Merkezi Olmayan Finans Yaygın Güvenlik Açıkları ve Önleme Tedbirleri

Son zamanlarda, bir güvenlik uzmanı topluluk üyelerine bir Merkezi Olmayan Finans güvenlik dersi paylaştı. Uzman, son bir yıldan fazla süre içinde Web3 endüstrisinin karşılaştığı önemli güvenlik olaylarını gözden geçirdi, bu olayların nedenlerini ve nasıl önlenebileceğini tartıştı, yaygın akıllı sözleşmelerin güvenlik açıklarını ve önleme önlemlerini özetledi ve proje sahipleri ile sıradan kullanıcılara bazı güvenlik önerileri sundu.

Yaygın DeFi açık türleri esas olarak flash kredi, fiyat manipülasyonu, fonksiyon izin sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntıları ve yeniden giriş saldırılarıdır. Bu makalede, flash kredi, fiyat manipülasyonu ve yeniden giriş saldırısı olmak üzere bu üç tür üzerinde durulacaktır.

Hızlı Kredi

Açık Kredi, Merkezi Olmayan Finans'ın bir yeniliğidir, ancak genellikle hackerlar tarafından kullanılmaktadır. Saldırganlar genellikle Açık Kredi aracılığıyla büyük miktarda fon borçlanarak fiyatları manipüle eder veya iş mantığını hedef alırlar. Geliştiricilerin, sözleşme işlevlerinin büyük miktarda para nedeniyle anormal hale gelip gelmeyeceğini veya haksız kazanç elde etmek için kullanılma olasılığını dikkate almaları gerekmektedir.

Birçok Merkezi Olmayan Finans projesi yüksek kazanç sağlıyormuş gibi görünse de, aslında proje ekiplerinin kalitesi değişkenlik göstermektedir. Kodun kendisinde bir açık olmasa bile, mantık açısından hâlâ sorunlar olabilir. Örneğin, bazı projeler belirli zamanlarda token sahiplerinin sayısına göre ödül dağıtımı yapar, ancak saldırganlar, ödül dağıtımında büyük miktarda ödülü almak için flash loan kullanarak büyük miktarda token satın alabilir.

Fiyat Manipülasyonu

Fiyat manipülasyonu sorunları, genellikle fiyat hesaplamasında bazı parametrelerin kullanıcı tarafından kontrol edilebilir olmasından dolayı, hızlı kredilerle yakından ilişkilidir. Yaygın sorun türleri ikiye ayrılır:

1. Fiyat hesaplamak için üçüncü taraf verileri kullanılır, ancak kullanım şekli yanlış veya kontrol eksikliği nedeniyle fiyat kötü niyetli bir şekilde manipüle edilir.
2. Belirli adreslerin token miktarını hesaplama değişkeni olarak kullanın ve bu adreslerin token bakiyeleri geçici olarak artırılabilir veya azaltılabilir.

Yeniden Giriş Saldırısı

Dış sözleşmeleri çağırmanın temel risklerinden biri, kontrol akışını ele geçirebilmeleri ve verilerde beklenmedik değişiklikler yapabilmeleridir. Yeniden giriş saldırısına tipik bir örnek, kullanıcı bakiyesi güncellenmeden önce transfer işleminin tamamlanmasıdır; bu durum, saldırganın bakiyeyi tekrar tekrar çekebilmesine neden olur.

Reentrancy sorununu çözmek için aşağıdaki noktalara dikkat edilmelidir:

1. Sadece tek bir fonksiyonun yeniden giriş sorununu önlemekle kalmamalıyız;
2. Checks-Effects-Interactions modelini takip ederek kodlama yapın;
3. Zamanla doğrulanmış reentrancy önleyici dekoratör kullanın.

Bu alanda birçok en iyi güvenlik uygulaması olduğu için tekerleği yeniden icat etmeye gerek yoktur. İyi test edilmiş olgun çözümler kullanmak, yeni çözümler geliştirmekten daha güvenlidir.

Proje Tarafı Güvenlik Önerileri

1. Sözleşme geliştirme için en iyi güvenlik uygulamalarını takip edin.
2. Sözleşmelerin yükseltilebilir ve duraklatılabilir işlevlerinin gerçekleştirilmesi.
3. Zaman kilidi mekanizması kullanın.
4. Güvenlik yatırımlarını artırmak ve mükemmel bir güvenlik sistemi kurmak.
5. Tüm çalışanların güvenlik bilincini artırmak.
6. İçerideki kötü niyetli hareketleri önlemek, verimliliği artırırken risk yönetimini güçlendirmek.
7. Üçüncü taraf bağımlılıklarını dikkatlice tanıtın ve yukarı ve aşağı akışları güvenlik kontrolünden geçirin.

Kullanıcılar akıllı sözleşmelerin güvenliğini nasıl değerlendirir?

1. Sözleşmenin açık kaynak olup olmadığını doğrulayın.
2. Owner'ın merkeziyetsiz çoklu imza mekanizması kullanıp kullanmadığını kontrol edin.
3. Sözleşmenin mevcut ticaret durumunu kontrol edin.
4. Sözleşmenin bir vekil sözleşmesi olup olmadığını, yükseltilebilir olup olmadığını, zaman kilidi olup olmadığını öğrenin.
5. Sözleşmenin birden fazla kuruluş tarafından denetimden geçip geçmediğini ve Owner yetkisinin fazla olup olmadığını doğrulayın.
6. Orakların kullanım durumuna dikkat edin, özellikle kendi inşa ettiğiniz veya güvenilir olmayan oraklara karşı dikkatli olun.

Bu yönlere dikkat ederek, kullanıcılar akıllı sözleşmelerin güvenliğini daha iyi değerlendirebilir ve Merkezi Olmayan Finans projelerine katılma riskini azaltabilir.