Web3.0安全问题与解决

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

Web3.0是一个去中心化的互联网,涉及使用部署在区块链上并由虚拟机执行的去中心化协议。这些分散的应用程序称为智能合约。

通过DeFi和NFT市场,Web3.0的使用与加密货币形式的货币密切相关。Web3.0的金融应用是目前的重点。毕竟,你需要为每笔交易花费一些加密货币,以支付矿工和验证者处理你的交易的服务。

但是,当您拥有一个旨在处理现金流的系统时,您需要安全地构建它。但Web3.0目前处于非常早期的开发阶段,看起来更像是实验性测试,而不是一项完善的技术。正如当今大多数新数字技术所共有的那样,安全性是Web3.0初期的主要问题之一。尽管如此,它已经获得了被诱人的回报所吸引的大量风险投资。

每一项锁定大笔资金和大量未修补漏洞的新技术企业自然会成为黑客的诱饵,黑客愿意利用它们谋取经济利益。最重要的是,Web3.0的去中心化特性以及无需提供您的个人详细信息使其对网络犯罪分子更具吸引力。

而投资规模是衡量一个行业潜力的最佳指标。因此,可以肯定地说Web3.0具有良好的潜力——其中一些可能尚未开发。为了促进其发展,必须提高安全标准。

DeFi安全的主要威胁是什么?当前与Web3.0网络攻击相关的现有威胁可分为两类——代码漏洞和智能合约业务逻辑漏洞。第一组包括利用虚拟机、内存池过载和重入攻击。它们是围绕利用命令的功能和执行顺序而构建的。

从本质上讲,这些漏洞利用不会像对集中式IT基础设施和个人计算机的攻击那样破坏传统意义上的分散式软件。他们只是利用程序员无意中提供的机会。

它可以以不同的方式发生。通常,开发人员使用其他开源项目的代码库,但同时对其进行一些看似微不足道的修改,但不会影响智能合约的运行方式。然而,它们最终可能会被证明是错误的,因为这些修改会以无法预料的方式影响智能合约运行的机制。

重入攻击在区块链的历史上已经名存实亡。他们以所谓的回调函数和合约中使用其余额的函数为目标。该功能用于借贷协议的智能合约中,因为需要监控用户在平台上的抵押品并计算他们可以借入的资金量。

当用户借入资金时,他们会查询“回调函数”,该函数会检查用户在合约中的余额,并发放相应数量的流动性作为贷款。该过程包括三个操作——检查用户余额、计算发放贷款后的用户余额以及发放贷款。

根据回调函数中这些操作的顺序执行,可能有一种方法可以欺骗系统并获取比您的抵押品允许的更多的流动性。

首先进行余额检查,然后是发放贷款或计算已更改的余额。如果先发放贷款,并且在代码序列的末尾有一个回调,它允许用户从头开始这个过程,而这个交易不会被挖掘并添加到区块链中。

例如,您有200美元的抵押品,并以100美元的抵押品获得100美元的贷款。如果先发放贷款,并且在您的操作对区块链的影响最终确定之前查询回调,则您可以再次贷款以获得不变数量的抵押品。这个过程可以进行多次迭代,并允许用户耗尽合约的流动性。

保护合约免受这种网络威胁的方法称为检查-效果-交互模式。这种模式将用户余额的计算放在了资金发放之前的合约中。然而,这种简单的模式适用于对回调函数本身的重入攻击,但跨函数重入攻击更难防御。

但是,随着新框架旨在消除重入攻击,重入攻击正变得越来越不常见。如今,DeFi黑客更多地将精力集中在利用智能合约业务逻辑的不一致性上,通常使用多种协议从一个协议中窃取资金。此类攻击通常涉及闪贷服务,允许您在不提交抵押品的情况下获得贷款。

2021年12月对CreamFinance进行了最大的闪电贷攻击之一。它导致价值1.3亿美元的加密货币和代币被盗。此次攻击涉及两个地址,分别使用MakerDAO、AAVE、Yearn.finance、Curve等闪贷平台向CreamFinance提款。

最终,攻击者利用了Cream的PriceOracleProxy对cryUSD——Cream锚定美元的稳定币价格的评估漏洞。PriceOracleProxy根据yUSDYearnVault中持有的yUSDVault稳定币(Yearn.finance稳定币)的价格对cryUSD进行估值。

在对从MakerDAO借出的流动性进行多次操作后,攻击者将800万yUSD添加到800万yUSDVault。CreamFinancePriceOracleProxy认为这是yUSDVault现在的成本是2美元而不是1美元,并且是cryUSD价格的两倍。

因此,攻击者从价值15亿美元的yUSDVault铸造的15亿美元cryUSD中获得了30亿美元。这使得攻击者能够偿还贷款、利息并使用剩余的10亿美元从价值1.3亿美元的流动资金中抽取CreamFinance。

Web3.0的未来是什么?为了使Web3.0更安全,应该提高安全标准。这需要有能力从头开始构建Web3.0的劳动力,以及为Web3.0公司工作的合格安全专家。尽管DeFi和Web3.0的其他实体存在高风险,但期望主流公众接受Web3.0是不合理的。为了让它更快发生,我们还可以采用CeFi的最佳安全实践,并将它们实施到去中心化系统中。

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/33385.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年07月29日
下一篇 2023年07月29日

相关推荐

  • 炒币做合约怎么刷钱,炒币一般用杠杆还是合约

    一、炒币一般用杠杆还是合约炒币一般使用合约进行交易。杠杆通常用于高风险的投资领域,而炒币是一种低风险的投资方式,因此不适合使用杠杆。相反,合约交易允许投资者以较低的风险获得更高的回报率。在合约交易中,投资者通过购买或出售虚拟货币的未来价格来获利。这种策略需

    2024-11-22 13:30:01
    2 0
  • 比特币合约如何平仓,比特币合约已亏百分之160了不知道平不平仓

    一、什么是比特币期货合约比特币期货合约,通常是以比特币价格指数为标的的标准化合约。比特币交易所提供的比特币期货通常是以比特币进行交易的。期货是与现货相对的,现货是实实在在可以一手交钱一手交货的商品,而期货其实不是“货”,是承诺未来一个时间交“货”(标的)的

    2024-11-21 15:00:02
    4 0
  • 比特币智能合约怎么查,怎么查询所有区块链公链

    一、怎么查询所有区块链公链公链在哪里查询公链在浏览器查询。随着区块链的大热,越来越多的科技公司开始研究和开发区块链。在区块链迅速发展的同时,也有少部分项目方打着区块链的名号,在市面上进行招摇撞骗。如何判断公链真假,对于现在许多想要进行数字货币交易的群体来说

    2024-11-21 11:30:01
    5 0
  • 比原链钱包地址怎么写,如何查区块链合约地址信息

    一、区块链地址怎么查(区块链地址怎么查询平台)如何通过区块链资产地址(数字钱包地址)查看该地址的区块链资产(数字货币)?用区块链浏览器就可以查看。在搜索输入框内输入想查询的钱包地址,如果你输入的地址不完整,但是这个地址之前有在区块链上进行过ETH交易或者被查询

    2024-11-20 14:00:01
    3 0
  • 区块链 如何删除合约,什么叫区块链合约

    一、什么叫区块链合约区块链合约层是什么如果说数据、网络和共识三层,分别承担了区块链底层数据表示、数据传播和数据验证功能的话,合约层则是封装各类脚本代码、算法以及更为复杂的智能合约,是区块链系统实现灵活编程和操作数据的基础。作为一种自我执行的协议,智能合约被

    2024-11-20 01:30:01
    10 0
  • 虚拟货币地址怎么查询,如何查区块链合约地址信息

    一、如何知道是哪个区块链平台,怎么查询区块链是不是公链怎么查别人区块链信息1.如果是查询账户余额、账户的历史交易数据等信息,建议直接输入钱包地址查询;如果是查询某笔转账的相关信息,比如是否到账、进展如何,输入交易ID是最方便的。当然了,区块链浏览器不仅可以查询自己的

    2024-11-17 13:30:02
    9 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载