DeFi安全课：常见漏洞及预防措施

近期,一位安全专家为社区成员分享了DeFi安全课程,回顾了过去一年多Web3行业遭遇的重大安全事件,探讨了这些事件发生的原因以及如何规避,总结了常见智能合约的安全漏洞及预防措施,并对项目方和普通用户给出了一些安全建议。

常见的DeFi漏洞类型一般有闪电贷、价格操纵、函数权限问题、任意外部调用、fallback函数问题、业务逻辑漏洞、私钥泄漏、重入等。下面重点介绍闪电贷、价格操控以及重入攻击这三种类型。

闪电贷

闪电贷本身是DeFi的一种创新,但当被黑客利用时,他们可以在不需要任何成本的情况下借到大量资金,执行套利后归还,只需支付少量Gas费用就可获得巨额收益。

过去两年,闪电贷引发了很多安全问题。一些DeFi项目看似收益很高,但项目方水平参差不齐。即便代码本身没有漏洞,在逻辑上仍可能存在问题。比如有项目会在固定时间根据持仓量发放奖励,却被攻击者利用闪电贷购买大量代币,在奖励发放时获取大部分奖励。还有一些通过Token计算价格的项目,可以通过闪电贷影响价格。项目方应该对这些问题提高警惕。

价格操控

价格操控问题与闪电贷密切相关,主要由于价格计算时某些参数可被用户控制。常见问题类型有两种:

1. 计算价格时使用第三方数据,但使用方式不正确或检查缺失导致价格被恶意操控。

2. 使用某些地址的Token余额作为计算变量,而这些地址的Token数量可被临时增减。

重入攻击

调用外部合约的主要风险之一是它们可能接管控制流,对数据进行函数未预料到的更改。

针对不同合约,重入攻击的方式多样,可能涉及多个函数或合约。解决重入问题需注意:

1. 不只防止单一函数的重入问题

2. 遵循Checks-Effects-Interactions模式编码

3. 使用经过验证的防重入modifier

最好使用成熟的安全实践,而不是重复造轮子。自行开发的新方案缺乏充分验证,出问题的概率远高于使用久经考验的成熟方案。

安全建议

项目方安全建议

1. 合约开发遵循最佳安全实践。

2. 合约可升级、可暂停:有助于及时发现并降低攻击损失。

3. 采用时间锁:给予监控和应对的时间窗口。

4. 加大安全投入,建立完善的安全体系:安全是系统性工作,不能仅依赖合约审计。

5. 提高所有员工的安全意识:多思考、多注意可规避很多风险。

6. 预防内部作恶,在提升效率的同时加强风控:如采用多签、限制权限等。

7. 谨慎引入第三方:校验上下游,不引用不开源的合约。

用户判断合约安全性的方法

1. 确认合约是否开源

2. 检查Owner是否采用去中心化的多签

3. 查看合约已有的交易情况

4. 了解合约是否可升级、是否有时间锁

5. 关注合约是否经过多家机构审计,Owner权限是否过大

6. 注意预言机的可靠性

总之,在DeFi领域参与者都应提高安全意识,项目方应完善安全体系,用户则需谨慎评估项目安全性。只有各方共同努力,才能构建一个更安全的DeFi生态。