上周CertiK發布了干貨分享 | 十大DeFi安全最佳實踐方式(上),為大家分享DeFi安全10個最佳實踐的前3個實踐方式,今天將為大家帶來剩余的7個實踐內容,進一步助力各位讀者保障自身應用程序的安全。
超長干貨,建議先收藏再看哦!
4. 避免常見問題
這一點對 Solidity 來說是一個總括性的問題——如果希望合約安全,就需要在構建它時依次核實所有的DeFi安全準則。而要編寫真正可靠的Solidity,就必須了解它的內部工作原理。否則,可能會容易受到以下攻擊:
上溢出/下溢出(Overflows/Underflows)
在Solidity 中,uint256和int256被 "包裹"了。
這意味著,如果你在uint256中擁有一個最大的數,然后將其添加到其中,它將變成可能存在的最小數字。
這一點務必需要檢查與核實,在0.8之前的Solidity版本中,可以使用類似safemath的庫來解決這一問題。
在Solidity 0.8.x中,默認情況下會檢查算術運算操作。這意味著x+y將在溢出時拋出異常。因此,請確認你正在使用的Solidity版本。
循環gas限制(Loops Gas Limit)
當編寫動態大小的循環時,需要注意它的極限規模大小。一個循環的規模可以很容易地超過最大塊限制,并使合約在回滾時失效。
避免使用'tx.origin'
`tx.origin`可能會導致類似釣魚的攻擊,因此不應該被用于智能合約的身份驗證。
代理存儲沖突(Proxy Storage Collision)
對于采用代理實現模式的項目,可以通過更改代理合約中的實現合約地址來更新實現。
通常,代理合約中有一個特定的變量存儲實現合約地址。如果這個變量的存儲位置是固定的,而在執行合約中恰好有另一個變量具有相同的存儲位置索引/偏移量,那么就會發生存儲沖突。
比特幣在2022年谷歌搜索最多的十大加密貨幣中位列第一:金色財經報道,據數據顯示,2022年谷歌搜索最多的十大加密貨幣中,比特幣位列第一,每月全球搜索量為28,410,000次,僅在美國的每月搜索量為4,570,000次;排在第二位的是Elon Musk支持的Dogecoin,2022年每月全球搜索量為5,850,000次,在美國的每月搜索量為729,000次。此外,Shiba Inu和以太坊分別位列第三、第四。[2022/12/25 22:06:33]
要觸發存儲沖突,可以在Remix中執行以下步驟:
①部署實現合約;
②部署代理合約,將實現合約的部署地址作為其構造參數;
③在代理合約的部署地址上運行實現合約;
④調用myAddress()函數。它將返回一個非零地址,該地址是存儲在代理合約中 otherContractAddress 變量中的部署地址。
在上述四個步驟中發生了什么?
1. 部署實現合約并生成其部署地址;
2. 代理合約使用實現合約的部署地址進行部署,其中代理合同的構造函數被調用,并將otherContractAddress變量賦值為實現合約的部署地址;
3. 在步驟③中,實現合同與代理存儲進行交互,即部署的實現合約中的變量可以讀取部署的代理合約中相應的哈希碰撞變量的值。
4. myAddress()函數的返回值就是部署的實現合約中myAddress變量的值,它與部署的代理合約中的otherContractAddress變量產生沖突,隨即可以在那里獲得otherContractAddress變量的值。
為了避免代理存儲沖突,我們建議開發者通過為存儲變量選擇偽隨機槽來實現非結構化存儲代理。
一種常見的做法是為項目采用一種可靠的代理模式。最廣泛采用的代理模式是通用可升級代理標準(UUPS)和透明代理模式。它們都提供了具體的存儲 "偏移",以避免在代理合同和實現合同中使用相同的存儲槽。
區塊鏈入圍IUPAC 2021年度化學領域十大新興技術:金色財經報道,國際純粹與應用化學聯合會(IUPAC)公布了2021年度化學領域十大新興技術榜單,區塊鏈技術入圍。數字化的進步使化學創新更具可重復性和可追蹤性,區塊鏈可以存儲不同類型的信息,但迄今為止最常見的用途是作為交易的數字分類賬。值得注意的是,區塊鏈是去中心化的,因此沒有任何個人或團體可以控制,并且輸入的數據會被永久記錄和訪問。英國化學家已經嘗試使用區塊鏈來跟蹤一系列簡單的計算,其中每個階段的過程都被記錄下來并在數字分類賬中共享。一些化工公司已經創建了基于區塊鏈的系統來實現供應鏈的現代化,從而實現安全交易和持續跟蹤貨物。(中國化工報)[2021/11/15 21:51:13]
下面是一個使用透明代理模式實現隨機存儲的例子?
保證代幣轉移計算的準確性
通常情況下,對于普通的ERC20代幣,收到的代幣數量應該等于用函數調用的原始數量。
例如——參見下方函數retrieveTokens()?
然而,如果代幣是通縮的,即每次轉移都有費用,那么實際收到的代幣數量將少于最初要求轉移的代幣數量。
在如下所示的修改后的函數retrieveTokens(uint256 amount)中,`amount'是根據轉賬操作前后的余額重新計算的。不管代幣轉移機制如何,這都將準確地計算出被轉移到`address(this)'的代幣數量。
正確刪除數據
有很多場景需要移除合約中不再需要的某個對象或值。
在像Java這樣的標準語言中,有一個垃圾收集機制可以自動和安全地處理刪除數據的問題。然而,在Solidity中,開發者必須手動處理 "垃圾"。因此,垃圾處理不當可能會給智能合約帶來安全問題。
例如,當用delete(即`delete array[member]')從數組中刪除單個成員時,`array[member]'仍將存在,但根據`array[member]'的類型重置為一個默認值。開發者應該要么跳過這個成員,要么重新組織數組并減少其長度。
火幣大學榮獲“2020品牌強國·區塊鏈(行業)十大品牌”稱號:12月12日,2020品牌強國經濟論壇暨(第四屆)創新成果發布活動正式在北京舉辦,火幣大學憑借在區塊鏈教育領域的卓越表現榮獲“2020品牌強國·區塊鏈(行業)十大品牌”稱號。同時,火幣大學校長于佳寧榮獲“2020品牌強國·經濟年度人物”稱號。
本屆論壇是由經濟日報社(集團)《經濟》雜志社、國務院國資委主管的《市場觀察》、中央電視臺《發現品牌》等多家單位共同舉辦。火幣大學是聚焦于區塊鏈應用和數字經濟發展的行業教育機構,開設了區塊鏈技術、市場、運營與管理人才的培訓。今年初啟動了“區塊鏈卓越人才教育工程”,?積極面向各界人士提供最優秀的區塊鏈教育資源。在不斷完善課程的基礎上,火幣大學積極與各地政府、高校、協會合作開展區塊鏈課程和人才培養計劃,幫助更多人了解區塊鏈、掌握區塊鏈、用好區塊鏈,加速產業區塊鏈的落地進程。[2020/12/12 15:01:09]
比如?
這些只是需要注意的一些漏洞,查看審計師Sigma Prime關于Solidity常見漏洞的文章可以幫助你深入了解Solidity以及避免這些 "陷阱"。
5. 函數的可見性和修飾符
在Solidity語言的設計中,有四種類型的函數可見性:
private:該函數只在當前合約中可見。
internal:該函數在當前合約和派生合約中是可見的。
external:該函數只對外部調用可見。
public:該函數對內部和外部的調用都是可見的。
可見性是指針對特定功能的上述四種可見性中的一種用于限制某一組用戶的訪問。
修飾符則指的是專門為訪問限制目的而編寫的自定義代碼段。
可見性和修飾符結合起來,可以為特定功能設置適當的訪問權限。例如,在ERC20實現的函數`_mint()`中:
58COIN幣本位合約改版升級 十大迭代上線:據58COIN官方公告,其幣本位合約全新改版上線,現已正式登陸WEB端、APP端,全新升級后的幣本位合約已支持“雙向持倉”“可選杠桿”“3.0強平指標”“3.0界面交互”“3.0計算器”,并已新增“浮盈開倉”“止盈止損”“一鍵平倉”“劃線止盈止損”四大輔助功能。其中3.0交互界面是首次亮相合約區;止盈止損支持原單修改和批量撤銷。此外,其計劃委托在支持限價委托的基礎上新增了市價方式。據悉,58COIN為迎接本次大改版,配套的“蛻變雙響炮”主題活動也將于下周(8月17日~8月21日)展開,包括交易大賽、抽獎兩種形式。[2020/8/12]
函數_mint()的可見性被設置為internal,這正確地保護了它不被外部調用。為了給mint功能設置一個適當的訪問權限,可以使用下方的代碼段:
函數mint()只允許合約的所有者鑄造,require()語句則可以防止所有者鑄造過多的代幣。
正確使用可見性和修飾符有利于合約管理。而未正確使用的設置可能會讓惡意攻擊者調用管理配置函數來操縱項目,過度的修飾符設置也可能會給合約帶來中心化的問題,并引起社區的不安。
6. 部署到主網前必須獲得外部審計
代碼審計就像是接受一個以安全為重心的同行評審。審計員會逐行查看整個代碼庫,并使用形式化驗證技術來檢查智能合約是否存在任何漏洞。
如果不想讓自己的項目赤裸裸的暴露于漏洞的威脅之下,切忌在沒有審計的情況下部署代碼,或者在審計后改變代碼并重新部署。
這里有一些幫助確保審計全面的建議:
a. 記錄一切,以便審計員更容易跟蹤所發生的事情b. 保持與審計團隊的溝通渠道暢通,以防他們有任何疑問可以得到及時解決c. 在你的代碼中添加注釋,確保其可以更快被理解
然而,安全是你自己需要切身關注的重中之重,一股腦的將身家全部寄予審計機構對你的安全保障是不該存在的心態。
動態 | 區塊鏈電子發票入選“2018智慧城市十大熱詞”:據賽迪網消息,1月9日,2018創新影響力年會在北京舉行。會上發布了“2018智慧城市十大熱詞”,其中包括區塊鏈電子發票。據悉,這是區塊鏈在金融場景加速落地的典型代表,其四大特性是可溯源、保障安全、不可篡改和去偽存真。[2019/1/11]
如果你的協議遭到攻擊,最大的受害者是你自己以及你的團隊。
盡管安全審計非常有用,提供了額外的一輪審查,并可以幫助你查找未曾發現的漏洞,但它也不能確保100%的安全。
Tincho在推特上開啟了一個關于如何最高效率地進行安全審計的話題,感興趣的小伙伴可以去看看。當然,如果你有任何審計需求,或是相關的疑問,隨時可在公眾號底部留言進行咨詢。
7. 進行測試并使用靜態分析工具
你需要對應用程序進行適當的測試。
如果你正苦惱于無處下手,Chainlink starter kit repos提供了一些測試套件樣本供你參考。
像Aave和Synthetix這樣的協議也有很好的測試套件,建議也可以通過查看他們的代碼以了解一些測試的最佳實踐(也包括更普遍的編碼)。
靜態分析工具也會幫助你更早地發現代碼的錯漏之處。它們可以自動運行監測你的合約并尋找潛在的漏洞。
目前最流行的靜態分析工具之一是Slither。CertiK目前還在根據其在審計、驗證和監控智能合約方面的豐富經驗,建立下一代靜態分析、語法分析、漏洞分析和形式驗證工具。
8.將安全視為重中之重
毫無疑問,在生產部署之前,您應該盡最大努力創建一個安全可靠的智能合約,但區塊鏈和DeFi協議快速發展的現實以及新型攻擊方式的不斷出現意味著這遠遠不足以保障安全。
開發者們應當積極獲取并跟蹤最新的監測和警報數據,并盡可能嘗試在智能合約本身中引入面向未來的功能以訪問快速增長的動態安全洞察數據,這一行為除了安全外更有其他益處。
CertiK Skynet天網動態掃描系統作為一個24*7全天候運行的安全情報引擎,可為智能合約的鏈上部署提供多維度和實時的透明安全監控。
它包括社會情緒、治理、市場波動、安全評估等安全基元,為區塊鏈用戶、社區和代幣投資者提供全面的安全見解。
而CertiK安全排行榜提供公開透明的、易于理解的安全見解和最新的項目狀態,所有人都可以通過這個平臺查詢所有需要的安全數據信息,并向平臺提供他們所認可的在安全領域表現優異的DeFi項目,這將激勵形成社區問責制。
9. 制定一個“翻身”計劃
對于一個協議來說,如果在受到攻擊后有一個準備許久的“翻身”計劃無疑是很好的一步落子。
購買相關保險產品
設置一個緊急 "暫停 "功能
有一個升級計劃
隨著加密技術的不斷發展,保險平臺及計劃作為一種從損失中被解救出來的保障越來越受到廣大項目和用戶的歡迎,保證了去中心化的同時更增加了一定程度的安全性。比如CertiK開發的去中心化鏈上資金保險平臺CertiKShield,可保證項目及其投資者的資產安全,避免其受到安全漏洞或黑客攻擊導致的資產丟失、被盜或無法訪問等情況的影響。
設置緊急 "暫停 "功能是一個有利有弊的策略。
如果發現漏洞,此功能將停止與智能合約的所有交互。如果你設置了這個功能,你需要確保你的用戶知道誰能夠操作它。
如果只有一個用戶,你就不是在運行一個去中心化的協議,那么用戶就可以通過代碼發現這些。因此要注意該功能實現方式,因為你實際上可能最終在一個去中心化的平臺上得到了一個中心化的協議。
進行升級也有同樣的問題。轉移到一個沒有bug的智能合約可能很好,但升級仍要十分慎重,以免中心化問題的出現。
因此有相當一部分安全機構幾乎極力反對可升級的智能合約模式。
更多關于智能合約升級的內容你可以在YouTube上觀看帕特里克-柯林斯關于這個話題的視頻或是查看《智能合約升級現狀》的演講。
想要了解更多保險方面的建議?歡迎加入Chainlink Discord:
https://discord.gg/2YHSAey
10. 防止搶先交易Front-running
在區塊鏈中,所有的交易在mempool中都是可見的,這意味著每個人都有機會看到你的交易,并有可能在你的交易進行之前進行交易,以便從你的交易中獲利。
例如,假設你使用DEX以當前市場價格將5個ETH兌換成DAI。一旦你把你的交易發送到mempool進行處理,一個先行者可以在你之前進行交易,購買大量的ETH,導致價格上漲。然后他們可以以更高的價格向你出售他們購買的ETH,并以差價獲利。
目前,搶先交易機器人在區塊鏈世界中肆意妄為,以犧牲普通用戶的利益為代價獲利。
這個術語來自于傳統金融,交易員會使用同樣的操作來獲利,涉及到了股票、商品、衍生品等等金融資產和工具。
作為另一個例子,下方列出的函數就具備被搶先的風險。
根據修飾符'initializer',該函數只能被調用一次。
如果攻擊者在mempool中監控調用`initialize()`函數的交易,那么攻擊者就可以用一組定制的代幣、分發服務器(distributor), 和工廠(factory)的值來`復制`該交易,并最終控制整個合約。由于函數 "initialize() "只能被調用一次,合約所有者無法對這種攻擊進行防御。
這通常也與礦工可提取值或MEV有關。MEV是指礦工或機器人對交易進行重新排序,以便他們能以某種方式從排序中獲利。
就像搶先者支付更多的gas以使他們的交易領先于你的交易一樣,礦工可以直接重新排序交易,使他們的交易領先于你的交易。在整個區塊鏈生態系統中,MEV每天從普通用戶那里竊取的資產高達數百萬美元。
幸運的是,一群世界級的智能合約和密碼學研究人員,包括Chainlink實驗室的首席科學家Ari Juels,正致力于用一種稱為“公平排序服務”的解決方案解決這一問題。
正在開發的解決方案——Chainlink公平排序服務(FSS)
Chainlink 2.0白皮書概述了公平排序服務的主要特點,這是一個由Chainlink去中心化預言機網絡(DONs)提供動力的安全鏈外服務,將用于根據DApp概述的公平時間概念來排序交易。
FSS旨在極大地緩解搶先交易以及MEV的負面影響,并為整個區塊鏈生態系統的用戶減少費用消耗。
關于這方面的更多內容可以通過一篇介紹性的博文或是Chainlink 2.0白皮書的第五節中進行了解。
除了FSS之外,緩解搶先交易問題的最好方法之一是盡可能降低交易排序的重要性,從而抑制協議中交易的重新排序及MEV。
寫在最后
加密世界是一個公正透明且需要我們每一個人協作互助的地方,這一點在開發者們身上體現尤甚。
在保護自己的這一點上,回顧已發生的攻擊事件有助于了解惡意攻擊者是如何實施攻擊的。除此之外,你還可以通過7*24全天候安全洞察系統(如CertiK Skynet天網)實時接收最新的鏈上安全漏洞相關信息及其更新狀況。
如果你想深入了解安全又怕過程太枯燥,建議一定要看看Ethernaut游戲。你可以通過它了解DeFi中的安全問題,它包含了大量DeFi的安全實例,以及Solidity的許多內涵和外延。
還有Damn Vulnerable DeFi也可以娛樂的方式學習相關安全知識。
如果想要了解更多閃電貸攻擊的信息,你可以登錄Prevent Flash Loan Attacks website進行查看。
對加密世界的每個人來說,從錯誤中學習并吸取教訓是最基本的,這可以確保我們的智能合約被安全地構建并盡可能廣泛地采用。
如果這篇文章里的解決方案中還有更多你想要了解的信息,請參閱Chainlink文檔和CertiK文檔。
Tags:區塊鏈QUOSOLDIT區塊鏈工程專業學什么及就業方向QuontralSolalgoYFI CREDITS GROUP
比推終端數據顯示,過去24小時,比特幣的交易價格短暫沖上近 5.15萬美元后回落,當前價格略高于 5 萬美元,日漲幅不到1%.
1900/1/1 0:00:00最近,元宇宙又一次吸引了大眾的目光,但是這一次并非是大資入場,而是因為央視的點名批判。在12月13日,據央視財經頻道報道,目前市面上存在很多區塊鏈游戲公司,以高收益的名義,吸引投資者,并且這些投.
1900/1/1 0:00:00在Dan(Ergo戰略顧問兼商務拓展負責人)的開場白中,他向社區更新了上線新交易所的狀態。他透露,團隊正在努力與幾家二線交易所談判上線事宜,并且將在書面材料完成后不久披露更多細節.
1900/1/1 0:00:00頭條 ▌比特幣在2021年被宣布“死亡”45次金色財經報道,根據比特幣教育門戶網站99Bitcoins的比特幣訃告數據,比特幣在2021年被宣布“死亡”的次數多達45次,是2020年的至少三倍.
1900/1/1 0:00:00黨中央高度重視區塊鏈技術的創新應用與發展。區塊鏈技術正在成為我國發展數字經濟,實現國家治理體系和治理能力現代化的重要支撐。全球范圍內區塊鏈應用探索進一步走深向實.
1900/1/1 0:00:00當我們在談論實體資產之時,“存儲”它們的地方非常簡單明了。若要證明實體資產(例如黃金或房地產)是否存在,都是由物理定律來提供支持。因此,實體資產還從未出現突然憑空消失的風險.
1900/1/1 0:00:00