jakiro
على الرغم من أن Defi يمكن أن يحقق فوائد كبيرة للمستخدمين ، ولكن أمن رأس المال هو جوهر نمو الأصول الثابت.كوزقام فريق O Security بتصنيف مخاطر السلامة المشتركة والاحتياطات الأمنية المقابلة في تفاعل Defi ، على أمل إلهام ومساعدة الجميع في تفاعل Defi Security في السوق الثور.
منذ افتتاح Defi Summer في عام 2019 ، بقيادة Ethereum ، ظهرت اتفاقيات مالية أكثر إبداعًا لمركزية ، مما يثري بشكل كبير توفر الأصول على السلسلة ، بحيث يمكن لمستخدمي blockchain استخدام الأصول على السلسلة بشكل أفضل إجراء المزيد من الأنشطة المالية وخلق فوائد سخية لهذا.ولكن مع ظهور المزيد من بروتوكولات Defi ، اتبعت التحديات الأمنية.وفقًا للإحصاءات غير المكتملة ، في عام 2023 ، بلغت خسائر الأصول الناجمة عن هجمات blockchain 2.61 مليار دولار أمريكي.يمكن ملاحظة أنه في عملية المشاركة في بروتوكول DEFI ، بالإضافة إلى تقييم توقعات الدخل المقابلة ، لا يمكن تجاهل تقييم أمن البروتوكول ، وإلا فإنه سيؤدي إلى خسائر كبيرة للمستخدمين.
بشكل عام ، يتم تعريف التعريف السائد لتقييم أمن البروتوكول على أنه التقييم الأمني للرمز. والتقييم نفسه ، وخلال تفاعل Defi ، غالبًا ما يكون الأمان ديناميكيًا ، بما في ذلك مراحل متعددة مثل إدارة الحساب ، والتحضير قبل تفاعل الاتفاق ، وإدارة الأصول ، ومراقبة البيانات ، والأناقة الذاتية بعد فقدان الأصول.
كمستخدم على وشك الدخول إلى قرية Defi Novice ، كيف يمكننا زيادة أمان الأموال إلى أقصى حد مع كسب الفوائد؟قام فريق COBO Security بفرز المخاطر الأمنية المشتركة وتدابير الوقاية من الأمان المقابلة في تفاعل DEFI ، على أمل أن يتمكن من إلهام الجميع في تفاعل Defi Security في السوق الثور.
ديفلدي مخاطر سلامة مشتركة وتدابير وقائية في التفاعل
1. حساب تسرب المفتاح الخاص
يعد تسرب المفتاح الخاص للحساب واحد من أكثر ما يتجهون إلى توظيف المستخدمين المبتدئين. محافظ غير آمنة واستخدامها.وجد العديد من كبار المستخدمين أن حسابهم الرئيسي قد تم نقله إلى جميع الأصول في يوم من الأيام ، وتحليل أنه من الطبيعي أن تجد جميع السلوكيات أن جميع السلوكيات قد تم العثور عليها في نصف يوم. محافظ لتوليد مفاتيحها الخاصة وتسبب مفاتيحهم الخاصة للتسبب في أن مفاتيحهم الخاصة تتسبب مفاتيح خاصة للتسبب في مفاتيحها الخاصة للتسبب في مفاتيحهم الخاصة للتسبب في مفاتيحهم الخاصة للتسبب مفاتيح خاصة للتسبب في مفاتيحهم الخاصة للتسبب في مفتاحهم الخاص للتسبب في مفتاحهم الخاص للتسبب في مفتاحهم الخاص للتسبب تتسبب المفاتيح الخاصة في التسبب في مفتاحها الخاص للتسبب في تسبب مفتاحهم في التسبب في أن مفاتيحهم الخاصة تؤدي إلى مفاتيحهم الخاصة.
في الوقت نفسه ، نظرًا لتأثير الثروة الناتج عن استثمار Air Blockchain ، فإن العديد من مستخدمي المبتدئين ينقرون بشكل أعمى على بعض مواقع Airdrop التي تم تحريكها. من العملة التي لم تحل.مدفوعًا بالاهتمامات ، سيقوم العديد من المستخدمين المبتدئين بملء مفاتيح حسابهم الخاصة تحت تحريض صفحات الويب ، مما يتسبب في تسرب مفاتيح خاصة.
من أجل منع المفتاح الخاص من التسرب ، يحتاج المستخدمون إلى منع النقاط التالية لمنع:
-
استخدم محفظة blockchain معروفة وقم بتنزيل المحفظة من الموقع الرسمي المقابل.ينصح المكيفات باستخدام محافظ الأجهزة.
-
لا تعرض أبدًا مفتاحك الخاص لبيئة الشبكة ، ولا تدخل مفتاحك الخاص في أي صفحة ويب في الإرادة.
ثانياً ، خطر الصيد التوقيع
تعتبر مخاطر الصيد المميزة ، تمامًا مثل تسرب المفاتيح الخاصة ، من أصعب المناطق التي تصل إلى المستخدمين المبتدئين.تختلف عن استخدام المستخدمين بشكل خاص ، فإن هجمات الصيد هذه هي حث المستخدمين على بدء معاملة أو توقيع ، وذلك للحصول على ترخيص الأصول المتعلقة بالمستخدم. ويصعب اكتشافها.
بشكل عام ، سيؤدي المهاجم أولاً إلى حث المستخدمين على صفحة ويب الصيد للسماح للمستخدمين ببدء توقيعات باسم Airdrops وتسجيل تسجيل الدخول في هذا الوقت.
قد يكون هناك العديد من أنواع معاملات الصيد:
-
نوع النقل المباشر.نقل ETH مباشرة أو إجراء مكالمة نقل ERC20 لنقل أصول المحفظة إلى عنوان المهاجم.
-
الموافقة على النوع.استدعاء طريقة ERC20 الموافقة على التصريح لمحفظة المهاجم.لن يحدث نقل الأصول عند توقيعات المستخدم.لكن محفظة المهاجم يمكنها نقل أصول المستخدم عن طريق استدعاء TransferFrom.
-
EIP712 توقيع رسالة.مثل طريقة تصريح ERC20 ؛عادةً ما يتم عرض هذه التوقيعات في المحفظة كبيانات JSON أو بيانات مثل شجرة أفضل.عند توقيعات المستخدم ، لن يبدأ معاملة ، ولن يكون هناك استهلاك للغاز.ومع ذلك ، سيتم تسجيل نتائج التوقيع بواسطة موقع الصيد ، ويمكن للمهاجم استخدام نتيجة التوقيع لنقل أصول الضحية ERC20 أو NFT.
-
توقيع التجزئة البدائية.بيانات التوقيع هي بيانات التجزئة السداسية ، والتي لا يمكنها استنتاج محتوى التوقيع المحدد من بيانات التوقيع نفسها.خلف التجزئة قد تكون أنواع البيانات 1-3 المذكورة أعلاه.من المحتمل أن تسبب التواقيع فقدان الأصول.ومع ذلك ، فإن المحفظة السائدة محظورة حاليًا من طرق التوقيع هذه أو مطالبات المخاطر الواضحة.
في الآونة الأخيرة ، تم العثور على بعض الحالات أيضًا أن بعض مواقع صيد الأسماك ستتطلب من المستخدمين إجراء توقيعات متعددة على التوالي ، وأن السكتات الدماغية القليلة الأولى هي توقيعات طبيعية غير ضارة.ثم خلط محتوى توقيع ضار.استخدم القصور الذاتي للمستخدم للحث على المستخدمين لإكمال عملية التوقيع.
من أجل منع فقدان الأموال الناجمة عن الصيد ،جوهر رفض التوقيع بشكل أعمى.تتم مراجعة كل توقيع بعناية ، وترفض معاملة المحتوى غير المؤكد التوقيع.على وجه التحديد ، يمكنك الانتباه إلى ما يلي في عملية التوقيع:
-
تأكد من أن الموقع التفاعلي هو الموقع الرسمي لمشروع Defi للتحقق من اسم المجال الكامل.
-
تحقق من طريقة المكالمات ، وتحقق من النقل ، الموافقة على الطريقة.
-
تحقق من عمليات نقل ETH المرتبطة بالمعاملة.ستحاول بعض مواقع صيد الأسماك بناء طريقة لرؤية طريقة آمنة (مثل المطالبة) ، لكنها ستجلب بالفعل عمليات نقل ETH لتتسبب في خسائر في عملة التوليد الأصلية مثل ETH عند الاتصال.
-
ليس محتوى التجزئة البدائية المميزةجوهر
ثالثًا ، سم عنوان النقل
التسمم بعنوان النقل هو طريقة هجوم جديدة مؤخرًا. رمز.
مثال:
يتم إصلاح أليس كل شهر ونقلت 1 إيث إلى بوب كراتب.راقب Charlie هذه الصفقة ، ويرسل 0.001 ETH إلى Alice مع العنوان المشابه لـ BOB (أول 8 أرقام و 8 أرقام من العنوان).بعد هذه العملية ، عندما يتم نقل أليس إلى بوب في المرة القادمة ، من المحتمل أن يتم استخدام عنوان تشارلي كعنوان معاملة.سبب هذا الموقف هو أن طول عنوان blockchain طويل وغير منتظم.نظرًا لأن عنوان تشارلي وبوب متشابه للغاية ، فمن الصعب على أليس التمييز ، ويؤدي في النهاية إلى فقدان الأصول.
من أجل منع تسمم عنوان نقل Zhongzhao ، يمكن للمستخدمين أخذ الوسائل التالية لمنع:
-
يتم فحص كل معاملة لعنوان النقل ، ومن الضروري التحقق من المحتوى الكامل بدلاً من بايت الوحيدة من الأمام والخلف.
-
قم بتعيين العنوان الشائع في القائمة البيضاء (دفتر العناوين) ، وحاول استخدام العنوان في دفتر العناوين للنقل.
-
تجنب عنوان النسخ المتماثل من قناة السلسلة (بما في ذلك متصفح blockchain ، وسجلات معاملات المحفظة ، وما إلى ذلك) كهدف النقل.
رابعا ، الرموز على التفويض
ترخيص الرموز هو الخطوة الأولى تقريبًا في تفاعل Defi.عند إجراء عملية Defi ، نظرًا لأن بيانات المعاملة يتم إنشاءها من خلال صفحة الويب الخاصة بحزب المشروع بدلاً من بنية المستخدم. المستخدمون للسماح للمستخدمين بالسماح للمستخدمين بالتوقيع.تتمثل نقطة البداية في توفير الغاز للمستخدمين ، ولكن هذا وضع مخاطر خفية أيضًا للأموال اللاحقة.على افتراض أن رمز المشروع اللاحق يحدث ، إذا تم استدعاء واجهة غير مصرح بها أو الضعف في الإرادة ، فإن ترخيص المستخدم غير المحدود للعقد سيؤدي إلى استخدام المهاجم ويتسبب في نقل أصول المستخدم.مشهد الهجوم هذا أكثر شيوعًا في بروتوكول Cross -Chain Cross و Dex.
من أجل منع المشاريع اللاحقة من إدخال رمز المخاطر أو رمز المشروع نفسه ، لا يوجد ثغرات اكتشاف.يجب على المستخدمين تبني مبدأ الحد الأدنى للترخيص ومحاولة تفويض المبلغ المستخدم في هذه الصفقة قدر الإمكان، منع خطر المشاريع اللاحقة ، وتسبب خسارة الأصول الخاصة بك.
5. عملية غير آمنة defi
بالإضافة إلى الاستعدادات قبل التفاعل ، هناك أيضًا العديد من المخاطر التي يسهل تجاهلها أثناء التفاعل.عادة ما تكون هذه المخاطر ناتجة عن فهم المستخدم للمشروع نفسه.المثال المحدد هو:
-
عندما يتم تبادل الرموز من خلال بروتوكول تبادل السلسلة ، يتم تعيين نقطة الانزلاق كبيرة جدًا أو أن البرنامج النصي للكتابة للمبادلة لا يحدد الحد الأدنى لعدد الاستلام (إنه مناسب للكتابة إلى 0) ، مما تسبب في مهاجمة المعاملة من قبل “السندويشات” لروبوت MEV.
-
عندما تم تنفيذ عملية الإقراض من خلال اتفاقية الاقتراض على السلسلة ، لم تتم إدارة الدرجة الصحية للموقف في الوقت المناسب ، مما أدى إلى تصفية الموقف في سوق التقلبات الكبيرة.
-
عند التفاعل مع بعض المشاريع ، لا يوجد تخزين جيد لأحكام المشروع ، مثل شهادة NFT لـ UNISWAP V3 باعتبارها NFT عادية إلى Opensea للبيع.
من أجل منع هذه المخاطر ، يجب على المستخدمين القيام بعمل جيد في أبحاث المشروع ، وتوضيح آلية المشروع والخصائص ذات الصلة ، ومنع فقدان الأصول.
نموذج جديد لمعاملة أمنية Defi – Cobo Argus
يقدم أعلاه مخاطر التفاعل المشتركة لأنشطة Defi في blockchain.إذا قام المستخدم بتجنيد أحدهم عن طريق الخطأ ، فقد يتسبب ذلك في خسارة سنوات من العمل الشاق ، وهو أمر مهمل قليلاً.لذلك ، هل هناك حل للتحكم في المخاطر آمن وفعال وسهل الإدارة؟مخطط اختيار جديد هو Cobo Argus.
Cobo Argus هو منتج للتحكم في المخاطر في السلسلة التي طورها فريق COBO استنادًا إلى Safe Genosis.يتمثل الدور الرئيسي في تحليل معاملة المستخدم عن طريق بناء استراتيجيات مختلفة من ACL ، واعتراض المعاملات التي لا تفي بقواعد التحكم في المخاطر ، وبالتالي ضمان أمان أموال المستخدم.
كيف يستجيب Cobo Argus للمخاطر الأمنية في بيئة Defi؟
1. التوقيع أكثر على الطبقة السفلية ، وترخيص التوقيع الفردي العلوي: تجنب تسرب مخاطر النقطة الفردية للمفاتيح الخاصة ، إبطاء خطر الصيد ، مع ضمان الكفاءة التشغيلية
Cobo Argus هو منتج تم تصميمه بواسطة Safe {Wallet}.لذلك يرث كوبو أرجوس بشكل طبيعي أمان آمن {محفظة}.
من خلال تغيير الأموال من مفتاح خاص واحد إلى مفاتيح خاصة متعددة للحفاظ عليها ، يمكن القضاء على مخاطر فقدان الأصول/قفل التسرب بواسطة مفتاح خاص واحد.يتطلب توقيع المزيد من المحفظة نفسها توقيعات متعددة لتنفيذ المعاملة.بالإضافة إلى ذلك ، يمكنك بدء معاملات توقيع متعددة لاستبدال العنوان المفقود المفقود أو المخاطرة لضمان أمان المحافظ المتعددة.
بالإضافة إلى ذلك ، نظرًا لأنه يتم تحويل العنوان المفرد إلى العنوان المتعدد ، عند توقيع المعاملة ، يحتاج كل مستخدم إلى توقيع معاملة ، مما يفضي إلى عبور محتوى المعاملات ، مما يقلل بشكل كبير من إمكانية الصيد .
نظرًا للحاجة إلى مراجعة العديد من الأشخاص ، يكون لها تأثير معين على كفاءة التشغيل.يسمح Cobo Argus للمستخدمين بتكوين قواعد تفويض مرنة ، مما يسمح ببعض عمليات التردد المنخفض (مثل عمليات دخل المطالبة العادية) إلى عنوان EOA معين.يمكن استبدال هذا العنوان بتوقيع محافظ متعددة لتحسين كفاءة العمل.في الوقت نفسه ، نظرًا لأن أذونات العنوان محدودة تمامًا ، فلن يتأثر الأمن العام للمحفظة بشكل كبير.
2. روبوت مخصص: 7*24 ساعة مراقبة المخاطر التلقائية والاستجابة لها
من خلال تكوين روبوتات مراقبة COBO Argus ، يمكن إجراء العمليات التي تحتاج إلى مراقبة والعمليات التي تتطلب شروط المراقبة والتشغيل.
أخذ إدارة الرافعة المالية لمشروع الإقراض كمثال ، يمكن للمستخدمين مراقبة عامل الصحة عن طريق تكوين روبوت Argus.
3. استراتيجية ACL مخصصة
بالإضافة إلى روبوتات المراقبة المخصصة ، يمكن للمستخدمين الذين لديهم قدرات تطوير معينة أن يحققوا أيضًا إدارة أذونات أكثر مرونة من خلال تطوير عقود ACL (قائمة التحكم في الوصول) المخصصة.هذه واحدة من الوظائف الأساسية لكوبو أرجوس.سحر الوظيفة هو الشعور بسحر هذه الوظيفة من خلال عدة أمثلة:
-
الهجوم على التسمميمكنك كتابة عقد ACL. إعدادات المستخدم تتم مقارنة عنوان القائمة.
-
تهدف إلى قضايا التفويض المفرطةيمكن للمستخدم تحليل الحصص المصرح بها في المعاملة الموافقة من خلال كتابة العقد الإستراتيجي للـ ACL ، ويقتصر حد الترخيص الموافق للرمز المميز على القيمة المسبقة للمستخدم.أو يمكن تكوين 1 مع روبوتات مخصصة ، وتبحث بانتظام الرموز ذات الصلة لمسح الصفر.
-
لعملية Defi غير الآمنةإذا كانت معاملة المبادلة بدون فحص نقطة انزلاقية ، فيمكنك كتابة الحد الأدنى من الانزلاق الذي يمكن قبوله من خلال استرداد المعاملات عن طريق كتابة العقد الاستراتيجي ARGUS. معاملات المبادلة المختلفة.
لخص
هناك العديد من المخاطر الصعبة في تفاعل Defi.يحتاج المستخدمون إلى التعامل مع كل معاملة بعناية.
يمكن أن يوفر Cobo Argus للمستخدمين وسائل موثوقة وسهلة التكوين لمنع بعض مخاطر الأمن الشائعة.يمكن لـ ACL إكمال إدارة الترخيص المرنة والآمنة ، وتحسين الكفاءة التشغيلية بموجب فرضية ضمان الأمن ؛
على الرغم من أن Defi يمكن أن يحقق فوائد كبيرة للمستخدمين ، ولكن أمن رأس المال هو جوهر نمو الأصول الثابت.سيحمي Cobo Argus كل مزارع Defi لمساعدة الجميع على خلق المزيد من القيمة في السوق الصاعدة.
