Merkezi Olmayan Finans Yaygın Güvenlik Açıkları ve Önleme Önlemleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için bir Merkezi Olmayan Finans (DeFi) güvenlik dersi paylaştı. Uzman, son bir yıl içinde Web3 sektörünün karşılaştığı önemli güvenlik olaylarını gözden geçirerek, bu olayların nedenleri ve nasıl önlenebileceği üzerine derinlemesine bir inceleme yaptı, yaygın akıllı sözleşme güvenlik açıklarını ve önleyici tedbirleri özetledi, ayrıca projeler için ve sıradan kullanıcılar için bazı güvenlik önerileri sundu.
Yaygın DeFi güvenlik açıkları genellikle flash kredi, fiyat manipülasyonu, fonksiyon yetki sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntıları ve tekrar saldırıları olarak sıralanabilir. Bu yazıda flash kredi, fiyat manipülasyonu ve tekrar saldırıları üzerine odaklanılacaktır.
Hızlı Kredi
Açık Kredi, Merkezi Olmayan Finans'ın (DeFi) bir yeniliğidir, ancak genellikle hackerlar tarafından sömürülmektedir. Saldırganlar genellikle Açık Kredi aracılığıyla büyük miktarda fon ödünç alarak fiyatları manipüle eder veya iş mantığını hedef alır. Geliştiricilerin, sözleşme işlevlerinin büyük miktardaki fonlar nedeniyle anormalliklere yol açıp açmayacağını veya bir işlemde birden fazla fonksiyonla etkileşimde bulunup haksız ödüller elde edilip edilmeyeceğini dikkate alması gerekmektedir.
Birçok Merkezi Olmayan Finans projesi yüksek getirili gibi görünse de, aslında proje ekiplerinin seviyeleri oldukça değişken. Bazı projelerin kodları satın alınmış olabilir, bu durumda kodun kendisi güvenli olsa bile, mantıksal olarak hala sorunlar olabilir. Örneğin, bazı projeler belirli zamanlarda, token sahiplerinin elindeki token miktarına göre ödüller dağıtır, ancak saldırganlar, büyük miktarda token satın almak için flaş kredi kullanarak bu durumu istismar edebilir ve bu da ödüllerin çoğunun saldırgana akmasına neden olabilir.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunu, özellikle fiyat hesaplanırken bazı parametrelerin kullanıcılar tarafından kontrol edilebilmesinden dolayı, flash kredi ile yakından ilişkilidir. Yaygın sorun türleri iki tanedir:
Fiyat hesaplanırken üçüncü taraf verileri kullanılır, ancak kullanımı yanlış veya kontrol eksikliği nedeniyle fiyat kötü niyetli bir şekilde manipüle edilir.
Belirli adreslerin token miktarlarını hesaplama değişkeni olarak kullanın, bu adreslerin token bakiyeleri geçici olarak artırılabilir veya azaltılabilir.
Yeniden Giriş Saldırısı
Dış sözleşmeleri çağırmanın başlıca risklerinden biri, kontrol akışını ele geçirebilmeleri ve verilerde beklenmedik değişiklikler yapabilmeleridir. Yeniden giriş saldırısına tipik bir örnek, çekim fonksiyonunda kullanıcının bakiyesinin fonksiyonun sonunda 0 olarak ayarlandığı ve bu nedenle çoklu çağrıların hala başarılı bir şekilde çekim yapabilmesidir.
Farklı sözleşmeler için, yeniden giriş saldırılarının yöntemleri çeşitlidir ve birden fazla farklı işlev veya birden fazla sözleşmeyi içerebilir. Yeniden giriş sorununu çözerken aşağıdaki noktalara dikkat edilmelidir:
Sadece tekil fonksiyonun tekrar giriş sorununu önlemekle kalmamalıyız
Checks-Effects-Interactions modeline uygun kodlama yapılması
Zamanla test edilmiş reentrancy önleyici dekoratör kullanın
Dikkate değer olan, tekrarlayan tekerlekler yapmak genellikle tehlikeli olmaktadır. Web3 alanında birçok en iyi güvenlik uygulaması mevcut olup, bu olgun çözümleri doğrudan benimsemek, kendi başınıza geliştirmekten daha güvenlidir.
Güvenlik Önerileri
Proje Ekibi Güvenlik Önerileri
Sözleşme geliştirme için en iyi güvenlik uygulamalarına uyun
Sözleşmenin güncellenebilir ve durdurulabilir işlevlerini gerçekleştirmek
Zaman kilidi mekanizması kullanmak
Güvenlik yatırımlarını artırmak ve kapsamlı bir güvenlik sistemi kurmak
Tüm çalışanların güvenlik farkındalığını artırmak
İçsel kötü niyetleri önlemek, verimliliği artırırken risk kontrolünü güçlendirmek
Üçüncü taraf bileşenlerini dikkatlice dahil edin, "varsayılan olarak hem yukarı hem de aşağı akış güvensizdir" ilkesine uyun.
Kullanıcı/LP akıllı sözleşmenin güvenli olup olmadığını nasıl belirler?
Sözleşmenin açık kaynak olup olmadığını doğrulayın
Owner'ın merkezi olmayan çoklu imza mekanizması kullanıp kullanmadığını kontrol edin.
Mevcut sözleşme işlemlerini kontrol et
Sözleşmenin bir temsilci sözleşmesi olup olmadığını, yükseltilebilir olup olmadığını ve zaman kilidi olup olmadığını öğrenin.
Sözleşmenin birden fazla kurum tarafından denetlenip denetlenmediğini onaylayın ve Owner yetkisinin aşırı olup olmadığını değerlendirin.
Projenin kullandığı oracle türüne ve güvenilirliğine dikkat edin.
Web3 ortamında, güvenlik bilinci son derece önemlidir. Kullanıcılar düşüncelerini artırmalı ve potansiyel güvenlik risklerinden kaçınmak için dikkatli olmalıdır. Özellikle piyasa koşulları kötü olduğunda, çeşitli olası dolandırıcılık faaliyetlerine karşı daha dikkatli olunmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
19 Likes
Reward
19
7
Share
Comment
0/400
AirdropHunterXM
· 5h ago
Hem çirkin hem de kötü Flaş Krediler
View OriginalReply0
SelfRugger
· 07-31 13:56
Yine enayileri oyuna getirmek istiyorsun, hodl yeter.
View OriginalReply0
FlashLoanKing
· 07-31 11:16
Yine Flaş Krediler yyds
View OriginalReply0
GovernancePretender
· 07-31 11:14
Güvenlik koruması yapmak bile enayilerin kaderini düzeltemez.
View OriginalReply0
LiquidatorFlash
· 07-31 11:13
Fiyat dalgalanması %0.3 olduğunda risk yönetimi yapılmalı, %99.99 tasfiye ol alarmını beklemeyin.
View OriginalReply0
MEVHunterBearish
· 07-31 11:10
Aldatılma Günlük Rehberi
View OriginalReply0
rug_connoisseur
· 07-31 11:04
Bunca yazdıktan sonra yine eski usul, bu demir silinmeyecek mi?
Merkezi Olmayan Finans güvenlik saldırı ve savunması: Flaş Krediler, fiyat manipülasyonu ve yeniden giriş saldırılarına karşı önleme kılavuzu
Merkezi Olmayan Finans Yaygın Güvenlik Açıkları ve Önleme Önlemleri
Son zamanlarda, bir güvenlik uzmanı topluluk üyeleri için bir Merkezi Olmayan Finans (DeFi) güvenlik dersi paylaştı. Uzman, son bir yıl içinde Web3 sektörünün karşılaştığı önemli güvenlik olaylarını gözden geçirerek, bu olayların nedenleri ve nasıl önlenebileceği üzerine derinlemesine bir inceleme yaptı, yaygın akıllı sözleşme güvenlik açıklarını ve önleyici tedbirleri özetledi, ayrıca projeler için ve sıradan kullanıcılar için bazı güvenlik önerileri sundu.
Yaygın DeFi güvenlik açıkları genellikle flash kredi, fiyat manipülasyonu, fonksiyon yetki sorunları, rastgele dış çağrılar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntıları ve tekrar saldırıları olarak sıralanabilir. Bu yazıda flash kredi, fiyat manipülasyonu ve tekrar saldırıları üzerine odaklanılacaktır.
Hızlı Kredi
Açık Kredi, Merkezi Olmayan Finans'ın (DeFi) bir yeniliğidir, ancak genellikle hackerlar tarafından sömürülmektedir. Saldırganlar genellikle Açık Kredi aracılığıyla büyük miktarda fon ödünç alarak fiyatları manipüle eder veya iş mantığını hedef alır. Geliştiricilerin, sözleşme işlevlerinin büyük miktardaki fonlar nedeniyle anormalliklere yol açıp açmayacağını veya bir işlemde birden fazla fonksiyonla etkileşimde bulunup haksız ödüller elde edilip edilmeyeceğini dikkate alması gerekmektedir.
Birçok Merkezi Olmayan Finans projesi yüksek getirili gibi görünse de, aslında proje ekiplerinin seviyeleri oldukça değişken. Bazı projelerin kodları satın alınmış olabilir, bu durumda kodun kendisi güvenli olsa bile, mantıksal olarak hala sorunlar olabilir. Örneğin, bazı projeler belirli zamanlarda, token sahiplerinin elindeki token miktarına göre ödüller dağıtır, ancak saldırganlar, büyük miktarda token satın almak için flaş kredi kullanarak bu durumu istismar edebilir ve bu da ödüllerin çoğunun saldırgana akmasına neden olabilir.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunu, özellikle fiyat hesaplanırken bazı parametrelerin kullanıcılar tarafından kontrol edilebilmesinden dolayı, flash kredi ile yakından ilişkilidir. Yaygın sorun türleri iki tanedir:
Yeniden Giriş Saldırısı
Dış sözleşmeleri çağırmanın başlıca risklerinden biri, kontrol akışını ele geçirebilmeleri ve verilerde beklenmedik değişiklikler yapabilmeleridir. Yeniden giriş saldırısına tipik bir örnek, çekim fonksiyonunda kullanıcının bakiyesinin fonksiyonun sonunda 0 olarak ayarlandığı ve bu nedenle çoklu çağrıların hala başarılı bir şekilde çekim yapabilmesidir.
Farklı sözleşmeler için, yeniden giriş saldırılarının yöntemleri çeşitlidir ve birden fazla farklı işlev veya birden fazla sözleşmeyi içerebilir. Yeniden giriş sorununu çözerken aşağıdaki noktalara dikkat edilmelidir:
Dikkate değer olan, tekrarlayan tekerlekler yapmak genellikle tehlikeli olmaktadır. Web3 alanında birçok en iyi güvenlik uygulaması mevcut olup, bu olgun çözümleri doğrudan benimsemek, kendi başınıza geliştirmekten daha güvenlidir.
Güvenlik Önerileri
Proje Ekibi Güvenlik Önerileri
Kullanıcı/LP akıllı sözleşmenin güvenli olup olmadığını nasıl belirler?
Web3 ortamında, güvenlik bilinci son derece önemlidir. Kullanıcılar düşüncelerini artırmalı ve potansiyel güvenlik risklerinden kaçınmak için dikkatli olmalıdır. Özellikle piyasa koşulları kötü olduğunda, çeşitli olası dolandırıcılık faaliyetlerine karşı daha dikkatli olunmalıdır.