Keuangan Desentralisasi Kerentanan Keamanan Umum dan Langkah Pencegahan
Belakangan ini, seorang ahli keamanan telah membagikan sebuah pelajaran keamanan DeFi kepada anggota komunitas. Ahli tersebut meninjau peristiwa keamanan besar yang terjadi di industri Web3 selama lebih dari setahun terakhir, membahas penyebab terjadinya peristiwa tersebut dan bagaimana cara menghindarinya, merangkum kerentanan keamanan umum dari kontrak pintar dan langkah-langkah pencegahannya, serta memberikan beberapa saran keamanan kepada pihak proyek dan pengguna biasa.
Jenis kerentanan DeFi yang umum meliputi pinjaman kilat, manipulasi harga, masalah izin fungsi, panggilan eksternal sembarangan, masalah fungsi fallback, kerentanan logika bisnis, kebocoran kunci pribadi, dan serangan reentrancy. Artikel ini akan fokus pada tiga jenis: pinjaman kilat, manipulasi harga, dan serangan reentrancy.
Pinjaman Instan
Pinjaman kilat adalah inovasi dalam Keuangan Desentralisasi, tetapi sering kali dimanfaatkan oleh penyerang. Penyerang meminjam sejumlah besar dana melalui pinjaman kilat untuk memanipulasi harga atau menyerang logika bisnis. Pengembang perlu mempertimbangkan apakah fungsi kontrak akan mengalami anomali karena dana yang sangat besar, atau dimanfaatkan untuk mendapatkan keuntungan yang tidak sah.
Banyak proyek DeFi tampak memberikan imbal hasil yang tinggi, tetapi pada kenyataannya, tingkat keahlian pihak proyek bervariasi. Beberapa proyek mungkin membeli kode mereka, meskipun kode itu sendiri tidak memiliki kerentanan, secara logis masih bisa terdapat masalah. Misalnya, beberapa proyek akan memberikan imbalan pada waktu tertentu berdasarkan jumlah token yang dimiliki, tetapi dieksploitasi oleh penyerang yang menggunakan pinjaman kilat untuk membeli sejumlah besar token, sehingga mendapatkan sebagian besar imbalan saat distribusi imbalan.
Manipulasi Harga
Masalah manipulasi harga terkait erat dengan pinjaman kilat, terutama karena beberapa parameter dalam perhitungan harga dapat dikendalikan oleh pengguna. Ada dua jenis masalah yang umum:
Menggunakan data pihak ketiga saat menghitung harga, tetapi cara penggunaannya tidak benar atau kurangnya pemeriksaan, menyebabkan harga dimanipulasi secara jahat.
Menggunakan jumlah token dari alamat tertentu sebagai variabel perhitungan, di mana saldo token alamat tersebut dapat ditambah atau dikurangi sementara.
Serangan Reentrancy
Serangan reentrancy adalah salah satu bahaya utama yang mungkin dihadapi saat memanggil kontrak eksternal. Penyerang dapat mengambil alih aliran kontrol dan melakukan perubahan yang tidak terduga pada data. Contohnya:
Dalam contoh ini, karena saldo pengguna baru diatur menjadi 0 di akhir fungsi, penyerang dapat memanggil fungsi tersebut lagi setelah panggilan pertama berhasil, sehingga dapat menarik saldo beberapa kali.
Untuk menyelesaikan masalah reentrancy, perlu diperhatikan hal-hal berikut:
Tidak hanya harus mencegah masalah reentrancy dari fungsi tunggal;
Ikuti pola Checks-Effects-Interactions saat melakukan pengkodean;
Gunakan modifier pencegah re-entrance yang telah teruji waktu.
Salah satu contoh klasik dari serangan reentrancy adalah peristiwa Omni Protocol. Dalam serangan ini, transaksi yang diajukan oleh penyerang yang menemukan celah ditangkap dan dieksekusi lebih dulu oleh peretas lain, menyebabkan penyerang asli hanya mendapatkan sebagian dari keuntungan. Ini menyoroti fitur "hutan gelap" dalam ekosistem Web3, di mana penyerang juga dapat saling menjadi mangsa.
Saran Keamanan
Saran Keamanan Proyek
Ikuti praktik keamanan terbaik dalam pengembangan kontrak.
Mewujudkan kemampuan kontrak untuk diupgrade dan dihentikan.
Menggunakan mekanisme kunci waktu.
Meningkatkan investasi keamanan, membangun sistem keamanan yang lengkap.
Meningkatkan kesadaran keamanan semua karyawan.
Mencegah kejahatan internal, sambil meningkatkan efisiensi dan memperkuat kontrol risiko.
Hati-hati dalam memperkenalkan layanan pihak ketiga, ikuti prinsip "default upstream dan downstream tidak aman."
Periksa apakah kontrak tersebut bersifat open source.
Verifikasi apakah Pemilik menggunakan mekanisme multi-tanda tangan terdesentralisasi.
Lihat situasi perdagangan yang sudah ada pada kontrak.
Pastikan kontrak tersebut adalah kontrak agen, dapat diupgrade, dan memiliki kunci waktu.
Periksa apakah kontrak telah diaudit oleh banyak lembaga, dan evaluasi apakah hak akses Pemilik terlalu besar.
Perhatikan pemilihan dan penggunaan oracle.
Singkatnya, dalam bidang Keuangan Desentralisasi, masalah keamanan selalu menjadi salah satu pertimbangan terpenting. Baik pengembang proyek maupun pengguna biasa perlu tetap waspada dan mengambil langkah-langkah keamanan yang tepat untuk mengurangi risiko dan memastikan keamanan aset.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
14 Suka
Hadiah
14
8
Bagikan
Komentar
0/400
BearMarketBarber
· 14menit yang lalu
Jumlah rambut dan jumlah koin keduanya big dump, sudah diplay people for suckers hingga botak.
Lihat AsliBalas0
TokenomicsTrapper
· 16jam yang lalu
hanya hari lain menonton para degen terjebak oleh eksploitasi lama yang sama... sejujurnya, saya sudah memprediksi pola ini berbulan-bulan yang lalu.
Lihat AsliBalas0
DegenWhisperer
· 16jam yang lalu
Hitam dan putih, semuanya jelas.
Lihat AsliBalas0
degenonymous
· 16jam yang lalu
Lagi-lagi smart contract terjebak ya
Lihat AsliBalas0
BlockchainFries
· 16jam yang lalu
Mencari celah sepanjang hari lebih baik pergi mengantar makanan.
Lihat AsliBalas0
Ser_This_Is_A_Casino
· 16jam yang lalu
defi benar-benar seperti kasino, ya. Jika harus rugi, ya rugi.
Keamanan DeFi: Analisis Risiko Pinjaman Flash, Manipulasi Harga, dan Serangan Reentrancy
Keuangan Desentralisasi Kerentanan Keamanan Umum dan Langkah Pencegahan
Belakangan ini, seorang ahli keamanan telah membagikan sebuah pelajaran keamanan DeFi kepada anggota komunitas. Ahli tersebut meninjau peristiwa keamanan besar yang terjadi di industri Web3 selama lebih dari setahun terakhir, membahas penyebab terjadinya peristiwa tersebut dan bagaimana cara menghindarinya, merangkum kerentanan keamanan umum dari kontrak pintar dan langkah-langkah pencegahannya, serta memberikan beberapa saran keamanan kepada pihak proyek dan pengguna biasa.
Jenis kerentanan DeFi yang umum meliputi pinjaman kilat, manipulasi harga, masalah izin fungsi, panggilan eksternal sembarangan, masalah fungsi fallback, kerentanan logika bisnis, kebocoran kunci pribadi, dan serangan reentrancy. Artikel ini akan fokus pada tiga jenis: pinjaman kilat, manipulasi harga, dan serangan reentrancy.
Pinjaman Instan
Pinjaman kilat adalah inovasi dalam Keuangan Desentralisasi, tetapi sering kali dimanfaatkan oleh penyerang. Penyerang meminjam sejumlah besar dana melalui pinjaman kilat untuk memanipulasi harga atau menyerang logika bisnis. Pengembang perlu mempertimbangkan apakah fungsi kontrak akan mengalami anomali karena dana yang sangat besar, atau dimanfaatkan untuk mendapatkan keuntungan yang tidak sah.
Banyak proyek DeFi tampak memberikan imbal hasil yang tinggi, tetapi pada kenyataannya, tingkat keahlian pihak proyek bervariasi. Beberapa proyek mungkin membeli kode mereka, meskipun kode itu sendiri tidak memiliki kerentanan, secara logis masih bisa terdapat masalah. Misalnya, beberapa proyek akan memberikan imbalan pada waktu tertentu berdasarkan jumlah token yang dimiliki, tetapi dieksploitasi oleh penyerang yang menggunakan pinjaman kilat untuk membeli sejumlah besar token, sehingga mendapatkan sebagian besar imbalan saat distribusi imbalan.
Manipulasi Harga
Masalah manipulasi harga terkait erat dengan pinjaman kilat, terutama karena beberapa parameter dalam perhitungan harga dapat dikendalikan oleh pengguna. Ada dua jenis masalah yang umum:
Serangan Reentrancy
Serangan reentrancy adalah salah satu bahaya utama yang mungkin dihadapi saat memanggil kontrak eksternal. Penyerang dapat mengambil alih aliran kontrol dan melakukan perubahan yang tidak terduga pada data. Contohnya:
solidity mapping (address => uint) private userBalances;
fungsi withdrawBalance() publik { uint amountToWithdraw = userBalances[msg.sender]; (bool success, ) = msg.sender.call.value(amountToWithdraw)(""); require(success); userBalances[msg.sender] = 0; }
Dalam contoh ini, karena saldo pengguna baru diatur menjadi 0 di akhir fungsi, penyerang dapat memanggil fungsi tersebut lagi setelah panggilan pertama berhasil, sehingga dapat menarik saldo beberapa kali.
Untuk menyelesaikan masalah reentrancy, perlu diperhatikan hal-hal berikut:
Salah satu contoh klasik dari serangan reentrancy adalah peristiwa Omni Protocol. Dalam serangan ini, transaksi yang diajukan oleh penyerang yang menemukan celah ditangkap dan dieksekusi lebih dulu oleh peretas lain, menyebabkan penyerang asli hanya mendapatkan sebagian dari keuntungan. Ini menyoroti fitur "hutan gelap" dalam ekosistem Web3, di mana penyerang juga dapat saling menjadi mangsa.
Saran Keamanan
Saran Keamanan Proyek
Bagaimana pengguna/LP menentukan apakah kontrak pintar aman?
Singkatnya, dalam bidang Keuangan Desentralisasi, masalah keamanan selalu menjadi salah satu pertimbangan terpenting. Baik pengembang proyek maupun pengguna biasa perlu tetap waspada dan mengambil langkah-langkah keamanan yang tepat untuk mengurangi risiko dan memastikan keamanan aset.