ඩිෆයි හි ස්මාර්ට් කොන්ත්‍රාත් ආරක්ෂාව: පොදු දුර්වලතා සහ ඒවා වලක්වා ගන්නා ආකාරය

අපි තාක්ෂණික ආරක්ෂිතතා වලට පිවිසෙන්න පෙර, ඔබගේ මූලික වෙළඳ කටයුතු ආරක්ෂිත වේදිකාවක ඇති බව තහවුරු කර ගැනීම සෑම විටම ප්‍රයෝජනවත් වේ. ඔබට විවිධ ආසන සඳහා අලුත්ම මිල සහ චලන පරීක්ෂා කළ හැක Exbix Markets පිටුවේ.

කොටස 2: සාමාන්‍ය ස්මාර්ට් කොන්ත්‍රාත් දුර්වලතා සහ ප්‍රහාර

අතිශය වැදගත් වූ දුර්වලතා ප්‍රභේද වලට බෙදා හරිනවා. DeFi හි අහිමිවීම්.

1. නැවත ඇතුළුවීම් ප්‍රහාර: සාම්ප්‍රදායික කර්තෘත්වය

නැවත ඇතුළුවීම් ප්‍රහාරය යනු ප්‍රසිද්ධම ස්මාර්ට් කොන්ත්‍රාත් දුර්වලතාවය වන අතර, 2016 දී DAO ප්‍රහාරය සහිත ප්‍රසිද්ධ විය, එය 3.6 මිලියන ETH ක අහිමිවීමක් හා ඊට පසුව Ethereum දැඩි fork එකක් ඇති වීමට හේතු විය.

• එය කුමක්ද? නැවත ඇතුළුවීම් ප්‍රහාරයක් ඇතැම්විට අයුතු ගිණුමක් ආපසු අමතා ඇතුළත් ගිණුමට ඇතුළත් වීමෙන් පසු ප්‍රාථමික ක්‍රියාවලිය සම්පූර්ණ වී නොමැතිව සිදුවේ. මෙය ආක්‍රමණිකයාට ඔවුන්ගේ බලාපොරොත්තු යාවත්කාලීන වීමට පෙර අරමුදල් නැවත නැවත ඉවත් කිරීමට ඉඩ ලබා දිය හැක.
• මෙය කෙසේ ක්‍රියා කරයි:
  1. ගිණුම A හි withdraw() කාර්යයක් ඇත, එය පරිශීලකයකුට ETH යවයි. ආ සහ ඉන්පසු පරිශීලකයාගේ අභ්‍යන්තර ශේෂය යාවත්කාලීන කරයි.
  2. අක්‍රමිකයාගේ කොන්ත්‍රාත්තුව B withdraw() ඇමතුම කරයි.
  3. කොන්ත්‍රාත්තුව A, කොන්ත්‍රාත්තුව B වෙත ETH යවයි.
  4. කොන්ත්‍රාත්තුව B හි fallback() ක්‍රියාවලියක් (ETH ලබා ගන්නා) ඇත, එය ඉක්මනින් කොන්ත්‍රාත්තුව A හි withdraw() යළි ඇමතුම් කරයි.
  5. කොන්ත්‍රාත්තුව A ඉතාමත්ම යාවත්කාලීන කර නැති බැවින්, ආක්‍රමණකයාගේ ශේෂය, කොන්ත්‍රාත් B තවමත් වැඩි ETH එකක් ලබා ගැනීමට හිමිකම් ඇති බව දැක්කාය සහ එය නැවත එවයි.
  6. මෙම චක්‍රය දිගු කරමින් කොන්ත්‍රාත් A හි මුදල් අවසන් වනතුරු හෝ ගනුදෙනු ගෑස් අවසන් වනතුරු ක්‍රියා කරයි.
• ප්‍රසිද්ධ උදාහරණය: The DAO ආක්‍රමණය (2016).
• එය වැළැක්වීමට:
  • පරීක්ෂා-ප්‍රතිඵල-අන්තර්ක්‍රියා ආකාරය භාවිතා කරන්න: මෙය රන් නීතියයි. සෑම විටම:
    1. පරීක්ෂා කරන්න සියලුම කොන්දේසි (උදාහරණයක් ලෙස, require(balances[msg.sender] >= amount);).
    2. අලුත් කරන්න සියලුම අභ්‍යන්තර රාජ්‍ය විචල්‍ය ( ප්‍රතිඵල) (උදාහරණයක් ලෙස, balances[msg.sender] -= amount;).
    3. එවිට, අනෙකුත් කොන්ත්‍රාත් හෝ EOA සමඟ අන්තර්ක්‍රියා කරන්න (අන්තර්ක්‍රියා) (උදාහරණයක් ලෙස, msg.sender.call{value: amount}("");).
  • Reentrancy ආරක්ෂක භාවිතා කරන්න: OpenZeppelin ReentrancyGuard සංශෝධකයක් ලබා දේ, එම සංඛ්‍යාතය ක්‍රියාත්මක වන විට එය අගුළු දැමීමක් කරන අතර, නැවත ඇමතුම් වලින් වැළකී සිටී.

2. ඔරකල් මනෝවිධි ප්‍රහාර

ස්මාර්ට් කොන්ත්‍රාත් බොහෝ විට යථාර්ථ ලෝක දත්ත අවශ්‍ය වේ. ඔරකල් යනු මෙම දත්ත ලබා දෙන සේවා වේ. ඔරකලයක් ලබා දෙන මිල ආහාරය මනෝවිධි කිරීම ප්‍රධාන ප්‍රහාර මාර්ගයකි.

• මෙය කුමක්ද? ඇතැම් ප්‍රහාරකයෙක් අඩු දියුණුවක් ඇති මධ්‍යස්ථානයක් (DEX) හි ද්‍රව්‍යයක මිල මනෝවිධි කරයි. ප්‍රොටෝකෝලයක ඔරකල් එකක් වැරදි මිලක් වාර්තා කිරීමට වංචා කරන්න.
• එය කෙසේ ක්‍රියා කරයි:
  1. ඉල්ලා සිටීමේ ප්‍රොටෝකෝලයක් ඩෙක්ස් එකක ස්ථාන මිලක් ඔරකල් ලෙස භාවිතා කරමින් ඇත්තේ කොළඹානයක් මත ණය ගන්නා ආකාරය තීරණය කිරීමයි.
  2. එක් ප්‍රහාරකයෙක් ක්ෂණික ණය ලබාගෙන ABC/ETH යන වෙළඳ යුගලයකින් දියුණුව අඩුකරමින් එය ඉතා අඩු දියුණුවක් බවට පත් කරයි.
  3. ආක්‍රමණිකයා එවිට ABC හි සුළු ප්‍රමාණයක් වෙළඳාම් කරමින් දැඩි ලෙස එහි මිල ETH එහි දැන් අසම්පූර්ණ වූ පූල් එකට එරෙහිව ගෙන යයි.
  4. ප්‍රොටෝකෝලයේ ඔරකල් මෙම මනාපිත මිල කියවයි.
  5. ආක්‍රමණිකයා කෘතිම ලෙස වර්ධිත ABC යනු ආධාරකයක් ලෙස භාවිතා කරමින් ප්‍රොටෝකෝලයෙන් අනෙකුත්, මනාපිත නොවන සම්පත් ප්‍රමාණයක් ණය ගනී.
  6. ආක්‍රමණිකයා ෆ්ලෑෂ් ණය ආපසු ගෙවයි, සහ ABC හි මිල
  ආපසු යයි, නමුත් ප්‍රොටෝකෝලය අගහරින ලද ගැටුම් සහ විශාල නරක ණයක් සමඟ ඉතිරි වේ.
• ප්‍රසිද්ධ උදාහරණ: Harvest Finance හෑක් ($34 මිලියන අහිමි), Compound හි DAI සිද්ධිය.
• එය වලක්වා ගැනීම:
  • අන්තර්ගත නොවන ඔරකල් භාවිතා කරන්න: Chainlink වැනි ශක්තිමත් ඔරකල් ජාල භාවිතා කරන්න, ඒවා බහු ස්වාධීන නෝඩ් සහ මූලාශ්‍ර වලින් එකතු කරන ලද දත්ත, ඒවාය මනාව පාලනය කිරීමට ඉතා අපහසු සහ වියදම් බරපතල කරයි.
  • කාල-බර සාමාන්‍ය මිල (TWAPs) භාවිතා කරන්න: අවධි කාලයක් (උදාහරණයක් ලෙස, මිනිත්තු 30) තුළ මිල සාමාන්‍යයක් භාවිතා කිරීම, වහාම ස්ථානයේ මිලට වඩා, කෙටි කාලීන පාලනය අලාභදායක කරයි.
  • බහු දත්ත මූලාශ්‍ර භාවිතා කරන්න: කරන්නේ නැහැ එක් DEX එකක දියුණු කිරීම් මත විශේෂිත මිල දත්තයක් සඳහා රැඳී සිටීම.

3. සම්පූර්ණ සංඛ්‍යාත ඉහළ සහ පහළ යාම

කම්පියුටර් වලට සංඛ්‍යාවක් කීයක් විශාල විය හැකිද යන්න සීමා ඇත. uint256 (අසම්පූර්ණ සංඛ්‍යා) එකක් Solidity හි උපරිම අගයක් 2^256 - 1 වේ.

බොහෝ ගිවිසුම්වල විශේෂිත ලිපිනයන්ට (උදාහරණයක් ලෙස, හිමිකරු, පරිපාලකයෙකු) සීමා කළ යුතු ක්‍රියාකාරකම් ඇත.

• මෙය කුමක්ද? ප්‍රොටෝකෝලයේ ක්‍රියාකාරිත්වයට අත්‍යවශ්‍ය ක්‍රියාවක් (උදාහරණයක් ලෙස, ගිවිසුම යාවත්කාලීන කිරීම, නව ටෝකන් නිෂ්පාදනය, ගාස්තු වෙනස් කිරීම) අහම්බෙන් මහජනතාවට විවෘත කරනු ලබන්නේ එය ආරක්ෂිත කර නොමැතිවයි. මාරුකරු වැනි onlyOwner.
• ප්‍රසිද්ධ උදාහරණය: Parity Wallet ආපසු පණිවුඩය (2017), එහිදී පරිශීලකයෙකු අහඹු ලෙස ක්‍රියාවලියක් ක්‍රියාත්මක කළේය, එමඟින් ඔවුන්ට පුස්තකාල ගිණුමේ හිමිකරු වීමට ඉඩ ලබාදී ඇත, පසුව එය “අවසන් කළේය” සහ ~500,000 ETH සදාකාලිකව අසක්කාවට පත් කළේය.
• එය වළක්වා ගැනීමේ ක්‍රම:
  • ප්‍රවේශ පාලනය භාවිතා කරන්න උපකාරක: OpenZeppelinගේ Ownable හෝ AccessControl සමඟ වශයෙන් සංවේදී ක්‍රියාවලි පැහැදිලිව සීමා කිරීමට උපකාරක භාවිතා කරන්න.
  • සමාලෝචනය සහ පරීක්ෂා කිරීම: ස්වයංක්‍රීය පරීක්ෂණ, අනිතික පරිශීලකයන්ට ප්‍රියෝජනවත් ක්‍රියාවලි කැඳවීමට නොහැකි බව විශේෂිතව පරීක්ෂා කළ යුතුය.

5. ප්‍රමුඛතා සහ ගනුදෙනු ඇණවුම් ආසන්නතාව