التمويل اللامركزي أمان الدروس: الثغرات الأمنية الشائعة وتدابير الوقاية

مؤخراً، شارك أحد خبراء الأمن دورة تدريبية حول أمان التمويل اللامركزي لأعضاء المجتمع. استعرض هذا الخبير الأحداث الأمنية الكبرى التي شهدتها صناعة Web3 على مدى العام ونصف الماضيين، واستكشف أسباب حدوث هذه الأحداث وطرق الوقاية منها، وقدم ملخصًا للثغرات الأمنية الشائعة في العقود الذكية وتدابير الوقاية، كما قدم بعض النصائح الأمنية لمقدمي المشاريع والمستخدمين العاديين.

أنواع الثغرات الشائعة في التمويل اللامركزي

تشمل أنواع الثغرات الشائعة في التمويل اللامركزي القروض الفورية، والتلاعب بالأسعار، ومشاكل صلاحيات الدوال، والاستدعاءات الخارجية العشوائية، ومشاكل دالة الاسترجاع، وثغرات منطق الأعمال، وتسرب المفاتيح الخاصة، وهجمات إعادة الإدخال، وما إلى ذلك. ستتناول هذه المقالة بشكل رئيسي القروض الفورية، والتلاعب بالأسعار، وهجمات إعادة الإدخال.

قرض البرق

على الرغم من أن القرض الفوري هو ابتكار في التمويل اللامركزي ، إلا أنه تم استخدامه من قبل المتسللين للهجوم. عادة ما يقترض المهاجمون مبالغ ضخمة من الأموال من خلال القرض الفوري، ويتلاعبون بالأسعار أو يهاجمون منطق الأعمال. يحتاج المطورون إلى النظر في ما إذا كانت وظائف العقد ستؤدي إلى استثناءات بسبب المبالغ الضخمة من الأموال، أو ما إذا كان من الممكن أن يتم الحصول على مكافآت غير مستحقة من خلال التفاعل مع عدة وظائف في صفقة واحدة بمبالغ كبيرة.

تبدو العديد من مشاريع التمويل اللامركزي ذات عوائد مرتفعة، لكن في الواقع تختلف قدرات فرق المشروع. قد يكون كود بعض المشاريع تم شراؤه، وحتى إذا لم يكن هناك ثغرات في الكود نفسه، قد تكون هناك مشاكل منطقية. على سبيل المثال، بعض المشاريع تمنح مكافآت بناءً على عدد الرموز المميزة التي يمتلكها الحامل في وقت محدد، لكن يمكن للقراصنة استغلال القروض السريعة لشراء كميات كبيرة من الرموز، وبالتالي الحصول على معظم المكافآت.

التحكم في الأسعار

تتعلق مشكلة التلاعب بالأسعار ارتباطًا وثيقًا بالقروض السريعة. تنبع هذه المشكلة بشكل أساسي من إمكانية التحكم في بعض المعلمات عند حساب الأسعار من قبل المستخدمين. هناك نوعان شائعان من المشكلات:

1. استخدام بيانات الطرف الثالث عند حساب الأسعار، ولكن بطريقة غير صحيحة أو تفتقر إلى الفحص، مما يؤدي إلى التحكم الخبيث في الأسعار.
2. استخدام عدد رموز بعض العناوين كمتغيرات حسابية، بينما يمكن زيادة أو تقليل رصيد الرموز في هذه العناوين بشكل مؤقت.

هجوم إعادة الدخول

أحد المخاطر الرئيسية لاستدعاء العقود الخارجية هو أنها قد تستولي على تدفق التحكم وتقوم بتغييرات غير متوقعة على البيانات. على سبيل المثال، في دالة السحب، إذا تم تعيين رصيد المستخدم على 0 فقط في نهاية الدالة، فإن الاستدعاءات المتكررة قد تؤدي إلى سحب الرصيد عدة مرات.

عند حل مشكلة إعادة الإدخال، يجب الانتباه إلى النقاط التالية:

1. يجب منع مشاكل إعادة الدخول في وظيفة واحدة فقط.
2. اتبع نمط Checks-Effects-Interactions في البرمجة.
3. استخدام مُعدِّل مقاومة إعادة الإدخال الذي تم التحقق من صلاحيته عبر الزمن.

من المهم ملاحظة أن تكرار صنع العجلات غالبًا ما يزيد من خطر الأخطاء. استخدام أفضل الممارسات الأمنية الموجودة في الصناعة عادة ما يكون أكثر موثوقية من تطويرها بنفسك.

نصائح الأمان

نصائح أمان المشروع

1. اتباع أفضل ممارسات الأمان في تطوير العقود.
2. تنفيذ وظيفة ترقية العقد وإيقافه.
3. استخدام آلية قفل الوقت.
4. زيادة الاستثمار في الأمان، وإنشاء نظام أمان متكامل.
5. زيادة وعي جميع الموظفين بالأمان.
6. منع الأذى الداخلي، مع تعزيز إدارة المخاطر أثناء تحسين الكفاءة.
7. يجب إدخال الخدمات من الأطراف الثالثة بحذر، وإجراء التحقق من الأمان على كلا الجانبين.

كيف يمكن للمستخدمين / مقدمي السيولة تقييم أمان العقود الذكية

1. تحقق مما إذا كانت العقد مفتوحة المصدر.
2. تأكيد ما إذا كان المالك قد اعتمد آلية التوقيع المتعدد اللامركزية.
3. تحقق من حالة التداول الحالية للعقد.
4. تحقق مما إذا كان العقد عقد وكيل، وما إذا كان يمكن ترقيته، وما إذا كان هناك قفل زمني.
5. تأكد من أن العقد قد تم تدقيقه بواسطة عدة مؤسسات، وقيم ما إذا كانت صلاحيات المالك كبيرة جداً.
6. انتبه لنوع الأوركل المستخدم في المشروع وموثوقيته.

من خلال التركيز على هذه الجوانب، يمكن للمستخدمين تقييم أمان المشروع بشكل أفضل وتقليل مخاطر المشاركة.