Heim  >  Artikel  >  Cobo Security Team: Bullish DeFi Interactive Guide

Cobo Security Team: Bullish DeFi Interactive Guide

WBOY
WBOYnach vorne
2024-02-28 16:10:071142Durchsuche

In den letzten Jahren hat der Bereich DeFi (dezentrale Finanzierung) viel Aufmerksamkeit erregt, und auch seine Innovation und hohen Risiken sind zu heißen Themen geworden. Im Bullenmarkt boomen DeFi-Projekte und ziehen die Aufmerksamkeit einer Vielzahl von Investoren auf sich. In diesem Bereich voller Chancen und Herausforderungen ist die Frage, wie die Sicherheit von Vermögenswerten gewährleistet werden kann, zu einem gemeinsamen Schwerpunkt für Anleger geworden. Das Cobo-Sicherheitsteam hat den „Bull Market DeFi Interactive Guide“ veröffentlicht, der Anlegern wertvolle Referenzen und Anleitungen bietet, die ihnen helfen, die Risiken und Chancen des DeFi-Ökosystems besser zu verstehen und zu erfassen.

Cobo 安全团队:牛市 DeFi 交互指南

Seit dem Start von DeFi Summer im Jahr 2019 sind unter der Führung von Ethereum immer mehr kreative dezentrale Finanzprotokolle (DeFi-Protokolle) entstanden, die die Verfügbarkeit von Vermögenswerten in der Kette erheblich bereichert und die Blockchain-Benutzer besser nutzen können Nutzen Sie Vermögenswerte in der Kette, um vielfältigere Finanzaktivitäten durchzuführen und erhebliche Erträge zu erzielen. Doch mit dem Aufkommen von immer mehr DeFi-Protokollen entstehen auch Sicherheitsherausforderungen. Unvollständigen Statistiken zufolge haben allein im Jahr 2023 die durch Blockchain-Angriffe verursachten Vermögensverluste 2,61 Milliarden US-Dollar erreicht. Es ist ersichtlich, dass bei der Teilnahme am DeFi-Protokoll neben der Bewertung der entsprechenden Umsatzerwartungen auch die Bewertung der Sicherheit des Protokolls nicht außer Acht gelassen werden darf, da dies sonst zu großen Verlusten für die Benutzer führt.

Im Allgemeinen ist die aktuelle Definition der Protokollsicherheit eine relativ einheitliche Definition. Das Problem besteht darin, dass die Bewertung selbst nur die Sicherheit des Protokolls berücksichtigt Im DeFi-Interaktionsprozess ist die Sicherheit oft dynamisch und umfasst die Kontoverwaltung, die Vorbereitung vor der Protokollinteraktion, die Vermögensverwaltung nach Abschluss der Interaktion, die Datenüberwachung und in extremen Fällen die Selbstrettung nach Vermögensverlust.

Wie können Sie als Benutzer, der im Begriff ist, das DeFi-Neulingsdorf zu betreten, die Sicherheit Ihrer Gelder maximieren und gleichzeitig Einkommen erzielen? Das Cobo-Sicherheitsteam hat die allgemeinen Sicherheitsrisiken bei DeFi-Interaktionen und die entsprechenden Sicherheitsvorkehrungen geklärt und hofft, alle DeFi-Sicherheitsinteraktionen im Bullenmarkt zu inspirieren und zu unterstützen.

Häufige Sicherheitsrisiken und vorbeugende Maßnahmen bei DeFi-Interaktionen

1. Der Verlust privater Kontoschlüssel ist eines der Probleme, denen unerfahrene Benutzer aufgrund der großen Vielfalt häufiger ausgesetzt sind Wallets auf dem Markt, Anfängern fehlt die Möglichkeit, die Sicherheit von Wallets selbst zu beurteilen. Viele Anfänger laden einige unsichere Wallets herunter und verwenden sie zum Generieren privater Schlüssel, was dazu führt, dass die privaten Schlüssel böswillig an die Angreifer zurückgesendet werden Die privaten Schlüssel sollen durchgesickert sein. Viele erfahrene Benutzer stellten fest, dass ihr gesamtes Vermögen an einem bestimmten Tag von ihrem Hauptkonto übertragen wurde. Nach der Analyse über den größten Teil des Tages hinweg stellten sie fest, dass alle Verhaltensweisen normal waren. In den meisten dieser Fälle wurde für die Generierung des Kontos ein unsicheres Wallet verwendet sein eigener privater Schlüssel Der private Schlüssel ist seit langem durchgesickert.

Gleichzeitig klicken viele unerfahrene Benutzer aufgrund des Wohlstandseffekts, der durch Blockchain-Airdrops verursacht wird, blind auf einige sogenannte Airdrop-Websites, die sich selbst als sehr seriöse Projektwebseiten verpacken und den Benutzern mitteilen, dass es eine große Anzahl von Projekten gibt Anzahl der nicht beanspruchten Token. Aus Profitgründen werden viele unerfahrene Benutzer von Webseiten dazu verleitet, die privaten Schlüssel ihres eigenen Kontos einzugeben, was dazu führt, dass die privaten Schlüssel verloren gehen.

Um den Verlust privater Schlüssel zu verhindern, müssen Benutzer Folgendes tun, um dies zu verhindern:

Es wird empfohlen, ein bekanntes Blockchain-Wallet auszuwählen und es von der offiziellen Website herunterzuladen. Für qualifizierte Benutzer wird die Verwendung einer Hardware-Wallet empfohlen, um die Sicherheit der Vermögenswerte zu verbessern.

Stellen Sie Ihren privaten Schlüssel niemals im Klartext im Internet zur Verfügung und geben Sie Ihren privaten Schlüssel nicht nach Belieben in eine Webseite ein.

2. Signatur-Phishing-Risiko

Signatur-Phishing-Risiko ist das gleiche wie der Verlust privater Schlüssel und auch der am stärksten betroffene Bereich für unerfahrene Benutzer. Anders als die direkte Aufforderung an Benutzer, ihre privaten Schlüssel einzugeben, veranlasst diese Art von Phishing-Angriff Benutzer dazu, eine Transaktion oder Signatur zu initiieren, um eine Autorisierung für benutzerbezogene Vermögenswerte zu erhalten. Sie ist stark verborgen, schwer zu analysieren und schwer zu erkennen.

Normalerweise lockt der Angreifer den Benutzer zunächst auf eine Phishing-Webseite und fordert den Benutzer auf, im Namen des Empfangens von Airdrops, der Überprüfung der Anmeldung usw. eine Signatur zu initiieren. Zu diesem Zeitpunkt fordert die Browser-Wallet des Benutzers den Benutzer auf, den Vorgang abzuschließen Unterschrift.

Es kann viele Arten von Phishing-Transaktionen geben:

Direkte Übertragungsart.

Übertragen Sie ETH direkt oder tätigen Sie einen ERC20-Übertragungsaufruf, um Wallet-Vermögenswerte an die Adresse des Angreifers zu übertragen.

Typ genehmigen.

Rufen Sie die ERC20 Approve-Methode auf, um die Wallet des Angreifers zu autorisieren. Bei der Unterzeichnung durch den Nutzer findet keine Übertragung von Vermögenswerten statt. Das Wallet des Angreifers kann jedoch Benutzervermögenswerte übertragen, indem er transferFrom aufruft.

EIP712-Nachrichtensignatur.

Zum Beispiel ERC20 Permit-Methode; Permit2-Autorisierung; NFT ausstehende Auftragssignatur usw. Solche Signaturen werden im Wallet meist als Json-Daten oder gut formatierte Baumdaten angezeigt. Wenn der Benutzer unterschreibt, wird keine Transaktion initiiert und es findet kein Gasverbrauch statt. Das Signaturergebnis wird jedoch von der Phishing-Website aufgezeichnet und der Angreifer kann das Signaturergebnis verwenden, um die ERC20- oder NFT-Assets des Opfers zu übertragen.

Original-Hash-Signatur. Die Signaturdaten sind hexadezimale Hash-Daten und der spezifische Signaturinhalt kann nicht aus den Signaturdaten selbst abgeleitet werden. Hinter dem Hash können die oben genannten 1–3 Datentypen stehen. Unterschriften können zu Vermögensverlusten führen. Allerdings verbieten aktuelle Mainstream-Wallets diese Signaturmethode meist oder geben offensichtliche Risikowarnungen ab.

In jüngsten Fällen wurde festgestellt, dass einige Phishing-Websites von Benutzern verlangen, mehrere Signaturen hintereinander zu erstellen, wobei die ersten paar Signaturen harmlose und normale Signaturen sind. Dann mischen Sie eine bösartige Signatur ein. Nutzen Sie die Betriebsträgheit des Benutzers, um ihn zum Abschließen des Signaturvorgangs zu veranlassen.

Um finanzielle Verluste durch Phishing zu verhindern, besteht der Kern darin, Blind Signing abzulehnen. Überprüfen Sie jede Unterschrift sorgfältig und lehnen Sie die Unterzeichnung von Transaktionen mit unsicherem Inhalt ab. Konkret können Sie beim Signiervorgang auf Folgendes achten:

Bestätigen Sie, dass es sich bei der interaktiven Website um die offizielle Website des DeFi-Projekts handelt, und überprüfen Sie den vollständigen Domainnamen.

Überprüfen Sie die im Vertrag aufgerufenen Methoden und konzentrieren Sie sich dabei auf die Übertragungs- und Genehmigungsmethoden.

Überprüfen Sie die der Transaktion beigefügte ETH-Überweisung. Einige Phishing-Websites versuchen, Methoden zu entwickeln, die sicher aussehen (z. B. Claim), beim Aufruf jedoch tatsächlich eine ETH-Übertragung beinhalten, was zum Verlust von Chain-nativen Tokens wie ETH führt.

Signieren Sie nicht den ursprünglichen Hash-Inhalt.

3. Transfer Address Poisoning ist eine relativ neue Angriffsmethode. Die Angriffsmethode besteht darin, die Empfangsadresse ähnlich der Empfangsadresse in der Transaktion zu verwenden (ERC20, natives Token usw.). .) Adresse, senden Sie eine Transaktion mit demselben Betrag an den Benutzer oder eine Transaktion mit demselben Betrag, aber der entsprechende Token ist ein gefälschter Token.

Beispiel:

Alice überweist Bob jeden Monat einen festen Betrag von 1 ETH als Gehalt. Charlie überwachte diese Transaktion und schickte 0,001 ETH an Alice unter Verwendung einer Adresse ähnlich der von Bob (die ersten 8 Ziffern und die letzten 8 Ziffern der Adresse sind gleich). Wenn Alice nach diesem Vorgang das nächste Mal Geld an Bob überweist, ist es möglich, Charlies Adresse als Empfangsadresse der Transaktion zu verwenden. Der Grund dafür ist, dass Blockchain-Adressen lang und unregelmäßig sind, was es für Benutzer schwierig macht, sie sich zu merken. Daher kopieren Benutzer die Adresse aus Bequemlichkeitsgründen oft direkt aus dem letzten Transaktionsdatensatz. Da die Adressen von Charlie und Bob sehr ähnlich sind, ist es für Alice schwierig, sie zu unterscheiden, was letztendlich zu einem Vermögensverlust führt.

Um zu verhindern, dass die Übertragungsadresse vergiftet wird, können Benutzer die folgenden Maßnahmen ergreifen, um dies zu verhindern:

Überprüfen Sie die Übertragungsadresse für jede Transaktion und überprüfen Sie den vollständigen Inhalt, anstatt nur die vorherigen und folgenden Bytes zu vergleichen.

Legen Sie häufig verwendete Adressen in die Adress-Whitelist (Adressbuch) ein, um Aliase einzurichten, und versuchen Sie, für Übertragungen nur Adressen im Adressbuch zu verwenden.

Vermeiden Sie das Kopieren von Adressen aus On-Chain-Kanälen (einschließlich Blockchain-Browsern, Wallet-Transaktionsaufzeichnungen usw.) als Übertragungsziele.

4. Token-Überautorisierung

Token-Autorisierung ist fast der erste Schritt in der DeFi-Interaktion. Da bei der Durchführung von DeFi-Vorgängen die Transaktionsdaten unter normalen Umständen über die Webseite des Projekts und nicht über die Struktur des Benutzers erstellt werden, um die mehrfachen Interaktionen des Benutzers ohne wiederholte Autorisierung zu erleichtern, erstellt die Webseite des Projekts normalerweise eine unbegrenzte Autorisierungstransaktion für den Benutzer. Zeichen. Der Ausgangspunkt besteht darin, den Nutzern Benzin zu sparen, aber dadurch entstehen auch versteckte Gefahren für die spätere Fondssicherheit. Unter der Annahme, dass in nachfolgenden Projektcodes Probleme auftreten, wie z. B. nicht autorisierte Schnittstellen oder Schwachstellen bei willkürlichen Aufrufen, wird die uneingeschränkte Autorisierung des Benutzers für den Vertrag von Angreifern ausgenutzt, was zur Übertragung von Benutzerressourcen führt. Dieses Angriffsszenario kommt häufiger bei Cross-Chain-Bridges und DEX-Protokollen vor.

Um zu verhindern, dass nachfolgende Projekte bei Upgrades riskanten Code einführen oder unentdeckte Schwachstellen im Projektcode selbst verursachen, sollten Benutzer das Prinzip der Mindestautorisierung übernehmen und versuchen, nur den in dieser Transaktion verwendeten Betrag zu autorisieren, um zu verhindern, dass nachfolgende Projektrisiken entstehen Verlust des eigenen Vermögens.

5. Unsichere DeFi-Operationen

Neben der Vorbereitung vor der Interaktion gibt es auch viele Risiken, die während des Interaktionsprozesses leicht zu ignorieren sind. Diese Risiken ergeben sich in der Regel aus mangelndem Verständnis der Nutzer für das Projekt selbst. Konkrete Beispiele sind:

Beim Austausch von Token über das On-Chain-Austauschprotokoll ist der Slippage zu groß eingestellt oder das Schreiben eines Skripts zum Durchführen des Austauschs legt nicht die Mindestempfangsmenge fest (aus Gründen der Schreibfreundlichkeit auf 0 gesetzt), was zu Transaktionen führt wird durch den Sandwich-Angriff der MEV-Roboter „unterbrochen“.

Bei der Durchführung von Kreditgeschäften über das On-Chain-Lending-Protokoll wurde der Zustand der Positionen nicht rechtzeitig verwaltet, was dazu führte, dass Positionen bei großen Marktschwankungen liquidiert wurden.

Bei der Interaktion mit einigen Projekten wurden die Anmeldeinformationen der Projektpartei nicht gut aufbewahrt. Beispielsweise wurden die NFT-Anmeldeinformationen von Uniswap V3 in OpenSea als gewöhnliche NFTs verkauft.

Um diesen Risiken vorzubeugen, müssen Benutzer bei der Interaktion mit Projekten entsprechende Projektrecherchen durchführen, den Projektmechanismus und die damit verbundenen Merkmale klären und Vermögensverluste verhindern.

DeFi Neues Paradigma für sichere Transaktionen – Cobo Argus

Das Obige stellt die allgemeinen Interaktionsrisiken von DeFi-Aktivitäten auf der Blockchain vor. Wenn ein Benutzer versehentlich in eine dieser Fallen tappt, können jahrelange harte Arbeit verloren gehen und selbst die kleinste Unachtsamkeit führt zu irreparablen Schäden. Gibt es also einen Risikokontrollplan, der sicher, effektiv und einfach zu verwalten ist? Eine neue Option ist der Cobo Argus.

Cobo Argus ist ein On-Chain-Risikokontrollprodukt, das vom Cobo-Team entwickelt wurde und auf Gnosis Safe aufbaut. Die Hauptfunktion besteht darin, Benutzertransaktionen durch die Entwicklung verschiedener ACL-Strategien zu analysieren und Transaktionen abzufangen, die nicht den Risikokontrollregeln entsprechen, wodurch die Sicherheit der Benutzergelder gewährleistet wird.

Wie geht Cobo Argus mit Sicherheitsrisiken im DeFi-Umfeld um?

1. Multi-Signatur-Wallet auf unterster Ebene, Einzelsignatur-Autorisierung auf oberer Ebene: Vermeiden Sie das Risiko eines Verlusts privater Schlüssel, mindern Sie das Phishing-Risiko und stellen Sie die betriebliche Effizienz sicher.

Cobo Argus ist ein Multi-Signatur-Wallet basierend auf Safe {Wallet} Die Grundlage und der Kern dieses Produkts ist ein Multi-Signatur-Vertrags-Wallet. Daher erbt Cobo Argus natürlich die Sicherheit der Safe {Wallet}-Wallet mit mehreren Signaturen.

Durch die Umstellung der Geldverwaltung von einem einzigen privaten Schlüssel auf die gemeinsame Verwaltung mehrerer privater Schlüssel kann das Risiko des Verlusts/der Sperrung von Vermögenswerten durch den Verlust eines einzelnen privaten Schlüssels beseitigt werden. Das Multi-Signatur-Wallet selbst erfordert mehrere Signaturen, um die Ausführung von Transaktionen auszulösen, und der Verlust des privaten Schlüssels einer einzelnen Adresse hat keinen Einfluss auf die Gesamtsicherheit der Gelder. Darüber hinaus können Multi-Signatur-Transaktionen initiiert werden, um verlorene oder riskante Single-Signatur-Adressen zu ersetzen und so die Sicherheit des Multi-Signatur-Wallets zu gewährleisten.

Da außerdem der Wechsel von einer Einzelsignaturadresse zu einer Mehrfachsignaturadresse erfordert, dass jeder Benutzer beim Signieren einer Transaktion eine Transaktion unterschreibt, ist dies förderlich für die gegenseitige Prüfung des Transaktionsinhalts, wodurch die Wahrscheinlichkeit erheblich verringert wird gephisht.

Mehrere Unterschriften erfordern die Überprüfung durch mehrere Personen, was einen gewissen Einfluss auf die betriebliche Effizienz hat. Mit Cobo Argus können Benutzer flexible Autorisierungsregeln konfigurieren, sodass bestimmte Vorgänge mit geringem Risiko und hoher Häufigkeit (z. B. regelmäßige Einkommensansprüche während der Landwirtschaft) an eine bestimmte EOA-Adresse autorisiert werden können. Diese Adresse kann anstelle einer Multi-Signatur-Wallet Vorgänge initiieren, um die Arbeitseffizienz zu verbessern. Da gleichzeitig die Adressberechtigungen streng eingeschränkt sind, wird die Gesamtsicherheit des Wallets nicht wesentlich beeinträchtigt.

2. Benutzerdefinierter Roboter: 7*24 Stunden automatische Risikoüberwachung und Reaktion

Durch die Konfiguration des Cobo Argus-Überwachungsroboters können Sie die Bedingungen anpassen, die überwacht werden müssen, und die Aktionen, die beim Auslösen von Bedingungen ausgeführt werden müssen.

Nehmen Sie als Beispiel das Leverage-Management von Kreditprojekten. Benutzer können den Argus-Roboter so konfigurieren, dass er seinen Gesundheitsfaktor überwacht. Wenn die Position kurz vor der Liquidation steht, kann der Roboter Vorgänge wie das Auffüllen von Sicherheiten, die Rückzahlung usw. durchführen, um den Leverage zu reduzieren .

3. Angepasste ACL-Richtlinie

Zusätzlich zur Anpassung von Überwachungsrobotern können Benutzer mit bestimmten Entwicklungsfunktionen auch benutzerdefinierte ACL-Verträge (Access Control List) entwickeln, um eine flexiblere Berechtigungsverwaltung zu erreichen. Dies ist eine der Kernfunktionen von Cobo Argus. Hier sind einige Beispiele, um den Charme dieser Funktion zu spüren:

Für Adressvergiftungsangriffe können Sie einen ACL-Vertrag schreiben. Benutzer können häufig verwendete Adressen im ACL-Vertrag als Whitelist angeben. Während des Transaktionsprozesses wird der ACL-Vertrag analysiert die Empfangsadresse (ERC20/natives Token) und vergleichen Sie sie mit der vom Benutzer festgelegten Whitelist-Adresse. Wenn die Empfangsadresse nicht innerhalb der entsprechenden Adresse liegt, kann die Transaktion nicht erfolgreich abgeschlossen werden.

Um das Problem der Überautorisierung zu lösen, können Benutzer den Autorisierungsbetrag in der Genehmigungstransaktion analysieren, indem sie einen ACL-Richtlinienvertrag schreiben, und den Genehmigungsautorisierungsbetrag des Tokens so begrenzen, dass er den voreingestellten Wert des Benutzers nicht überschreitet. Oder 1: Sie können einen benutzerdefinierten Roboter konfigurieren, um die Autorisierung der relevanten Token regelmäßig zu löschen.

Für unsichere DeFi-Operationen, wie z. B. Swap-Transaktionen ohne Slippage-Prüfungen, können Sie den Argus ACL-Strategievertrag schreiben, um den minimal akzeptablen Slippage für Exchange-Transaktionen festzulegen. Nachdem die Einstellung abgeschlossen ist, kann der ACL-Strategievertrag entsprechend den Einstellungen festgelegt werden Der Slippage wird für verschiedene Swap-Transaktionen analysiert. Wenn der Exchange-Slippage nicht erfüllt ist, kann die Transaktion abgefangen werden.

Zusammenfassung

Es gibt viele Risiken, die bei DeFi-Interaktionen schwer zu verhindern sind. Obwohl der im Artikel erwähnte Inhalt viele gängige Szenarien beinhaltet, kann er nicht alle Risikopunkte vollständig abdecken. Benutzer müssen jede Transaktion sorgfältig abwickeln.

Cobo Argus kann Benutzern zuverlässige und einfach zu konfigurierende Mittel zur Verfügung stellen, um einige häufige Sicherheitsrisiken zu verhindern. Durch ACL kann eine flexible und sichere Berechtigungsverwaltung durchgeführt werden, wodurch die betriebliche Effizienz verbessert und gleichzeitig die Sicherheit gewährleistet wird. Benutzerdefinierte Roboter können manuelle Vorgänge reduzieren, während Echtzeit-Überwachungsfunktionen die Sicherheit der Benutzergelder rund um die Uhr gewährleisten können.

DeFi kann den Benutzern sicherlich erhebliche Vorteile bringen, aber die Sicherheit des Fonds ist der Kern eines stetigen Vermögenswachstums. Cobo Argus wird jeden DeFi-Farmer schützen und allen helfen, im Bullenmarkt mehr Wert zu schaffen.

Das obige ist der detaillierte Inhalt vonCobo Security Team: Bullish DeFi Interactive Guide. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Dieser Artikel ist reproduziert unter:chaincatcher.com. Bei Verstößen wenden Sie sich bitte an admin@php.cn löschen