DeFi常見安全漏洞及預防措施

近期,一位安全專家爲社區成員分享了一堂DeFi安全課,回顧了過去一年多Web3行業遭遇的重大安全事件,探討了這些事件發生的原因以及如何規避,總結了常見智能合約的安全漏洞及預防措施,還對項目方和用戶給出了一些安全建議。

常見的DeFi漏洞類型主要有閃電貸、價格操縱、函數權限問題、任意外部調用、fallback函數問題、業務邏輯漏洞、私鑰泄漏、重入等。下面重點介紹閃電貸、價格操控以及重入攻擊這三種類型。

閃電貸

閃電貸雖是DeFi的一種創新,但也常被黑客利用:

• 攻擊者通過閃電貸借出大量資金,操縱價格或攻擊業務邏輯
• 開發者需考慮合約功能是否會因巨額資金導致異常,或被利用獲取不當獎勵
• 一些項目在設計功能時未考慮閃電貸影響,導致資金被盜

過去兩年,許多DeFi項目因閃電貸出現問題。例如,一些項目會根據持倉量發放獎勵,卻被攻擊者利用閃電貸購買大量代幣獲取大部分獎勵。還有通過Token計算價格的項目,可被閃電貸影響價格。項目方應對此提高警惕。

價格操控

價格操控問題與閃電貸密切相關,主要有兩種類型:

1. 計算價格時使用第三方數據,但使用方式不當或缺乏檢查,導致價格被惡意操控
2. 使用某些地址的Token餘額作爲計算變量,而這些餘額可被臨時增減

重入攻擊

調用外部合約的主要風險是它們可能接管控制流,對數據進行未預料的更改。

例如,在提現函數中,如果用戶餘額在函數最後才清零,攻擊者可以在資金轉出後再次調用該函數,反復提現。

重入攻擊的形式多樣,可能涉及多個函數或合約。防範重入需注意:

1. 不僅防止單一函數的重入
2. 遵循Checks-Effects-Interactions模式編碼
3. 使用經過驗證的防重入modifier

安全專家建議,應使用已有的最佳安全實踐,而非重復造輪子。因爲自己構建的新方案缺乏充分驗證,出問題的概率遠高於成熟方案。

項目方安全建議

1. 合約開發遵循最佳安全實踐
2. 合約可升級、可暫停,以便及時應對攻擊
3. 採用時間鎖,爲發現和應對風險預留時間
4. 加大安全投入,建立完善的安全體系
5. 提高所有員工的安全意識
6. 預防內部作惡,在提升效率同時加強風控
7. 謹慎引入第三方,默認上下遊都不安全

用戶如何判斷智能合約安全性

1. 合約是否開源
2. Owner是否採用去中心化的多籤
3. 檢查合約已有的交易情況
4. 合約是否可升級,是否有時間鎖
5. 是否接受過多家機構審計,Owner權限是否過大
6. 注意預言機的可靠性

總之,在DeFi領域,項目方和用戶都需保持高度警惕,採取多重安全措施,才能有效降低風險。