DeFi 常见安全漏洞及预防措施

近期，某安全专家为社区成员分享了一堂 DeFi 安全课。专家回顾了过去一年多 Web3 行业遭遇的重大安全事件,探讨了这些事件发生的原因以及规避方法,总结了常见智能合约的安全漏洞及预防措施,还对项目方和普通用户给出了一些安全建议。

常见的 DeFi 漏洞类型包括闪电贷、价格操纵、函数权限问题、任意外部调用、fallback 函数问题、业务逻辑漏洞、私钥泄漏、重入等。下面重点介绍闪电贷、价格操控以及重入攻击这三种类型。

闪电贷

闪电贷本身是 DeFi 的一种创新,但被黑客利用时可以无成本借钱进行套利。许多 DeFi 项目看似收益很高,但项目方水平参差不齐,即便代码本身没有漏洞,在逻辑上仍可能存在问题。例如,有些项目会在固定时间根据持仓者持有的代币数量发放奖励,却被攻击者利用闪电贷购买大量代币,在奖励发放时获取大部分奖励。还有一些通过 Token 来计算价格的项目,可以通过闪电贷影响价格。项目方应该对这些问题提高警惕。

价格操控

价格操控问题与闪电贷关系密切,主要由于价格计算时某些参数可被用户控制。常见问题类型有两种:

1. 计算价格时使用第三方数据,但使用方式不正确或检查缺失导致价格被恶意操控。

2. 使用某些地址的 Token 数量作为计算变量,而这些地址的 Token 余额可被临时增减。

重入攻击

调用外部合约的主要危险之一是它们可以接管控制流,对数据进行调用函数未预料到的更改。针对不同合约,重入存在的方式很多,可以结合不同函数或多个合约的函数完成攻击。解决重入问题需注意:

1. 不只防止单一函数的重入问题

2. 遵循 Checks-Effects-Interactions 模式编码

3. 使用经过时间验证的防重入 modifier

最怕的就是重复造轮子,在这个圈内有很多最佳安全实践可以直接使用,完全没必要重复造轮子。自造轮子没有经过充分验证,出问题的概率明显高于使用成熟久经考验的方案。

项目方安全建议

1. 合约开发遵循最佳安全实践

2. 合约可升级、暂停

3. 采用时间锁

4. 加大安全投入,建立完善的安全体系

5. 提高所有员工的安全意识

6. 预防内部作恶,在提升效率的同时增强风控

7. 谨慎引入三方,校验上下游

用户/LP 如何判断智能合约是否安全

1. 合约是否开源

2. Owner 是否采用多签,多签是否去中心化

3. 合约已有的交易情况

4. 合约是否为代理合约,是否可升级,是否有时间锁

5. 合约是否接受过多家机构审计,Owner 权限是否过大

6. 注意预言机的选择和使用

总之,用户在参与 DeFi 项目时要格外谨慎,多方面评估项目安全性,不要被高收益蒙蔽了双眼。项目方则需要从多个层面构建安全防线,持续关注和改进项目的安全性。