ഡിഫൈയിലെ സ്മാർട്ട് കോൺട്രാക്റ്റ് സുരക്ഷ: സാധാരണ ദുർബലതകൾ എങ്ങനെ ഒഴിവാക്കാം

നാം സാങ്കേതിക ദുര്‍ബലതകളിലേക്ക് കടക്കുന്നതിന് മുമ്പ്, നിങ്ങളുടെ അടിസ്ഥാന വ്യാപാര പ്രവർത്തനങ്ങൾ സുരക്ഷിതമായ പ്ലാറ്റ്‌ഫോമിൽ ഉറപ്പുവരുത്തുന്നത് എപ്പോഴും നല്ലതാണ്. നിങ്ങൾക്ക് വിവിധ ആസ്തികളുടെ ഏറ്റവും പുതിയ വിലകളും ചലനങ്ങളും Exbix Markets പേജിൽ പരിശോധിക്കാം.

ഭാഗം 2: സാധാരണ സ്മാർട്ട് കോൺട്രാക്ട് ദുര്‍ബലതകളും ദ്രവ്യമൂല്യങ്ങളും

പ്രധാനമായും വലിയതോതിൽ നശിപ്പിച്ച ദുര്‍ബലതകളുടെ സാധാരണ വിഭാഗങ്ങളെ നാം വിശകലനം ചെയ്യാം. DeFi-യിലെ നഷ്ടങ്ങൾ.

1. റീഎന്റ്രൻസി ആക്രമണങ്ങൾ: ക്ലാസിക് കവർച്ച

റീഎന്റ്രൻസി ആക്രമണം ഏറ്റവും പ്രശസ്തമായ സ്മാർട്ട് കോൺട്രാക്ട് ദുർബലതയാണ്, 2016-ൽ DAO ഹാക്ക് മൂലമുണ്ടായ 3.6 ദശലക്ഷം ETH നഷ്‌ടമായതും, അതിന് ശേഷം എഥീരിയം ഹാർഡ് ഫോർക്ക് ഉണ്ടായതും ഇതിന്റെ പ്രശസ്തമായ ഉദാഹരണമാണ്.

• ഇത് എന്താണ്? ഒരു റീഎന്റ്രൻസി ആക്രമണം മാലിന്യകരമായ കരാറുകൾ ആദ്യ ഫംഗ്ഷൻ പ്രവർത്തനം പൂർത്തിയാകുന്നതിന് മുമ്പ് വിളിക്കുന്ന കരാറിലേക്ക് തിരിച്ചുപോകുമ്പോൾ സംഭവിക്കുന്നു. ഇത് ആക്രമണകാരിക്ക് അവരുടെ ബാലൻസ് അപ്ഡേറ്റ് ചെയ്യുന്നതിന് മുമ്പ് പണങ്ങൾ ആവർത്തിച്ച് പിന്‍വലിക്കാൻ അനുവദിക്കാം.
• ഇത് എങ്ങനെ പ്രവർത്തിക്കുന്നു:
  1. കരാർ A-യിൽ withdraw() ഫംഗ്ഷൻ ഉണ്ട്, അത് ഒരു ഉപയോക്താവിന് ETH അയക്കുന്നു എന്നും ശേഷം ഉപയോക്താവിന്റെ അന്തർവശം പുതുക്കുന്നു.
  2. ആക്രമണകാരന്റെ കരാർ B withdraw() എന്നത് വിളിക്കുന്നു.
  3. കരാർ A കരാർ B-യ്ക്ക് ETH അയയ്ക്കുന്നു.
  4. കരാർ B-യിൽ fallback() ഫംഗ്ഷൻ (ETH സ്വീകരിക്കുന്ന) ഉണ്ട്, അത് തത്സമയം കരാർ A-യിൽ withdraw() വിലക്കുന്നു.
  5. കരാർ A അ attackerന്റെ ബാലൻസ് ഇപ്പോഴും അപ്ഡേറ്റ് ചെയ്തിട്ടില്ല, അതിനാൽ അത് കോൺട്രാക്ട് B-ന് കൂടുതൽ ETH ലഭിക്കേണ്ടതുണ്ടെന്ന് കാണുന്നു, അതിനാൽ അത് വീണ്ടും അയക്കുന്നു.
  6. ഈ ചക്രം തുടരും, കോൺട്രാക്ട് A-നെ ശോഷിച്ചുകൊണ്ട്, ട്രാൻസാക്ഷൻ ഗ്യാസ് അവസാനിക്കുകയോ കോൺട്രാക്ട് ശൂന്യമായേക്കുകയോ വരെ.
• പ്രശസ്ത ഉദാഹരണം: The DAO ഹാക്ക് (2016).
• അത് എങ്ങനെ ഒഴിവാക്കാം:
  • ചെക്കുകൾ-ഫലങ്ങൾ-അന്തർപ്രവർത്തനങ്ങൾ മാതൃക ഉപയോഗിക്കുക: ഇത് സ്വർണ്ണനിയമമാണ്. എപ്പോഴും:
    1. ചെക്ക് എല്ലാ നിബന്ധനകളും (ഉദാഹരണത്തിന്, require(balances[msg.sender] >= amount);).
    2. അപ്ഡേറ്റ് എല്ലാ ആഭ്യന്തര സംസ്ഥാന വ്യത്യാസങ്ങൾ (ഫലങ്ങൾ) (ഉദാഹരണത്തിന്, balances[msg.sender] -= amount;).
    3. അപ്പോൾ, മറ്റ് കരാറുകളോ EOAs-കളോ ( അന്തർക്രിയകൾ) (ഉദാഹരണത്തിന്,  msg.sender.call{value: amount}("");).
  • റീന്ട്രൻസി ഗാർഡുകൾ ഉപയോഗിക്കുക: OpenZeppelin ഒരു ReentrancyGuard മോഡിഫയർ നൽകുന്നു, ഇത് ഒരു ഫംഗ്ഷൻ അതിന്റെ പ്രവർത്തനകാലത്ത് ലോക്ക് ചെയ്യുന്നു, പുനരാവൃത്തി വിളനിലവാരങ്ങൾ തടയുന്നു.

2. ഓറക്കിള്‍ മാനിപ്പുലേഷന്‍ ആക്രമണങ്ങള്‍

സ്മാര്‍ട്ട് കോൺട്രാക്റ്റുകൾ പലപ്പോഴും യാഥാർത്ഥ്യത്തിലെ ഡാറ്റ ആവശ്യപ്പെടുന്നു. ഓറക്കിളുകൾ ഈ ഡാറ്റ നൽകുന്ന സേവനങ്ങളാണ്. ഒരു ഓറക്കിള്‍ നൽകുന്ന വില ഫീഡിനെ മാനിപ്പുലേറ്റ് ചെയ്യുന്നത് പ്രധാനമായൊരു ആക്രമണ വഴിയാണ്.

• ഇത് എന്താണ്? ഒരു ആക്രമണകാരി കുറഞ്ഞ ദ്രവ്യത്വമുള്ള ഒരു decentralized exchange (DEX) ൽ ഒരു ആസ്തിയുടെ വില മാനിപ്പുലേറ്റ് ചെയ്യുന്നു. ഒരു പ്രോട്ടോക്കോൾയുടെ ഓറക്കിളിനെ തെറ്റായ വില റിപ്പോർട്ട് ചെയ്യാൻ വഞ്ചിക്കുക.
• ഇത് എങ്ങനെ പ്രവർത്തിക്കുന്നു:
  1. ഒരു ലെൻഡിംഗ് പ്രോട്ടോക്കോൾ ഒരു DEX-ന്റെ സ്‌പോട്ട് വിലയെ അതിന്റെ ഓറക്കിളായി ഉപയോഗിച്ച് ജാമ്യത്തിന് എത്ര വായ്പ നൽകാം എന്ന് തീരുമാനിക്കുന്നു.
  2. ഒരു ആക്രമണകാരൻ ഒരു ഫ്ലാഷ് ലോൺ എടുക്കുന്നു, ABC/ETH എന്ന വ്യാപാര ജോഡിയിൽ നിന്ന് ദ്രവ്യം നീക്കം ചെയ്യാൻ, അതിനെ വളരെ ദ്രവ്യമില്ലാത്തതാക്കുന്നു.
  3. ആക്രമണക്കാരൻ പിന്നീട് ABC ന്റെ ചെറിയ ഒരു അളവ് ETH ന്റെ ഇപ്പോഴത്തെ ദ്രവ്യമല്ലാത്ത പൂളിന് എതിരെ അതിന്റെ വില വലിയ രീതിയിൽ മാറ്റാൻ വ്യാപാരം ചെയ്യുന്നു.
  4. പ്രോട്ടോക്കോൾയുടെ ഓർക്കി ഈ കൈമാറ്റം ചെയ്ത വില വായിക്കുന്നു.
  5. ആക്രമണക്കാരൻ പ്രോട്ടോക്കോളിൽ നിന്ന് വലിയ അളവിൽ മറ്റ്, കൈമാറ്റം ചെയ്തിട്ടില്ലാത്ത ആസ്തികൾ കടം എടുക്കാൻ കൃത്രിമമായി ഉയർത്തിയ ABC നെ ജാമ്യം ആയി ഉപയോഗിക്കുന്നു.
  6. ആക്രമണക്കാരൻ ഫ്ലാഷ് ലോൺ തിരിച്ചടിക്കുന്നു, ABC ന്റെ വില
  തന്നെ ശരിയാക്കുന്നു, പക്ഷേ പ്രോട്ടോക്കോൾ വിലയില്ലാത്ത കള്ളപ്പണവും വലിയ കടബാധ്യതയും കൈവശം വയ്ക്കുന്നു.
• പ്രശസ്ത ഉദാഹരണങ്ങൾ: ഹാർവസ്റ്റ് ഫിനാൻസ് ഹാക്ക് ($34 ദശലക്ഷം നഷ്ടം), കമ്പൗണ്ടിന്റെ DAI സംഭവവികാസം.
• ഇത് ഒഴിവാക്കാൻ:
  • വ്യവസ്ഥിത ഡെസെൻട്രലൈസ്ഡ് ഓറക്കിളുകൾ ഉപയോഗിക്കുക: ചെയിൻലിങ്ക് പോലുള്ള ശക്തമായ ഓറക്കിള്‍ നെറ്റ്‌വർക്കുകൾ ഉപയോഗിക്കുക, അതിലൂടെ വ്യത്യസ്ത സ്വതന്ത്ര നോഡുകൾക്കും ഉറവിടങ്ങൾക്കും നിന്നുള്ള സമാഹിത ഡാറ്റ, അവയെ കൈമാറുന്നത് അത്യന്തം ബുദ്ധിമുട്ടും ചെലവുമുള്ളതാക്കുന്നു.
  • സമയം-ഭാരം നൽകുന്ന ശരാശരി വിലകൾ (TWAPs) ഉപയോഗിക്കുക: തത്സമയ സ്‌പോട്ട് വിലയേക്കാൾ ഒരു കാലയളവിൽ (ഉദാഹരണത്തിന്, 30 മിനിറ്റ്) വിലയുടെ ശരാശരി ഉപയോഗിക്കുന്നത് താൽക്കാലികമായി കൈമാറ്റം നടത്തുന്നത് ലാഭകരമല്ല.
  • ബഹുഭൂരിപക്ഷ ഡാറ്റ ഉറവിടങ്ങൾ ഉപയോഗിക്കുക: കണ്ടെത്തുക ഒരു പ്രധാന വിലാ_feed_ക്ക് ഒരു ഏക DEX-ന്റെ ദ്രവ്യവിനിമയത്തിൽ ആശ്രയിക്കുന്നത്.

3. ഇന്റിജർ ഓവർഫ്ലോയും അണ്ടർഫ്ലോയും

കമ്പ്യൂട്ടറുകൾക്ക് എത്ര വലിയ ഒരു സംഖ്യ ഉണ്ടാകാം എന്നതിൽ പരിധികൾ ഉണ്ട്. ഒരു uint256 (അൺസൈൻഡ് ഇന്റിജർ) സോളിഡിറ്റിയിൽ 2^256 - 1-ന്റെ പരമാവധി മൂല്യം ഉണ്ട്.

• ഇത് എന്താണ്?
  • ഓവർഫ്ലോ: ഒരു പ്രവർത്തനം (ചേർക്കൽ പോലുള്ളത്) പരമാവധി മൂല്യത്തിൽ നിന്ന് കൂടുതലായ ഒരു സംഖ്യയുണ്ടാകുമ്പോൾ, അത് വളരെ ചെറിയ സംഖ്യയിലേക്ക് “ചുറ്റുന്നു”.
  • അണ്ടർഫ്ലോ: ഒരു പ്രവർത്തനം (കുറച്ചൽ പോലുള്ളത്) ശൂന്യത്തിലേക്ക് (നഗണ്യ സംഖ്യകൾക്ക്, അവ നിഷേധാത്മകമായിരിക്കില്ല) താഴെയുള്ള സംഖ്യയുണ്ടാകുമ്പോൾ, അത് വളരെ വലിയ സംഖ്യയിലേക്ക് ചുറ്റുന്നു.
  .
• ഇത് എങ്ങനെ പ്രവർത്തിക്കുന്നു:
  • ഒരു ബാലൻസ് 100 ടോക്കണുകൾ. ഒരു ഉപയോക്താവ് 101100 - 101 അണ്ടർഫ്ലോ ചെയ്യുന്നു, ഇതിലൂടെ ബാലൻസ് 2^256 - 1 ആകുന്നു, ഫലത്തിൽ ഉപയോക്താവിന് ഏകദേശം അനന്തമായ ബാലൻസ് ലഭിക്കുന്നു.
• എങ്ങനെ ഒഴിവാക്കാം It:
  • സോളിഡിറ്റി 0.8.x അല്ലെങ്കിൽ അതിന് ശേഷമുള്ളത് ഉപയോഗിക്കുക: കമ്പൈലർ ഓട്ടോമാറ്റിക്കായി ഓവർഫ്ലോ/അണ്ടർഫ്ലോ പരിശോധിക്കുന്നു, ഇവ സംഭവിക്കുന്നിടത്ത് ഇടപാടുകൾ തിരിച്ചു കൊണ്ടുപോകുന്നു.
  • പഴയ കമ്പൈലറുകൾക്കായി SafeMath ഉപയോഗിക്കുക: v0.8-ൽ മുമ്പ് സുരക്ഷിത ഗണിത പ്രവർത്തനങ്ങൾക്കായി OpenZeppelin SafeMath ലൈബ്രറി ഫംഗ്ഷനുകൾ നൽകുന്നു.

4. പ്രവേശന നിയന്ത്രണ പിഴവുകൾ