Primer lanzamiento | Interpretación de las vulnerabilidades típicas de DeFi y sus riesgos de seguridad

Este artículo fue creado originalmente por Certik y autorizado por Jinse Finance para su publicación. Desde el surgimiento de DeFi, se ha vuelto rápidamente popular en todo el mundo en solo 9 meses. BSC ha establecido un ecosistema cada vez más completo con gas de bajo costo y aplicaciones ecológicas de rápido crecimiento, y se ha convertido con éxito en una de las principales plataformas de cadenas públicas. Fuente de datos: https://bscscan.com/ Actualmente, cientos de proyectos realizan decenas de millones de transacciones en BSC todos los días. La imagen es de https://twitter.com/BinanceChain/status/1395060714390315008 Pero la popularidad de las transacciones en la cadena ha traído otro peligro oculto para nosotros: el peligro oculto de seguridad. Hay cada vez más niveles diferentes de vulnerabilidades que los piratas informáticos pueden explotar. Los expertos en seguridad de CertiK dividen estas vulnerabilidades en cuatro categorías. A continuación se explican los riesgos de seguridad relacionados con DeFi para los lectores. En los contratos inteligentes, ciertas funciones están protegidas por modificadores de función: solo ciertos operadores pueden llamar a ciertas funciones. En la mayoría de los casos, estas funciones se utilizan para modificar la configuración del contrato o administrar los fondos retenidos en contratos inteligentes. Entonces, si un atacante compromete la clave de administración, puede tomar el control total del contrato inteligente, llamar a esa función y robar los activos del usuario. Causas de la fuga de claves La primera posibilidad es un programa informático de caballo de Troya. Los atacantes pueden usar programas de caballos de Troya para robar claves privadas almacenadas en computadoras o realizar ataques de phishing para engañar a los usuarios para que envíen sus claves privadas a los atacantes. Para los contratos de DeFi, varias personas suelen compartir una clave de gestión. Esto significa que si un infiltrado tiene malas intenciones, puede llamar a la función de administración para transferir los tokens del proyecto a su propia dirección de billetera. Aquí hay dos casos: El 5 de marzo de 2021, PAID Network sufrió un ataque de "minting" debido al manejo inadecuado de su clave privada, se especula que el atacante robó la clave de la computadora del administrador a través de un ataque de phishing. El contrato de token PAGADO está detrás de un servidor proxy actualizable, lo que significa que el propietario del servidor proxy puede reemplazar el contrato de token. Este tipo de código malicioso tiene una función de acuñación, el atacante destruyó 60 millones de tokens PAGADOS y luego acuñó 59 millones de tokens para sí mismo. En ese momento, se vendieron USD 2 501 203 en tokens PAGADOS (aproximadamente 2040 ETH) en Uniswap, y el precio del token se desplomó de USD 2,8 a USD 0,3. El 19 de abril de 2021, el fundador de EasyFi afirmó que el pirata informático realizó un ataque dirigido al administrador para obtener la clave de administración. Se transfirieron 2,98 millones de tokens EASY (valorados en unos 75 millones de dólares en ese momento) de la billetera oficial EasyFi a varias billeteras desconocidas. Por lo tanto, se puede ver la importancia del almacenamiento seguro de claves privadas para la seguridad del proyecto.Los gerentes no deben almacenar claves de administrador sin cifrar en dispositivos informáticos, ni colocarlas sin protección en las billeteras calientes de Metamask. Impossible Finance anunció el lanzamiento de ImPossible V1 Swap: Impossible Finance dijo en Twitter que se lanzó Impossible V1 Swap y que los usuarios ahora pueden realizar operaciones de intercambio o agregar liquidez en swap.impossible.finance. [2021/6/29 0:15:05] Los expertos en seguridad de CertiK recomiendan a los administradores que utilicen carteras de hardware para crear cuentas. Si cada gerente de un equipo de varias personas usa una billetera de hardware, una vez que uno de los gerentes intenta realizar una transacción privilegiada, la mayoría de los miembros también deben firmar y aceptar, lo que evita que el atacante llame a Todas las funciones privilegiadas. Los contratos de tokens deben evitar la capacidad de acuñar nuevos tokens tanto como sea posible. Si necesita acuñar nuevos tokens, debe usar contratos DAO o contratos de bloqueo de tiempo, no cuentas EOA. Cuando las personas mencionan las vulnerabilidades de DeFi, a menudo piensan que las vulnerabilidades deben ser muy complicadas, pero no siempre es así. A veces, un pequeño error de codificación puede hacer que millones de dólares en activos se evaporen de la noche a la mañana. Algunos ejemplos comunes de errores de codificación: 1. Permisos de función faltantes, modificadores (modificador) 2. Errores tipográficos 3. Número incorrecto de dígitos 4. Asignación de valor de variable faltante/incorrecta Un ejemplo muy típico es el Uranium Finance Attack afectado: los piratas informáticos atacaron el contrato no auditado de Uranium Finance, y el proyecto perdió $57 millones. Los administradores usaron multiplicadores inconsistentes al comparar el producto de dos saldos de tokens en el grupo antes y después del intercambio, lo que permitió a un atacante intercambiar una gran cantidad de tokens del grupo con solo 1 Wei. Código para finanzas de uranio: código correcto: otro ejemplo es Value DeFi, que fue pirateado y perdió $ 10 millones. El motivo de este incidente es que la función de inicialización en el contrato Value DeFi carece de "inicializado = verdadero", lo que significa que cualquiera puede inicializar el grupo de fondos y establecerse como administrador. El 5 de mayo de 2021, el atacante inicializó el grupo, se configuró como administrador y luego vació los tokens apostados utilizando la función "governanceRecoverUnsupported()". Código vulnerable en Value DeFi: Solución: este tipo de error de código a menudo es extremadamente fácil de evitar, simplemente pasando las revisiones de pares, las pruebas unitarias y las auditorías de seguridad adecuadas. Los préstamos flash se pueden utilizar para préstamos sin proporcionar ninguna garantía. Por supuesto, todas las operaciones deben completarse dentro de un bloque de transacciones. Los desarrolladores pueden tomar prestado y tomar prestado de protocolos como Aave o dYdX con la condición de que la liquidez se devuelva al grupo antes de que se cierre la transacción. Si los fondos no se devuelven a tiempo, la transacción se revertirá, lo que garantiza la seguridad del fondo de reserva. Los pasos generales de operación del préstamo flash son los siguientes: 1. Use el préstamo flash para tomar prestada una gran cantidad de token A 2. Intercambie el token A por el token B en DEX (el precio del token A cae y el precio del token B aumenta) 3 Ataque a proyectos DeFi que dependen de precios A/B 4. Reembolso de préstamos flash La semana pasada, PancakeBunny sufrió un ataque de préstamo flash.El atacante robó 114 000 BNB y 697 000 Bunny (con un valor aproximado de 40 millones de dólares en ese momento). El atacante usó préstamos rápidos para manipular el precio del grupo PancakeSwap USDT-BNB V1, lo que provocó que una gran cantidad de BNB fluyera hacia el grupo BNB-Bunny, lo que permitió que el contrato acuñara a Bunny a un precio inflado de BNB/Bunny. PancakeBunny usa la siguiente función para calcular el precio de Bunny: una gran cantidad de BNB fluyó hacia el grupo de BNB-Bunny, lo que provocó que la variable "reserve0" aumentara y la fórmula de cálculo del precio era defectuosa, lo que llevó al atacante a obtener ilegalmente 697.000 conejito. Hay muchas víctimas de los ataques de préstamos flash, incluidos algunos proyectos conocidos en el campo de DeFi: PancakeBunny (pérdida de $ 40 millones), Harvest Finance (pérdida de $ 25 millones), Yearn (pérdida de $ 11 millones), Value DeFi (pérdida de $ 7 millones), AKROPOLIS (pérdida de $2 millones), Cheese Bank, XToken, bZx, etc. No es difícil ver a partir de estos ejemplos que la parte del proyecto debe centrarse en evitar que el precio sea manipulado maliciosamente por préstamos rápidos. Para evitar que esto suceda, los expertos en seguridad de CertiK recomiendan ① usar el precio promedio ponderado en el tiempo (TWAP, que representa el precio promedio de los tokens en un período de tiempo específico), porque el atacante solo puede manipular el precio en un bloque, por lo que el el precio promedio no se verá afectado, para evitar la manipulación maliciosa relacionada, ② o usar un sistema oráculo de precios en cadena confiable, como Chainlink. Muchos proyectos, como PancakeSwap y UniSwap, funcionan de forma independiente y los usuarios no interactúan con otros protocolos de terceros. En PancakeSwap, los usuarios pueden ganar tokens de recompensa o intercambiar un token por otro proporcionando liquidez. Pero otros proyectos, como Yearn Finance, funcionan de manera diferente. Por ejemplo, Yearn Finance recolecta fondos de usuarios y los pone en contratos de terceros para obtener ingresos invirtiendo en tokens de usuarios. Una tercera situación es cuando algunos proyectos "toman prestado" código de otros proyectos. En los dos últimos casos, si la fuente del código de terceros tiene un alto riesgo de seguridad, todos los proyectos que utilicen el código también serán atacados. Si los desarrolladores del proyecto no están familiarizados con el código de terceros que utilizan, una vez que el código tenga una laguna, las consecuencias serán desastrosas. El 8 de mayo de 2021, el grupo no 50/50 de Value DeFi vSwap AMM fue atacado y la pérdida total fue de aproximadamente 11 millones de dólares estadounidenses. Para lograr un grupo que no sea 50/50, Value DeFi copió la función "power ()" de "BancorFormula.sol" perteneciente al protocolo Bancor. En la descripción del uso de la función power(), se ha indicado que esta función no es compatible con la situación de "_baseN <_baseD". Pero Value DeFi no notó este comentario, por lo que el atacante explotó con éxito esta vulnerabilidad para intercambiar una pequeña cantidad del token A por el token B al pasar parámetros específicos a la función. Código para Value DeFi: Hay muchas otras situaciones similares en el espacio DeFi. El 8 de mayo de 2021, un atacante consumió aproximadamente 2600 ETH del Rari Capital Ethereum Pool al explotar la funcionalidad del contrato ibETH Pool Bank de Alpha Homora V1 integrado en Rari Capital V2. Bearn Finance usó el monto de retiro de BUSD para retirar ibBUSD en su contrato "BvaultsStrategy", lo que permitió al atacante transferir fácilmente 10 859 319 BUSD en el grupo. Estos tipos de problemas son más difíciles de detectar, por lo que los administradores de proyectos deben tener cuidado al interactuar con protocolos de terceros, y mucho menos copiar e implementar a ciegas código que los desarrolladores no entienden. Los expertos en seguridad de CertiK recomiendan: 1. Los desarrolladores deben comprender completamente el funcionamiento de los protocolos de terceros y sus proyectos de rama antes de integrarlos e implementarlos en producción. 2. Antes de que el proyecto entre en línea, los desarrolladores deben implementarlo en la red de prueba para probar y verificar las anomalías en los registros de transacciones a tiempo. En general, aunque es difícil que el proyecto garantice el 100 % de seguridad, los siguientes puntos pueden mejorar la seguridad del proyecto tanto como sea posible: 1. Almacenar de forma segura la clave del administrador 2. Evitar errores de codificación simples 3. Consultar on- cadena de precios 4. Realice auditorías de seguridad y prepárese para ellas Para los usuarios finales, a veces puede ser difícil encontrar detalles sobre artículos antes de interactuar con ellos con activos personales. Con el fin de facilitar a los usuarios la obtención de información de seguridad del proyecto, CertiK ha desarrollado la primera tabla de clasificación de seguridad del mundo para mostrar de forma abierta y transparente los datos de seguridad de los proyectos de cadena de bloques. Al ver los datos de seguridad pública, los usuarios finales pueden comprender la situación de seguridad del proyecto en tiempo real. https://www.certik.org Además de los métodos de prevención anteriores, todos los proyectos deben ser conscientes de la importancia de las auditorías de seguridad

Tags：

Shiba coin