Tài chính phi tập trung các lỗ hổng bảo mật phổ biến và biện pháp phòng ngừa

Gần đây, một chuyên gia an ninh đã chia sẻ một bài học về an ninh DeFi cho các thành viên trong cộng đồng. Chuyên gia đã xem xét lại các sự kiện an ninh lớn mà ngành Web3 đã gặp phải trong hơn một năm qua, thảo luận về nguyên nhân xảy ra các sự kiện này và cách tránh chúng, tóm tắt các lỗ hổng an ninh phổ biến của hợp đồng thông minh và các biện pháp phòng ngừa, đồng thời đưa ra một số lời khuyên an ninh cho các dự án và người dùng bình thường.

Các loại lỗ hổng DeFi thường gặp chủ yếu bao gồm vay chớp nhoáng, thao túng giá cả, vấn đề quyền hạn hàm, gọi bên ngoài tùy ý, vấn đề hàm fallback, lỗ hổng logic kinh doanh, rò rỉ khóa riêng và tấn công tái nhập. Bài viết này sẽ tập trung vào ba loại: vay chớp nhoáng, thao túng giá cả và tấn công tái nhập.

Cho vay chớp nhoáng

Vay chớp nhoáng là một sáng tạo trong Tài chính phi tập trung, nhưng cũng thường bị hacker lợi dụng. Kẻ tấn công thường vay một lượng lớn tiền qua vay chớp nhoáng để thao túng giá hoặc tấn công logic kinh doanh. Các nhà phát triển cần xem xét xem các chức năng hợp đồng có thể dẫn đến bất thường do số tiền khổng lồ hay không, hoặc liệu có thể bị lợi dụng để nhận phần thưởng không chính đáng.

Nhiều dự án Tài chính phi tập trung có vẻ như mang lại lợi nhuận cao, nhưng thực tế trình độ của các bên dự án lại không đồng đều. Ngay cả khi mã nguồn không có lỗ hổng, thì về mặt logic vẫn có thể tồn tại vấn đề. Ví dụ, một số dự án sẽ phát thưởng vào thời điểm cố định dựa trên số lượng token của người nắm giữ, nhưng lại bị kẻ tấn công lợi dụng vay chớp nhoáng để mua một lượng lớn token, từ đó thu được phần lớn phần thưởng khi phát thưởng.

Kiểm soát giá

Vấn đề thao túng giá cả có liên quan chặt chẽ đến vay chớp nhoáng, chủ yếu là do một số tham số trong việc tính toán giá có thể bị người dùng kiểm soát. Có hai loại vấn đề phổ biến:

1. Sử dụng dữ liệu bên thứ ba để tính giá, nhưng phương pháp sử dụng không đúng hoặc thiếu kiểm tra, dẫn đến giá bị thao túng một cách ác ý.
2. Sử dụng số lượng token của một số địa chỉ làm biến số tính toán, trong khi số dư token của các địa chỉ này có thể được tăng hoặc giảm tạm thời.

Tấn công tái nhập

Một trong những rủi ro chính khi gọi hợp đồng bên ngoài là chúng có thể chiếm quyền điều khiển luồng và thực hiện những thay đổi không mong đợi trên dữ liệu. Một ví dụ điển hình về tấn công tái nhập là việc thực hiện giao dịch chuyển tiền trước khi cập nhật số dư của người dùng, dẫn đến việc kẻ tấn công có thể rút số dư nhiều lần.

Giải quyết vấn đề gọi lại cần chú ý những điểm sau:

1. Không chỉ phải ngăn chặn vấn đề gọi lại của một hàm đơn.
2. Tuân thủ mô hình Checks-Effects-Interactions khi lập trình;
3. Sử dụng bộ sửa lỗi chống gọi lại đã được kiểm chứng theo thời gian.

Điều đáng chú ý là trong lĩnh vực này đã có nhiều thực hành bảo mật tốt nhất, không cần phải phát minh lại bánh xe. Sử dụng các giải pháp đã được xác minh đầy đủ và trưởng thành an toàn hơn là phát triển các giải pháp mới.

Đề xuất an toàn cho dự án

1. Tuân thủ các phương pháp an toàn tốt nhất trong phát triển hợp đồng.
2. Thực hiện chức năng hợp đồng có thể nâng cấp và tạm dừng.
3. Áp dụng cơ chế khoá thời gian.
4. Tăng cường đầu tư vào an ninh, xây dựng hệ thống an ninh hoàn chỉnh.
5. Nâng cao nhận thức về an ninh cho tất cả nhân viên.
6. Ngăn chặn hành vi xấu bên trong, đồng thời nâng cao hiệu quả và tăng cường quản lý rủi ro.
7. Cẩn thận đưa vào các phụ thuộc bên thứ ba, thực hiện kiểm tra an toàn đối với các bên liên quan.

Người dùng làm thế nào để xác định hợp đồng thông minh có an toàn hay không

1. Xác nhận hợp đồng có mã nguồn mở hay không.
2. Kiểm tra xem Owner có sử dụng cơ chế đa chữ ký phi tập trung hay không.
3. Xem tình hình giao dịch hiện có của hợp đồng.
4. Tìm hiểu xem hợp đồng có phải là hợp đồng đại diện, có thể nâng cấp hay không, có khóa thời gian hay không.
5. Xác nhận hợp đồng có được nhiều tổ chức kiểm toán hay không, quyền Owner có quá lớn không.
6. Chú ý đến việc sử dụng oracle, đặc biệt là cảnh giác với oracle tự xây dựng hoặc không đáng tin cậy.

Bằng cách chú ý đến những khía cạnh này, người dùng có thể đánh giá tốt hơn về tính an toàn của hợp đồng thông minh, giảm thiểu rủi ro khi tham gia các dự án Tài chính phi tập trung.