Primera versión | Interpretación de las vulnerabilidades típicas de DeFi y sus riesgos de seguridad

Este artículo fue creado originalmente por Certik y autorizado por Jinse Finance para su publicación. Desde el surgimiento de DeFi, se ha vuelto rápidamente popular en todo el mundo en solo 9 meses. BSC ha establecido un ecosistema cada vez más completo con gas de bajo costo y aplicaciones ecológicas de rápido crecimiento, y se ha convertido con éxito en una de las principales plataformas de cadenas públicas. Fuente de datos: https://bscscan.com/ Actualmente, cientos de proyectos realizan decenas de millones de transacciones en BSC todos los días. La imagen es de https://twitter.com/BinanceChain/status/1395060714390315008 Pero la popularidad de las transacciones en la cadena ha traído otro peligro oculto para nosotros: el peligro oculto de seguridad. Hay cada vez más niveles diferentes de vulnerabilidades que los piratas informáticos pueden explotar. Los expertos en seguridad de CertiK dividen estas vulnerabilidades en cuatro categorías. A continuación se explican los riesgos de seguridad relacionados con DeFi para los lectores. En los contratos inteligentes, ciertas funciones están protegidas por modificadores de función: solo ciertos operadores pueden llamar a ciertas funciones. En la mayoría de los casos, estas funciones se utilizan para modificar la configuración del contrato o administrar los fondos retenidos en contratos inteligentes. Entonces, si un atacante compromete la clave de administración, puede tomar el control total del contrato inteligente, llamar a esa función y robar los activos del usuario. Primer lanzamiento | imKey admite oficialmente Filecoin, convirtiéndose en el primer lote de carteras de hardware de Filecoin: el 1 de diciembre, con el lanzamiento de imToken 2.7.2, imKey admite simultáneamente Filecoin, convirtiéndose en el primer lote de carteras de hardware en la industria en admitir oficialmente FIL. Como uno de los proyectos prioritarios respaldados por la cadena múltiple de imKey, Filecoin se ha convertido en la quinta cadena pública después de las cuatro cadenas públicas de BTC, ETH, EOS y COSMOS. Se informa que el equipo de imKey lanzó por completo el plan de soporte de cadenas múltiples en el cuarto trimestre, planeando implementar todos los proyectos de cadenas públicas que imToken ha respaldado. Esta actualización de actualización de imKey no necesita reemplazar el hardware, no implica actualizaciones de firmware y puede actualizarse automáticamente a través de la aplicación (Applet) Darse cuenta del soporte de imKey para Filecoin y la gestión de tokens de FIL. [2020/12/2 22:52:32] El motivo de la fuga de claves La primera posibilidad es un programa informático de caballo de Troya. Los atacantes pueden usar programas de caballos de Troya para robar claves privadas almacenadas en computadoras o realizar ataques de phishing para engañar a los usuarios para que envíen sus claves privadas a los atacantes. Para los contratos de DeFi, varias personas suelen compartir una clave de gestión. Esto significa que si un infiltrado tiene malas intenciones, puede llamar a la función de administración para transferir los tokens del proyecto a su propia dirección de billetera. Aquí hay dos casos: El 5 de marzo de 2021, PAID Network sufrió un ataque de "minting" debido al manejo inadecuado de su clave privada, se especula que el atacante robó la clave de la computadora del administrador a través de un ataque de phishing. El contrato de token PAGADO está detrás de un servidor proxy actualizable, lo que significa que el propietario del servidor proxy puede reemplazar el contrato de token. Este tipo de código malicioso tiene una función de acuñación, el atacante destruyó 60 millones de tokens PAGADOS y luego acuñó 59 millones de tokens para sí mismo. "Elf Master 3D" se lanzó oficialmente en la red principal de Cocos-BCX: Según noticias oficiales, recientemente, "Elf Master 3D", que fue desarrollado por el socio ecológico DAPPX, se lanzó oficialmente en la red principal de Cocos-BCX del público del juego. cadena. "Elf Master 3D" es un juego de captura de mascotas basado en el tema de Pokémon. El arte del juego está hecho en 3D completo. Los usuarios pueden iniciar sesión en la cuenta de la red principal de COCOS a través de CocosWallet, DAPPX o IMCOCOS para experimentarlo. Hasta ahora, la red principal Cocos-BCX ha lanzado "Encryption Knights", "The Dragon Must Die", "XPEX Monster World", "Go Block", "Cocos Winning Coins", "Panda Games" y otros interesantes juegos en cadena. con varios modos de juego La ecología de la cadena pública del juego está creciendo y mejorando gradualmente. [2020/8/20] En ese momento, se vendieron $2 501 203 de tokens PAGADOS (aproximadamente 2040 ETH) en Uniswap, y el precio de los tokens se desplomó de $2,8 a $0,3. El 19 de abril de 2021, el fundador de EasyFi afirmó que el pirata informático realizó un ataque dirigido al administrador para obtener la clave de administración. Se transfirieron 2,98 millones de tokens EASY (valorados en unos 75 millones de dólares en ese momento) de la billetera oficial EasyFi a varias billeteras desconocidas. Por lo tanto, se puede ver la importancia del almacenamiento seguro de claves privadas para la seguridad del proyecto.Los gerentes no deben almacenar claves de administrador sin cifrar en dispositivos informáticos, ni colocarlas sin protección en las billeteras calientes de Metamask. Los expertos en seguridad de CertiK aconsejan a los administradores que utilicen carteras de hardware para crear cuentas. Si cada gerente de un equipo de varias personas usa una billetera de hardware, una vez que uno de los gerentes intenta realizar una transacción privilegiada, la mayoría de los miembros también deben firmar y aceptar, lo que evita que el atacante llame a Todas las funciones privilegiadas. Primer lanzamiento | Liu Yao: Baidu Blockchain lanzó la plataforma Tianlian para potenciar los negocios en cadena: el 20 de diciembre, la "Conferencia de Desarrolladores de Blockchain de China 2019" organizada por CSDN se llevó a cabo en Beijing el 20 de diciembre. Liu Yao, jefe de productos de cadena de bloques de Baidu Smart Cloud, pronunció un discurso sobre el tema "La cadena de bloques empresarial potencia el aterrizaje de la innovación industrial". Señaló que 2020 será el primer año en que aterrizarán las empresas de cadenas de bloques. Con la implementación de la industria de cadenas de bloques , Baidu actualizó la cadena de bloques a una estrategia basada en plataforma y lanzó la plataforma Tianlian que se basa en Baidu Smart Cloud, que potenciará la innovación comercial en cadena de 360. [2019/12/20] El contrato de token debe evitar la función de acuñar nuevos tokens tanto como sea posible. Si necesita acuñar nuevos tokens, debe usar contratos DAO o contratos de bloqueo de tiempo, no cuentas EOA. Cuando las personas mencionan las vulnerabilidades de DeFi, a menudo piensan que las vulnerabilidades deben ser muy complicadas, pero no siempre es así. A veces, un pequeño error de codificación puede hacer que millones de dólares en activos se evaporen de la noche a la mañana. Algunos ejemplos comunes de errores de codificación: 1. Permisos de función faltantes, modificadores (modificador) 2. Errores tipográficos 3. Número incorrecto de dígitos 4. Asignación de valor de variable faltante/incorrecta Un ejemplo muy típico es el Uranium Finance Attack afectado: los piratas informáticos atacaron el contrato no auditado de Uranium Finance, y el proyecto perdió $57 millones. Los administradores usaron multiplicadores inconsistentes al comparar el producto de dos saldos de tokens en el grupo antes y después del intercambio, lo que permitió a un atacante intercambiar una gran cantidad de tokens del grupo con solo 1 Wei. El código de las finanzas de uranio: primer lanzamiento | Ant mining machine S17 mapa de máquina real expuesto por primera vez con ventilador de doble tubo y diseño de máquina todo en uno: tras el anuncio oficial de ventas al contado el 9 de abril, el nuevo Ant mining La máquina S17 que será lanzada por Bitmain tiene otras novedades. Se informa que el mapa de máquina real del Antminer S17 se expuso por primera vez en Internet hoy. A juzgar por las imágenes expuestas, el Antminer S17 continúa con el diseño de ventilador de doble cilindro del producto S15 de la generación anterior y adopta el diseño de cuerpo de una máquina todo en uno. Algunas personas en la industria creen que el diseño de doble cañón puede acortar efectivamente el rango de viento, la diferencia de temperatura entre la entrada y la salida de la máquina minera será menor y el rendimiento de la máquina mejorará considerablemente. Anteriormente, el responsable del producto de Bitmain dijo en una entrevista con los medios que, en comparación con la generación anterior de productos, el nuevo producto S17 ha mejorado mucho en términos de relación de eficiencia energética y potencia de cómputo por unidad de volumen. [2019/4/3] Código correcto: Otro ejemplo es Value DeFi, que fue pirateado y perdió $ 10 millones. El motivo de este incidente es que la función de inicialización en el contrato Value DeFi carece de "inicializado = verdadero", lo que significa que cualquiera puede inicializar el grupo de fondos y establecerse como administrador. El 5 de mayo de 2021, el atacante inicializó el grupo, se configuró como administrador y luego vació los tokens apostados utilizando la función "governanceRecoverUnsupported()". Códigos vulnerables en Value DeFi: Solución: IMEOS lanzó por primera vez EOS Go y anunció dos nuevas condiciones de verificación: Según informes del socio financiero de Jinse IMEOS: Hoy, EOS Go anunció dos nuevas condiciones de verificación en Steemit Para: 1. Plan para garantizar la seguridad: si el nodo candidato publica un artículo en steemit para presentar el método de seguridad y el plan del nodo. El estándar del "método de seguridad" es una oportunidad para mostrar a los votantes de EOS el conocimiento de las mejores prácticas de seguridad y el plan de implementación de la organización; 2. Posición: Describa el posición del nodo para compartir recompensas por inflación y/o distribuir dividendos a los poseedores de tokens EOS (los nodos candidatos se publican en Steemit). Aborde principalmente las siguientes dos preguntas: ¿La organización proporcionará pagos a los votantes token de EOS por algún motivo, incluidas las elecciones de BP y las recomendaciones de la comunidad? ¿Tiene la organización una política escrita de no pago de entradas? Si es así, proporcione un enlace. [2018/4/27] Este tipo de error de código a menudo es extremadamente fácil de evitar, simplemente pasando las revisiones de pares, las pruebas unitarias y las auditorías de seguridad adecuadas. Los préstamos flash se pueden utilizar para préstamos sin proporcionar ninguna garantía. Por supuesto, todas las operaciones deben completarse dentro de un bloque de transacciones. Los desarrolladores pueden tomar prestado y tomar prestado de protocolos como Aave o dYdX con la condición de que la liquidez se devuelva al grupo antes de que se cierre la transacción. Si los fondos no se devuelven a tiempo, la transacción se revertirá, lo que garantiza la seguridad del fondo de reserva. Los pasos generales de operación del préstamo flash son los siguientes: 1. Use el préstamo flash para tomar prestada una gran cantidad de token A 2. Intercambie el token A por el token B en DEX (el precio del token A cae y el precio del token B aumenta) 3 Ataque a proyectos DeFi que dependen de precios A/B 4. Reembolso de préstamos flash La semana pasada, PancakeBunny sufrió un ataque de préstamo flash.El atacante robó 114 000 BNB y 697 000 Bunny (con un valor aproximado de 40 millones de dólares en ese momento). El atacante usó préstamos rápidos para manipular el precio del grupo PancakeSwap USDT-BNB V1, lo que provocó que una gran cantidad de BNB fluyera hacia el grupo BNB-Bunny, lo que permitió que el contrato acuñara a Bunny a un precio inflado de BNB/Bunny. PancakeBunny usa la siguiente función para calcular el precio de Bunny: una gran cantidad de BNB fluyó hacia el grupo de BNB-Bunny, lo que provocó que la variable "reserve0" aumentara y la fórmula de cálculo del precio era defectuosa, lo que llevó al atacante a obtener ilegalmente 697.000 conejito. Hay muchas víctimas de los ataques de préstamos flash, incluidos algunos proyectos conocidos en el campo de DeFi: PancakeBunny (pérdida de $ 40 millones), Harvest Finance (pérdida de $ 25 millones), Yearn (pérdida de $ 11 millones), Value DeFi (pérdida de $ 7 millones), AKROPOLIS (pérdida de $2 millones), Cheese Bank, XToken, bZx, etc. No es difícil ver a partir de estos ejemplos que la parte del proyecto debe centrarse en evitar que el precio sea manipulado maliciosamente por préstamos rápidos. Para evitar que esto suceda, los expertos en seguridad de CertiK recomiendan ① usar el precio promedio ponderado en el tiempo (TWAP, que representa el precio promedio de los tokens en un período de tiempo específico), porque el atacante solo puede manipular el precio en un bloque, por lo que el el precio promedio no se verá afectado, para evitar la manipulación maliciosa relacionada, ② o usar un sistema oráculo de precios en cadena confiable, como Chainlink. Muchos proyectos, como PancakeSwap y UniSwap, funcionan de forma independiente y los usuarios no interactúan con otros protocolos de terceros. En PancakeSwap, los usuarios pueden ganar tokens de recompensa o intercambiar un token por otro proporcionando liquidez. Pero otros proyectos, como Yearn Finance, funcionan de manera diferente. Por ejemplo, Yearn Finance recolecta fondos de usuarios y los pone en contratos de terceros para obtener ingresos invirtiendo en tokens de usuarios. Una tercera situación es cuando algunos proyectos "toman prestado" código de otros proyectos. En los dos últimos casos, si la fuente del código de terceros tiene un alto riesgo de seguridad, todos los proyectos que utilicen el código también serán atacados. Si los desarrolladores del proyecto no están familiarizados con el código de terceros que utilizan, una vez que el código tenga una laguna, las consecuencias serán desastrosas. El 8 de mayo de 2021, el grupo no 50/50 de Value DeFi vSwap AMM fue atacado y la pérdida total fue de aproximadamente 11 millones de dólares estadounidenses. Para lograr un grupo que no sea 50/50, Value DeFi copió la función "power ()" de "BancorFormula.sol" perteneciente al protocolo Bancor. En la descripción del uso de la función power(), se ha indicado que esta función no es compatible con la situación de "_baseN <_baseD". Pero Value DeFi no notó este comentario, por lo que el atacante explotó con éxito esta vulnerabilidad para intercambiar una pequeña cantidad del token A por el token B al pasar parámetros específicos a la función. Código para Value DeFi: Hay muchas otras situaciones similares en el espacio DeFi. El 8 de mayo de 2021, un atacante consumió aproximadamente 2600 ETH del Rari Capital Ethereum Pool al explotar la funcionalidad del contrato ibETH Pool Bank de Alpha Homora V1 integrado en Rari Capital V2. Bearn Finance usó el monto de retiro de BUSD para retirar ibBUSD en su contrato "BvaultsStrategy", lo que permitió al atacante transferir fácilmente 10 859 319 BUSD en el grupo. Estos tipos de problemas son más difíciles de detectar, por lo que los administradores de proyectos deben tener cuidado al interactuar con protocolos de terceros, y mucho menos copiar e implementar a ciegas código que los desarrolladores no entienden. Los expertos en seguridad de CertiK recomiendan: 1. Los desarrolladores deben comprender completamente el funcionamiento de los protocolos de terceros y sus proyectos de rama antes de integrarlos e implementarlos en producción. 2. Antes de que el proyecto entre en línea, los desarrolladores deben implementarlo en la red de prueba para probar y verificar las anomalías en los registros de transacciones a tiempo

Tags：

Precio de Bitcoin USD