Diogelwch Contractau Smart yn DeFi: Bygythiadau Cyffredin a Sut i'w Ddiogelu

Mae byd y Ffinans Decentralized (DeFi) yn arloesedd syfrdanol, adfywiad ariannol wedi'i seilio ar sylfaen technoleg blockchain. Mae'n addo dyfodol o wasanaethau ariannol agored, heb ganiatâd, a thryloyw, o fenthyca a benthyca i ennill dychweliad a masnachu asedau, popeth heb unrhyw ganolwr canolog. Yn nghalon y chwyldro hwn mae'r deallus

contract—codau hunan-gweithredol sy'n rheoli'r rheolau ac yn awtomeiddio canlyniadau pob trafodiad.

Fodd bynnag, mae'r pŵer anhygoel hwn yn dod â chyfrifoldeb enfawr. Mae'r hen ddywediad “mae cod yn gyfraith” yn y gofod DeFi yn golygu nad oes llinell gymorth i gysylltu os bydd rhywbeth yn mynd o'i le. Os oes diffyg yn y cod, gall arian gael ei golli'n ddi-ail yn y funud. o llygad. Ar gyfer llwyfan fel Exbix, sy'n ymrwymo i ddarparu porth diogel a dibynadwy i'r economi crypto, mae deall y risgiau hyn yn hanfodol i'n defnyddwyr.

Bydd y canllaw cynhwysfawr hwn yn mynd i mewn i fyd diogelwch contractau smart. Byddwn yn dadffurfio'r bygythiadau cyffredin, yn archwilio'r ymosodiadau hanesyddol enwog, ac, yn bwysicaf oll, yn eich paratoi chi gyda'r wybodaeth i lywio'r dirwedd DeFi yn ddiogel. Cofiwch, mae defnyddwyr gwybodus yn ddefnyddwyr diogel. A thrwy'r amser rydych chi'n archwilio'r potensial eang o crypto, gallwch bob amser fasnachu parau mawr fel BNB/USDT a ETH/USDT ar ein Dangosfa cyfnewid Exbix.

Cyflwyniad: Y Cleddyf Dwy-ochrog o DeFi

Mae DeFi wedi cloi gwerth degau o biliynau o ddoleri mewn asedau digidol. Mae'r gwerth enfawr hwn yn ei gwneud yn darged o uchel ei werth ar gyfer ymosodwyr sy'n archwilio'n barhaus am wendidau. Gall bug sengl arwain at golledion sy'n cyrraedd cannoedd o filiynau o dollaria, yn shaking hyder buddsoddwyr ac yn atal arloesedd.

Ond nid yw hyn yn rheswm i ymwrthod. Yn hytrach, mae'n alwad am arfau ar gyfer addysg a phwyll. Trwy ddeall sut mae'r ymosodiadau hyn yn digwydd, gall datblygwyr a defnyddwyr gyfrannu at ecosystem grefach. Ar gyfer y rhai sy'n edrych i amrywio eu strategaethau masnachu y tu hwnt i farchnadoedd lle, mae deall y risgiau hyn hefyd hanfodol cyn cymryd rhan â chynhyrchion mwy cymhleth ar ein platfform Exbix Futures .

Rhan 1: Y Sylfaen – Beth yw Contractau Doeth & Pam maent yn Fynych?

Mae contract doeth yn syml yn rhaglen sydd wedi'i storio ar frif blockchain sy'n rhedeg pan cymdeithasol, maent yn cael eu defnyddio i awtomeiddio gweithredu cytundeb fel y gall pob cyfranogwr fod yn sicr o'r canlyniad ar unwaith, heb unrhyw gyfranogiad gan gyfryngwr nac unrhyw golli amser.

Pam maent yn agored i niwed?

• Diymwad: Unwaith y byddant wedi'u rhoi ar waith, maent yn hynod anodd i newid. Mae unrhyw fyg sy'n cael ei gynnwys yn y cod yno'n barhaol, oni bai bod patrwm penodol ar gyfer uwchraddio wedi'i gynllunio o'r cychwyn.
• Cymhlethdod: Mae protocolau DeFi yn hynod gymhleth, yn aml yn cynnwys degau o gontractau sy'n rhyngweithio. Mae'r cymhlethdod hwn yn cynyddu'r "wyneb ymosod."
• Cydgysylltedd (Lego Arian): Mae hyn yn Nodwedd fwyaf DeFi a'i risg fwyaf. Mae protocolau'n cael eu hadeiladu i ryngweithio â'i gilydd. Gall gwanedigaeth mewn un protocol ddylanwadu ar eraill sy'n dibynnu arno.
• Côd Cyhoeddus: Er bod natur agored y cod yn hyrwyddo ymddiriedaeth, mae hefyd yn golygu y gall ymosodwyr archwilio'r côd am oriau ar ben, yn chwilio am gamgymeriad sengl.
• Yr Oracle Problem: Mae angen data allanol ar gontractau (e.e., pris ased). Mae'r data hwn yn dod o “oraclau.” Os yw oracl wedi'i ddifrodi neu'n cael ei weithredu, bydd y contractau sy'n dibynnu arno'n gweithredu yn seiliedig ar wybodaeth ffug.

cyn i ni fynd i mewn i'r bygythiadau technegol, mae bob amser yn ddoeth sicrhau bod eich gweithgareddau masnachu sylfaenol ar blatfform diogel. Gallwch wirio'r prisiau a'r symudiadau diweddaraf ar gyfer gwahanol asedau ar y Tudalen Marchnadoedd Exbix .

Rhan 2: Diffygion a Chyffuriau Contractau Smart Cyffredin

Gadewch i ni ddadansoddi'r categorïau mwyaf cyffredin o ddiffygion sydd wedi arwain at sylweddol collediadau yn DeFi.

1. Ymosodiadau Ail-fynediad: Y Dwyll Clasurol

Mae'r ymosodiad ail-fynediad yn fregusrwydd contract smart mwyaf enwog, a ddangoswyd yn enwog gan y haciad DAO yn 2016, a arweiniodd at golli 3.6 miliwn ETH a fynedfa caled Ethereum yn ei sgil.

• Beth yw e? Ymosodiad ail-fynediad mae'n digwydd pan fydd contract maleisus yn galw'n ôl i'r contract galw cyn i'r weithred swyddogaeth gychwynnol fod wedi'i chwblhau. Gall hyn ganiatáu i'r ymosodwr dynnu arian yn ailadroddus cyn i'w gydbwysedd gael ei ddiweddaru.
• Sut mae'n gweithio:
  1. Mae gan Gytundeb A swyddogaeth withdraw() sy'n anfon ETH i ddefnyddiwr ac yna diweddaru balans mewnol y defnyddiwr.
  2. Mae Contract B yr Ymosodwr yn galw withdraw().
  3. Mae Contract A yn anfon ETH i Contract B.
  4. Mae gan Contract B fallback() ffwythiant (sy'n derbyn yr ETH) sy'n galw yn syth withdraw() yn Contract A eto.
  5. Mae Contract A nid yw wedi diweddaru cydbwysedd yr ymosodwr eto, felly mae'n gweld bod Contract B yn dal i fod yn hawl i fwy o ETH ac yn ei anfon eto.
  6. Mae'r cylch hwn yn parhau, gan ddraenio Contract A, nes bod y nwy trawsnewid yn dod i ben neu bod y contract yn wag.
• Enghraifft Ffamus: Hacio'r DAO (2016).
• Sut i Osgoi Hyn:
  • Defnyddiwch y patrwm Checks-Effects-Interactions: Dyma'r rheol aur. Bob amser:
    1. Gwirio yr holl amodau (e.e., require(balances[msg.sender] >= amount);).
    2. Diweddaru yr holl newidynnau mewnol (effeithiau) (e.e., balances[msg.sender] -= amount;).
    3. Yna, rhyngweithiwch â chontractau eraill neu EOAs (rhyngweithiadau) (e.e., msg.sender.call{value: amount}("");).
  • Defnyddiwch Warchodwyr Ail-gymryd: Mae OpenZeppelin yn cynnig modifier ReentrancyGuard sy'n cloi swyddogaeth yn ystod ei gweithredu, gan atal galwadau adweithiol.

2. Ymosod Manipulation Oracle

Mae angen data byd go iawn ar gontractau clyfar yn aml. Mae oraclau yn wasanaethau sy'n darparu'r data hwn. Mae gweithredu ar y ffrwd pris a gynhelir gan oracl yn ddull prif ymosod.

• Beth yw e? Mae ymosodwr yn gweithredu ar bris ased ar gyfnewid decentraledig (DEX) gyda llai o ddŵr i twll oracle protocol i mewn i adrodd pris anghywir.
• Sut mae'n gweithio:
  1. Mae protocol benthyca yn defnyddio pris man DEX fel ei oracle i benderfynu faint y gellir benthyg yn erbyn sicrhad.
  2. Mae ymosodwr yn cymryd benthyciad cyflym i ddraenio llif arian o bâr masnach, dyweder, ABC/ETH, gan ei gwneud yn hynod ddiflas.
  3. Yna, mae'r ymosodwr yn masnachu swm bach o ABC i symud ei bris yn fawr yn erbyn ETH ar y pwll sydd bellach yn ddibynadwy.
  4. Mae oracle y protocol yn darllen y pris a ddirprwywyd hwn.
  5. Mae'r ymosodwr yn defnyddio'r ABC a gynhelir yn artiffisial fel sicrwydd i fenthyca swm mawr o asedau eraill, heb eu ddirprwyo, gan y protocol.
  6. Mae'r ymosodwr yn ad-dalu'r benthyciad cyflym, ac mae pris ABC yn ei hun, ond mae'r protocol yn gadael ysgafn diwerth ac arian cyfred mawr o ddyled drwg.
• Enghreifftiau Poblogaidd: Hacio Harvest Finance ($34 miliwn ar goll), digwyddiad DAI Compound.
• Sut i Osgoi Hyn:
  • Defnyddiwch Oraclau Di-ganolog: Defnyddiwch rwydweithiau oraclau cadarn fel Chainlink, sy casglu data o nifer o nodau annibynnol a ffynonellau, gan ei gwneud yn eithaf anodd ac expensive i'w gweithredu.
  • Defnyddiwch Brisiau Cymedrig Pwysedig dros Amser (TWAPs): Mae defnyddio cymedr pris dros gyfnod (e.e., 30 munud) yn hytrach na'r pris manwl ar unwaith yn gwneud gweithredu byr-dymor yn ddibynadwy.
  • Defnyddiwch Sawl Ffynhonnell Ddata: Peidiwch dibynnu ar liwgarwch un DEX’s ar gyfer ffynhonnell pris hanfodol.

3. Gorlif a Thrafferthion Isel

Mae gan gyfrifiaduron derfynau ar ba mor fawr gall rhif fod. Mae uint256 (rhif di-symiau) yn Solidity yn cael gwerth uchaf o 2^256 - 1.

• Beth yw hyn?
  • Gorlifo: Pan fydd gweithred (fel adio) yn arwain at rif sy'n fwy na'r gwerth mwyaf, mae'n “gwrthdroi” i rif bach iawn.
  • Islaw: Pan fydd gweithred (fel tynnu) yn arwain at rif islaw sero (ar gyfer rhifau cyfan di-dor, na allant fod yn negyddol), mae'n gwrthdroi i rif mawr iawn.
  number.
• Sut mae'n gweithio:
  • Cydbwysedd o 100 token. Mae defnyddiwr yn gwario 101. Bydd y cyfrifiad 100 - 101 yn achosi danflaen, gan arwain at gydbwysedd o 2^256 - 1, gan roi cydbwysedd bron yn ddiddiwedd i'r defnyddiwr.
• Sut i Osgoi It:
  • Defnyddiwch Solidity 0.8.x neu'n hwyrach: Mae'r cyfansoddwr yn gwirio'n awtomatig am ormodau/isafswm ac yn dychwelyd trafodion lle maen nhw'n digwydd.
  • Defnyddiwch SafeMath ar gyfer cyfansoddwyr hŷn: Mae'r llyfrgell SafeMath OpenZeppelin yn darparu swyddogaethau ar gyfer gweithrediadau rhifedd diogel cyn v0.8.

4. Namgyddion Rheoli Mynediad

Mae llawer o gontractau yn cynnwys swyddogaethau sydd angen eu cyfyngu i gyfeiriadau penodol (e.e., yr eiddo, gweinyddwr).

• Beth yw hyn? Swyddogaeth sy'n hanfodol i weithrediad y protocol (e.e., uwchraddio'r contract, creu tokenau newydd, newid ffioedd) sydd wedi'i gwneud yn gyhoeddus yn ddamweiniol yn lle ei bod wedi'i diogelu gan
modifier fel onlyOwner.
• Enwog Enghraifft: Haciau Waled Parity (2017), lle bu defnyddiwr yn achlysurol yn actifadu swyddogaeth a wnaeth iddynt ddod yn berchennog y cytundeb llyfrgell ac yn ddiweddarach “ladd” ef, gan rewi ~500,000 ETH am byth.
• Sut i Osgoi Hyn:
  • Defnyddiwch Reolaeth Mynediad Modifiers: Defnyddiwch fodiwleiddwyr fel Ownable OpenZeppelin’s neu AccessControl i gyfyngu'n glir ar weithredoedd sensitif.
  • Auddiwch a Phrofwch yn Drylwyr: Dylai profion awtomataidd wirio'n benodol nad yw defnyddwyr heb awdurdod yn gallu galw gweithredoedd breintiedig.

5. Frontrunning a Thrawsgrifiad Dependence Gorchymyn

Yn blockchain, mae trafodion yn gyhoeddus yn y mempool cyn iddynt gael eu mwynhau. Mae mineriaid yn eu gorchymyn ar gyfer eu cynnwys mewn bloc, yn aml yn rhoi blaenoriaeth i'r rheini sydd â ffioedd nwy uwch.

• Beth yw hwn? Mae ymosodwr yn gweld trafodiad elw (e.e., masnach fawr a fydd yn symud y pris) yn y mempool ac yn cyflwyno eu un eu hunain trawsaction gyda ffi nwy uwch i gael ei gweithredu gyntaf.
• Sut mae'n gweithio:
  1. Mae Defnyddiwr A yn cyflwyno trawsaction i brynu 10,000 o tokenau XYZ, a fydd yn cynyddu'r pris yn sylweddol.
  2. Mae Ymosodwr B yn gweld y trawsaction hon ac yn gyflym yn cyflwyno trawsaction i brynu XYZ yn gyntaf, gyda ffi nwy uwch.
  3. Mae'r mynyddwr yn gweithredu trawsaction Ymosodwr B’s gorchymyn prynhawn. Mae pris XYZ yn codi.
  4. Mae gorchymyn Defnyddiwr A’n cael ei weithredu ar y pris newydd, uwch.
  5. Mae Ymosodwr B yn gwerthu'r tocynnau XYZ a brynodd yn syth, gan elwa ar y gwahaniaeth pris a grëwyd gan fasnach Defnyddiwr A’n.
• Sut i Osgoi Hyn:
  • Defnyddiwch Anfon Submarine: Technegau fel defnyddio schemes datgelu-ymddwyn, lle mae'r bwriad yn cael ei gyflwyno gyntaf ac yna'r weithred yn cael ei datgelu yn ddiweddarach.
  • Defnyddio Flash Bots: Ar Ethereum, mae gwasanaethau fel Flashbots yn diogelu trafodion rhag fronnwr trwy eu cyflwyno'n uniongyrchol i'r mân-gynhyrchwyr.
  • Addasu Tolerans Slippage: Ar DEXs, gall defnyddwyr osod tolerans slippage uchaf i atal trafodion rhag cael eu gweithredu ar prisiau eithaf anfoddhaol.

(… Mae'r erthygl yn parhau am ~4100 gair, gan drafod mwy o agweddau gwan fel Gwallau Logig, Tynnu Rug, Ymosodiadau Benthyciad Flash, a rhanau helaeth ar Sut i Warchod Eich Hun fel Defnyddiwr a'r Ymarferion Gorau ar gyfer Datblygwyr …)

Rhan 5: Sut i Warchod Eich Hun fel Defnyddiwr DeFi

Er bod datblygwyr yn gyfrifol am ysgrifennu cod diogel, mae'n rhaid i ddefnyddwyr ymarfer gofalu. Dyma sut gallwch chi ddiogelu eich arian:

1. Gwnewch Eich Ymchwil Eich Hun (DYOR): Peidiwch byth â buddsoddi mewn prosiect nad ydych yn ei ddeall. Darllenwch eu dogfennau, deallwch eu tokenomics.
2. Gwirio am Archwiliadau: A yw'r prosiect wedi'i archwilio gan gwmni dibynadwy fel ConsenSys Diligence, Trail of Bits, CertiK, neu Quantstamp? Darllenwch yr adroddiadau archwilio! Nodyn: Nid yw archwiliad yn gwarantiad, ond mae ei absennol yn fan mawr o risg.
3. Gwirio Anhwylder y Tîm: Byddwch yn ofalus iawn gyda thimau yn llwyr anhysbys. Er bod preifatrwydd yn hawl, mae anhwylder yn gwneud “tynnu'r mat" yn haws i'w weithredu heb canlyniad.
4. Dechrau'n Fach: Peidiwch â buddsoddi mwy nag yr ydych yn barod i'w golli. Profwch y protocol gyda swm bach yn gyntaf.
5. Defnyddiwch Waledau Caled: Mae waled caled yn cadw eich allweddi preifat ar-lein, gan ddarparu diogelwch hanfodol yn erbyn malware a phorthau phyllau. Pan fyddwch yn cysylltu eich waled â dApp newydd, gwirio URLau yn ofalus.
6. Deall â'r Risgiau o Ffermydd Newydd: Mae APY uchel, anrhagweladwy yn aml yn denu mwyaf i dwyll. Os yw'n ymddangos yn rhy dda i fod yn wir, mae'n debyg ei fod yn wir.
7. Monitro Channels Cymdeithasol: A yw'r tîm yn ymateb? A yw'r gymuned yn weithgar? Gall Telegram neu Discord marw fod yn arwydd drwg.

Ar gyfer y rhai sy'n well ganddynt brofiad mwy wedi'i drefnu, dechrau gallwch leihau'r risgiau hyn yn sylweddol. Rydym yn delio â diogelwch seilwaith y fasnach, gan eich galluogi i ganolbwyntio ar eich strategaeth fasnachu ar gyfer parau fel ETC/USDT ar ein dangosfa fasnach benodol.

Casgliad: Cyfrifoldeb Cydweithredol am Ddyfodol Diogel

Mae'r gofod DeFi yn ffin o arloesedd a chyfleoedd heb ei ail, ond nid yw'n ddiogel rhag peryglon. Mae diogelwch contractau smart yn fwy na dim ond un o'r... hergell technolegol i ddatblygwyr; mae'n orfodol ar draws yr ecosystem. Mae'n rhaid i ddatblygwyr roi blaenoriaeth i brofion trylwyr, dilysiadau ffurfiol, a archwiliadau proffesiynol. Mae'n rhaid i ddefnyddwyr dderbyn addysg a chymryd rhan yn ofalus.

Mae'r daith tuag at ecosystem DeFi diogel yn wirioneddol yn parhau. Trwy ddeall y bygythiadau cyffredin, dysgu o'r camfeydd yn y gorffennol, a mabwysiadu meddylfryd diogelwch yn gyntaf, gallwn ni i gyd gyfrannu at adeiladu dyfodol ariannol mwy gwydn a dibynadwy. Mae addewid DeFi yn rhy fawr i'w adael i anwybodaeth. Mae'n rhaid ei adeiladu, cam wrth gam, ar sylfaen diogelwch a pharch.

Arhoswch yn ddiogel, arhoswch yn ymwybodol, a mwynhewch fasnachu ar Exbix