarattı. Bazı Merkezi Olmayan Finans projeleri yüksek kazanç sağlıyormuş gibi görünse de, proje ekiplerinin kalitesi değişkenlik gösteriyor. Kodun kendisi açıklar içermese bile, mantıksal olarak sorunlar barındırabilir. Örneğin, bazı projeler belirli zaman dilimlerinde pozisyon miktarına göre ödül dağıtıyor, ancak saldırganlar flash loan kullanarak büyük miktarda token satın alıp, ödül dağıtımı sırasında çoğu ödülü elde ediyorlar. Ayrıca, Token ile fiyat hesaplayan bazı projeler, flash loan kullanarak fiyatı etkileyebiliyor. Proje ekipleri bu sorunlara karşı dikkatli olmalıdır.

Fiyat Manipülasyonu

Fiyat manipülasyonu sorunları, genellikle fiyat hesaplama sırasında bazı parametrelerin kullanıcılar tarafından kontrol edilebilmesinden dolayı, hızlı kredi ile yakından ilişkilidir. Yaygın sorun türleri iki tanedir:

1. Fiyat hesaplama sırasında üçüncü taraf verileri kullanılır, ancak kullanım şekli yanlış veya kontrol eksikliği nedeniyle fiyat kötü niyetli bir şekilde manipüle edilir.

2. Belirli adreslerin Token bakiyelerini hesaplama değişkeni olarak kullanın ve bu adreslerin Token sayısı geçici olarak artırılabilir veya azaltılabilir.

Yeniden Giriş Saldırısı

Dış sözleşmeleri çağırmanın ana risklerinden biri, kontrol akışını ele geçirebilmeleri ve veriler üzerinde beklenmeyen değişiklikler yapabilmeleridir.

Farklı sözleşmelere göre, yeniden giriş saldırılarının yöntemleri çeşitlidir ve birden fazla fonksiyon veya sözleşmeyi içerebilir. Yeniden giriş sorununu çözmek için dikkat edilmesi gerekenler:

1. Sadece tek bir fonksiyonun yeniden giriş sorununu önlemekle kalmaz.

2. Checks-Effects-Interactions modeline uygun kodlama

3. Doğrulanmış reentrancy modifier'ını kullanın

En iyi olgun güvenlik uygulamalarını kullanmak, tekerleği yeniden icat etmektense daha iyidir. Kendinize geliştirdiğiniz yeni çözümler yeterince doğrulanmamış olup, sorun yaşama olasılığı, uzun süre test edilmiş olgun çözümler kullanmaktan çok daha yüksektir.

Güvenlik Önerileri

Proje Tarafı Güvenlik Önerileri

1. Sözleşme geliştirme en iyi güvenlik uygulamalarına uygun olmalıdır.

2. Sözleşme güncellenebilir ve durdurulabilir: saldırı kayıplarını zamanında tespit etmeye ve azaltmaya yardımcı olur.

3. Zaman Kilidi Kullanımı: İzleme ve müdahale için bir zaman penceresi sağlama.

4. Güvenlik yatırımlarını artırın, güvenlik sistemini geliştirin: Güvenlik sistematik bir çalışmadır, sadece sözleşme denetimine güvenilemez.

5. Tüm çalışanların güvenlik bilincini artırın: Daha fazla düşünmek ve dikkat etmek, birçok riski önleyebilir.

6. İçeriden kötüye kullanmayı önlemek, verimliliği artırırken risk kontrolünü güçlendirmek: Çoklu imza, yetki kısıtlamaları gibi yöntemler kullanmak.

7. Üçüncü tarafları dikkatlice dahil edin: yukarı ve aşağı akışı doğrulayın, açık kaynak olmayan sözleşmeleri alıntılamayın.

Kullanıcıların akit güvenliğini değerlendirme yöntemleri

1. Sözleşmenin açık kaynak olup olmadığını doğrulayın

2. Owner'ın merkezi olmayan çoklu imzayı kullanıp kullanmadığını kontrol edin.

3. Sözleşmenin mevcut işlem durumunu kontrol et

4. Sözleşmenin yükseltilebilir olup olmadığını ve zaman kilidi olup olmadığını anlayın.

5. Sözleşmenin birden fazla kurum tarafından denetlenip denetlenmediğine ve Owner yetkilerinin fazla olup olmadığına dikkat edin.

6. Oracle'in güvenilirliğine dikkat edin

Sonuç olarak, DeFi alanında katılımcıların güvenlik bilincini artırmaları, projelerin güvenlik sistemlerini güçlendirmeleri ve kullanıcıların proje güvenliğini dikkatlice değerlendirmeleri gerekiyor. Sadece tüm tarafların ortak çabalarıyla daha güvenli bir DeFi ekosistemi inşa edilebilir.