Merkezi Olmayan Finans'ın Yaygın Güvenlik Açıkları ve Önleme Önlemleri Üzerine Bir İnceleme
Son günlerde, bir güvenlik uzmanı topluluk üyeleriyle Merkezi Olmayan Finans güvenliği hakkında görüşlerini paylaştı. Geçtiğimiz bir yıl içinde Web3 sektöründe yaşanan önemli güvenlik olaylarını gözden geçirdi, bu olayların meydana gelme nedenlerini ve nasıl kaçınılacağına dair tartıştı, yaygın akıllı sözleşme güvenlik açıklarını ve önleme yöntemlerini özetledi ve proje sahipleri ile kullanıcılara bazı güvenlik önerileri sundu.
Merkezi Olmayan Finans alanında sıkça karşılaşılan açık türleri arasında anlık kredi, fiyat manipülasyonu, fonksiyon yetki sorunları, rastgele dış aramalar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntısı ve yeniden giriş saldırıları gibi durumlar bulunmaktadır. Bu yazıda anlık kredi, fiyat manipülasyonu ve yeniden giriş saldırısı olmak üzere üç tür üzerinde durulacaktır.
Hızlı Kredi
Açık Kredi, DeFi'nin bir yeniliğidir, ancak genellikle bilgisayar korsanları tarafından kullanılmaktadır. Saldırganlar, Açık Kredi aracılığıyla büyük miktarda fon borç alarak fiyatları manipüle edebilir veya iş mantığını saldırıya uğratabilir. Geliştiriciler, sözleşme işlevinin büyük miktardaki fonlar nedeniyle anormal hale gelip gelmeyeceğini veya bir işlemde birden fazla fonksiyonla etkileşim kurarak haksız kazanç elde edilip edilmeyeceğini dikkate almalıdır.
Son iki yılda, anlık kredi birçok soruna neden oldu. Görünüşte yüksek getiri sağlayan bazı Merkezi Olmayan Finans projeleri, aslında birçok güvenlik açığı barındırıyor. Örneğin, bazı projeler belirli bir zamanda pozisyon miktarına göre ödül dağıtıyor ve bu durum saldırganlar tarafından anlık kredi kullanılarak büyük miktarda token satın alıp çoğu ödülü elde etmek için istismar edildi. Ayrıca, token fiyatı hesaplayan bazı projeler, anlık kredi tarafından fiyatlarının etkilenmesine açıktır.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunu, hızlı kredi ile yakından ilişkilidir ve temel olarak iki durum vardır:
Fiyat hesaplanırken üçüncü taraf verileri kullanılır, ancak bu kullanım şekli yanlış veya kontrol eksikliği nedeniyle fiyat kötü niyetli bir şekilde manipüle edilir.
Belirli adreslerin token bakiyelerini hesaplama değişkeni olarak kullanın; bu bakiyeler geçici olarak artırılabilir veya azaltılabilir.
Yeniden Giriş Saldırısı
Dış sözleşmeleri çağırmanın ana riski, kontrol akışını ele geçirebilmeleri ve verilere beklenmedik değişiklikler yapabilmeleridir. Tipik bir yeniden giriş saldırısı örneği aşağıdadır:
function withdrawBalance() public {
uint amountToWithdraw = userBalances[msg.sender];
(bool success, ) = msg.sender.call.value(amountToWithdraw)("");
require(success);
userBalances[msg.sender] = 0;
}
Bu örnekte, kullanıcı bakiyesi yalnızca fonksiyonun sonunda 0 olarak ayarlandığı için, saldırganlar arada birden fazla kez çekim fonksiyonunu çağırabilir ve tekrarlanan çekimlere neden olabilir.
Reentrancy sorununu çözmek için aşağıdaki noktalara dikkat edilmelidir:
Sadece tek bir fonksiyonun tekrar çağrılmasını önlemekle kalmayıp, aynı zamanda fonksiyonlar arası ve sözleşmeler arası tekrar çağrılmayı da dikkate almak gerekir.
Checks-Effects-Interactions modeline göre kodlama yapın.
Doğrulanmış reentrancy modifier'larını kullanın.
Önemli olan, tekrardan tekerlek icat etmekten kaçınmaktır; sektörde zaten kanıtlanmış en iyi güvenlik uygulamalarının benimsenmesi gerekmektedir.
Proje Tarafı Güvenlik Önerileri
Akıllı sözleşme geliştirme için en iyi güvenlik uygulamalarına uyun.
Sözleşmenin güncellenebilir ve durdurulabilir işlevselliğini sağlamak.
Zaman kilidi mekanizması kullanın.
Güvenlik yatırımlarını artırmak ve kapsamlı bir güvenlik sistemi kurmak.
Tüm çalışanların güvenlik bilincini artırmak.
İçerideki kötü niyetli eylemleri önlemek, verimliliği artırırken risk kontrolünü güçlendirmek.
Üçüncü tarafları dikkatlice dahil edin, "varsayılan olarak yukarı ve aşağı akışın güvenli olmadığı" ilkesine uyun.
Kullanıcılar Akıllı Sözleşme Güvenliğini Nasıl Değerlendirir
Sözleşmenin açık kaynak olup olmadığını doğrulayın.
Owner'ın merkezi olmayan çoklu imza mekanizmasını kullanıp kullanmadığını kontrol edin.
Sözleşmenin mevcut işlem durumunu kontrol edin.
Sözleşmenin aracılık sözleşmesi olup olmadığını, yükseltilebilir olup olmadığını ve zaman kilidi olup olmadığını anlamak.
Sözleşmenin birden fazla kurum tarafından denetimden geçip geçmediğini ve Owner yetkisinin fazla olup olmadığını değerlendirin.
Projenin kullandığı oracle türüne ve güvenliğine dikkat edin.
Özetle, Merkezi Olmayan Finans alanında, güvenlik her zaman birincil önceliktir. Proje sahipleri güvenlik bilincini ve önlemlerini kapsamlı bir şekilde artırmalı, kullanıcılar ise dikkatli olmalı ve projelerin güvenliğini dikkatlice değerlendirerek karar vermelidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 Likes
Reward
14
4
Repost
Share
Comment
0/400
UnluckyLemur
· 08-12 15:44
Yine eski bir tuzak. Ne zaman yeni bir oyun tarzı olacak?
View OriginalReply0
DefiPlaybook
· 08-10 18:09
İstatistikler, Flaş Kredilerin hala en büyük risk kaynağı olduğunu ve oranının %47.8'e yükseldiğini gösteriyor.
View OriginalReply0
wrekt_but_learning
· 08-10 17:58
Açıklar yine eski tuzak, pek yeni bir numara yok.
View OriginalReply0
BoredApeResistance
· 08-10 17:46
Büyük kayıplar yaşayan enayiler sonunda anladı mı?
Merkezi Olmayan Finans Güvenlik Sorunları: Yaygın Açıkların Analizi ve Önleme Stratejileri
Merkezi Olmayan Finans'ın Yaygın Güvenlik Açıkları ve Önleme Önlemleri Üzerine Bir İnceleme
Son günlerde, bir güvenlik uzmanı topluluk üyeleriyle Merkezi Olmayan Finans güvenliği hakkında görüşlerini paylaştı. Geçtiğimiz bir yıl içinde Web3 sektöründe yaşanan önemli güvenlik olaylarını gözden geçirdi, bu olayların meydana gelme nedenlerini ve nasıl kaçınılacağına dair tartıştı, yaygın akıllı sözleşme güvenlik açıklarını ve önleme yöntemlerini özetledi ve proje sahipleri ile kullanıcılara bazı güvenlik önerileri sundu.
Merkezi Olmayan Finans alanında sıkça karşılaşılan açık türleri arasında anlık kredi, fiyat manipülasyonu, fonksiyon yetki sorunları, rastgele dış aramalar, fallback fonksiyonu sorunları, iş mantığı açıkları, özel anahtar sızıntısı ve yeniden giriş saldırıları gibi durumlar bulunmaktadır. Bu yazıda anlık kredi, fiyat manipülasyonu ve yeniden giriş saldırısı olmak üzere üç tür üzerinde durulacaktır.
Hızlı Kredi
Açık Kredi, DeFi'nin bir yeniliğidir, ancak genellikle bilgisayar korsanları tarafından kullanılmaktadır. Saldırganlar, Açık Kredi aracılığıyla büyük miktarda fon borç alarak fiyatları manipüle edebilir veya iş mantığını saldırıya uğratabilir. Geliştiriciler, sözleşme işlevinin büyük miktardaki fonlar nedeniyle anormal hale gelip gelmeyeceğini veya bir işlemde birden fazla fonksiyonla etkileşim kurarak haksız kazanç elde edilip edilmeyeceğini dikkate almalıdır.
Son iki yılda, anlık kredi birçok soruna neden oldu. Görünüşte yüksek getiri sağlayan bazı Merkezi Olmayan Finans projeleri, aslında birçok güvenlik açığı barındırıyor. Örneğin, bazı projeler belirli bir zamanda pozisyon miktarına göre ödül dağıtıyor ve bu durum saldırganlar tarafından anlık kredi kullanılarak büyük miktarda token satın alıp çoğu ödülü elde etmek için istismar edildi. Ayrıca, token fiyatı hesaplayan bazı projeler, anlık kredi tarafından fiyatlarının etkilenmesine açıktır.
Fiyat Manipülasyonu
Fiyat manipülasyonu sorunu, hızlı kredi ile yakından ilişkilidir ve temel olarak iki durum vardır:
Yeniden Giriş Saldırısı
Dış sözleşmeleri çağırmanın ana riski, kontrol akışını ele geçirebilmeleri ve verilere beklenmedik değişiklikler yapabilmeleridir. Tipik bir yeniden giriş saldırısı örneği aşağıdadır:
solidity mapping (address => uint) private userBalances;
function withdrawBalance() public { uint amountToWithdraw = userBalances[msg.sender]; (bool success, ) = msg.sender.call.value(amountToWithdraw)(""); require(success); userBalances[msg.sender] = 0; }
Bu örnekte, kullanıcı bakiyesi yalnızca fonksiyonun sonunda 0 olarak ayarlandığı için, saldırganlar arada birden fazla kez çekim fonksiyonunu çağırabilir ve tekrarlanan çekimlere neden olabilir.
Reentrancy sorununu çözmek için aşağıdaki noktalara dikkat edilmelidir:
Önemli olan, tekrardan tekerlek icat etmekten kaçınmaktır; sektörde zaten kanıtlanmış en iyi güvenlik uygulamalarının benimsenmesi gerekmektedir.
Proje Tarafı Güvenlik Önerileri
Kullanıcılar Akıllı Sözleşme Güvenliğini Nasıl Değerlendirir
Özetle, Merkezi Olmayan Finans alanında, güvenlik her zaman birincil önceliktir. Proje sahipleri güvenlik bilincini ve önlemlerini kapsamlı bir şekilde artırmalı, kullanıcılar ise dikkatli olmalı ve projelerin güvenliğini dikkatlice değerlendirerek karar vermelidir.