DeFi安全課：常見漏洞及預防措施

近期,一位安全專家爲社區成員分享了DeFi安全課程,回顧了過去一年多Web3行業遭遇的重大安全事件,探討了這些事件發生的原因以及如何規避,總結了常見智能合約的安全漏洞及預防措施,並對項目方和普通用戶給出了一些安全建議。

常見的DeFi漏洞類型一般有閃電貸、價格操縱、函數權限問題、任意外部調用、fallback函數問題、業務邏輯漏洞、私鑰泄漏、重入等。下面重點介紹閃電貸、價格操控以及重入攻擊這三種類型。

閃電貸

閃電貸本身是DeFi的一種創新,但當被黑客利用時,他們可以在不需要任何成本的情況下借到大量資金,執行套利後歸還,只需支付少量Gas費用就可獲得巨額收益。

過去兩年,閃電貸引發了很多安全問題。一些DeFi項目看似收益很高,但項目方水平參差不齊。即便代碼本身沒有漏洞,在邏輯上仍可能存在問題。比如有項目會在固定時間根據持倉量發放獎勵,卻被攻擊者利用閃電貸購買大量代幣,在獎勵發放時獲取大部分獎勵。還有一些通過Token計算價格的項目,可以通過閃電貸影響價格。項目方應該對這些問題提高警惕。

價格操控

價格操控問題與閃電貸密切相關,主要由於價格計算時某些參數可被用戶控制。常見問題類型有兩種:

1. 計算價格時使用第三方數據,但使用方式不正確或檢查缺失導致價格被惡意操控。

2. 使用某些地址的Token餘額作爲計算變量,而這些地址的Token數量可被臨時增減。

重入攻擊

調用外部合約的主要風險之一是它們可能接管控制流,對數據進行函數未預料到的更改。

針對不同合約,重入攻擊的方式多樣,可能涉及多個函數或合約。解決重入問題需注意:

1. 不只防止單一函數的重入問題

2. 遵循Checks-Effects-Interactions模式編碼

3. 使用經過驗證的防重入modifier

最好使用成熟的安全實踐,而不是重復造輪子。自行開發的新方案缺乏充分驗證,出問題的概率遠高於使用久經考驗的成熟方案。

安全建議

項目方安全建議

1. 合約開發遵循最佳安全實踐。

2. 合約可升級、可暫停:有助於及時發現並降低攻擊損失。

3. 採用時間鎖:給予監控和應對的時間窗口。

4. 加大安全投入,建立完善的安全體系:安全是系統性工作,不能僅依賴合約審計。

5. 提高所有員工的安全意識:多思考、多注意可規避很多風險。

6. 預防內部作惡,在提升效率的同時加強風控:如採用多籤、限制權限等。

7. 謹慎引入第三方:校驗上下遊,不引用不開源的合約。

用戶判斷合約安全性的方法

1. 確認合約是否開源

2. 檢查Owner是否採用去中心化的多籤

3. 查看合約已有的交易情況

4. 了解合約是否可升級、是否有時間鎖

5. 關注合約是否經過多家機構審計,Owner權限是否過大

6. 注意預言機的可靠性

總之,在DeFi領域參與者都應提高安全意識,項目方應完善安全體系,用戶則需謹慎評估項目安全性。只有各方共同努力,才能構建一個更安全的DeFi生態。