Dalam beberapa tahun kebelakangan ini, bidang DeFi (kewangan terdesentralisasi) telah menarik perhatian ramai, dan inovasi serta risiko tingginya turut menjadi topik hangat. Dalam pasaran kenaikan harga, projek DeFi berkembang pesat dan menarik perhatian sebilangan besar pelabur. Dalam bidang yang penuh dengan peluang dan cabaran ini, cara memastikan keselamatan aset telah menjadi tumpuan umum bagi pelabur. Pasukan keselamatan Cobo mengeluarkan "Panduan Interaktif DeFi Pasaran Lembu", yang menyediakan rujukan dan panduan berharga kepada pelabur untuk membantu mereka memahami dengan lebih baik dan memahami risiko dan peluang ekosistem DeFi.
Sejak pelancaran DeFi Summer pada 2019, semakin banyak protokol kewangan terdesentralisasi yang kreatif (protokol DeFi) telah muncul, diketuai oleh Ethereum, yang telah memperkayakan ketersediaan aset pada rantaian dan menjadikan blockchain Pengguna boleh lebih baik. menggunakan aset dalam rantaian untuk menjalankan aktiviti kewangan yang lebih pelbagai dan menghasilkan pulangan yang besar. Tetapi dengan peningkatan lebih banyak protokol DeFi, cabaran keselamatan juga timbul. Menurut statistik yang tidak lengkap, pada tahun 2023 sahaja, kerugian aset yang disebabkan oleh serangan blockchain telah mencecah AS$2.61 bilion. Dapat dilihat bahawa dalam proses mengambil bahagian dalam protokol DeFi, selain menilai jangkaan hasil yang sepadan, penilaian keselamatan protokol tidak boleh diabaikan, jika tidak, ia akan membawa kerugian besar kepada pengguna.
Secara umumnya, takrifan arus perdana bagi penilaian keselamatan protokol ialah penilaian keselamatan kod Masalahnya di sini ialah penilaian itu sendiri hanya mempertimbangkan keselamatan protokol dalam proses statik proses interaksi DeFi, keselamatan selalunya dinamik, termasuk pengurusan akaun, persediaan sebelum interaksi protokol, pengurusan aset selepas interaksi selesai, pemantauan data dan penyelamatan diri selepas kehilangan aset dalam kes yang melampau.
Sebagai pengguna yang bakal memasuki perkampungan orang baru DeFi, bagaimana anda boleh memaksimumkan keselamatan dana anda sambil menjana pendapatan? Pasukan keselamatan Cobo telah menyelesaikan risiko keselamatan biasa dalam interaksi DeFi dan langkah berjaga-jaga keselamatan yang sepadan, dengan harapan dapat memberi inspirasi dan membantu interaksi keselamatan DeFi semua orang dalam pasaran kenaikan harga.
Risiko keselamatan biasa dan langkah pencegahan dalam interaksi DeFi
Kebocoran kunci persendirian akaun adalah salah satu masalah yang lebih mungkin dihadapi oleh pengguna pemula dompet di pasaran, orang baru Pengguna tidak mempunyai keupayaan untuk menilai keselamatan dompet sendiri Ramai pengguna baru akan memuat turun beberapa dompet yang tidak selamat dan menggunakannya untuk menjana kunci peribadi, menyebabkan kunci peribadi dihantar kembali kepada penyerang secara berniat jahat. kunci peribadi yang akan dibocorkan. Ramai pengguna berpengalaman mendapati bahawa semua aset mereka telah dipindahkan daripada akaun utama mereka pada hari tertentu Selepas analisis sepanjang hari, mereka mendapati bahawa semua tingkah laku adalah normal Dalam kebanyakan kes ini, akaun itu menggunakan dompet yang tidak selamat untuk menjana kunci peribadinya sendiri telah lama dibocorkan.
Pada masa yang sama, disebabkan oleh kesan kekayaan yang disebabkan oleh airdrop blokchain, ramai pengguna pemula akan mengklik secara membabi buta pada beberapa laman web yang dipanggil airdrop ini membungkus diri mereka sebagai halaman web projek yang sangat serius dan memberitahu pengguna bahawa terdapat laman web yang besar bilangan token yang tidak dituntut. Didorong oleh keuntungan, ramai pengguna pemula akan didorong oleh halaman web untuk mengisi kunci peribadi akaun mereka sendiri, menyebabkan kunci peribadi itu bocor.
Untuk mengelakkan kebocoran kunci persendirian, pengguna perlu melakukan perkara berikut untuk mengelakkannya:
Adalah disyorkan untuk memilih dompet blockchain yang terkenal dan memuat turunnya dari laman web rasmi. Bagi pengguna yang berkelayakan, disyorkan untuk menggunakan dompet perkakasan untuk meningkatkan keselamatan aset.
Jangan sekali-kali dedahkan kunci peribadi anda dalam teks biasa kepada Internet, dan jangan masukkan kunci peribadi anda ke dalam mana-mana halaman web sesuka hati.
Risiko pancingan data tandatangan adalah sama seperti kebocoran kunci persendirian, dan ia juga merupakan kawasan yang paling sukar untuk pengguna baru. Berbeza daripada meminta pengguna mengisi kunci peribadi mereka secara langsung, jenis serangan pancingan data ini mendorong pengguna untuk memulakan transaksi atau tandatangan untuk mendapatkan kebenaran bagi aset yang berkaitan dengan pengguna Ia sangat tersembunyi, sukar untuk dianalisis dan sukar dikesan.
Biasanya, penyerang akan terlebih dahulu mendorong pengguna ke halaman web pancingan data, dan meminta pengguna untuk memulakan tandatangan atas nama menerima airdrop, mengesahkan log masuk, dll. Pada masa ini, dompet penyemak imbas pengguna menggesa pengguna untuk melengkapkan tandatangan.
Mungkin terdapat banyak jenis transaksi pancingan data:
Jenis pemindahan terus. Pindahkan ETH secara terus atau buat panggilan pemindahan ERC20 untuk memindahkan aset dompet ke alamat penyerang.
Luluskan jenis. Hubungi kaedah ERC20 Approve untuk membenarkan dompet penyerang. Tiada pemindahan aset berlaku apabila pengguna menandatangani. Walau bagaimanapun, dompet penyerang boleh memindahkan aset pengguna dengan memanggil transferFrom.
EIP712 tandatangan mesej. Seperti kaedah Permit ERC20; Tandatangan sedemikian biasanya dipaparkan dalam dompet sebagai data Json atau data pokok yang diformat dengan baik. Tiada transaksi akan dimulakan apabila pengguna menandatangani, dan tidak akan ada penggunaan gas. Walau bagaimanapun, hasil tandatangan akan direkodkan oleh tapak web pancingan data dan penyerang boleh menggunakan hasil tandatangan untuk memindahkan aset ERC20 atau NFT mangsa.
Tandatangan hash asal. Data tandatangan ialah data cincang heksadesimal dan kandungan tandatangan tertentu tidak boleh disimpulkan daripada data tandatangan itu sendiri. Di sebalik cincangan mungkin terdapat 1-3 jenis data di atas. Tandatangan berkemungkinan mengakibatkan kehilangan aset. Walau bagaimanapun, dompet arus perdana semasa biasanya melarang kaedah tandatangan ini atau memberikan amaran risiko yang jelas.
Dalam kes baru-baru ini, didapati bahawa sesetengah tapak web pancingan data memerlukan pengguna membuat beberapa tandatangan berturut-turut, dan beberapa tandatangan pertama adalah tandatangan yang tidak berbahaya dan biasa. Kemudian campurkan tandatangan berniat jahat. Gunakan inersia operasi pengguna untuk mendorong pengguna melengkapkan operasi tandatangan.
Untuk mengelakkan kerugian kewangan yang disebabkan oleh pancingan data, intinya adalah menolak tandatangan buta. Semak setiap tandatangan dengan teliti dan enggan menandatangani transaksi dengan kandungan yang tidak pasti. Secara khusus, anda boleh memberi perhatian kepada perkara berikut semasa proses menandatangani:
Sahkan bahawa tapak web interaktif adalah tapak web rasmi projek DeFi dan semak nama domain yang lengkap.
Semak kaedah yang dipanggil oleh kontrak, fokus pada kaedah pemindahan dan meluluskan.
Semak pemindahan ETH yang dilampirkan pada transaksi. Sesetengah tapak web pancingan data akan cuba membina kaedah yang kelihatan selamat (seperti Tuntutan), tetapi sebenarnya akan menyertakan pemindahan ETH semasa membuat panggilan, menyebabkan kehilangan token asli rantaian seperti ETH.
Jangan tandatangani kandungan cincang asal.
Keracunan alamat pemindahan adalah kaedah serangan yang agak baharu baru-baru ini Kaedah serangan adalah menggunakan alamat penerima yang serupa dengan alamat penerima dalam transaksi apabila pengguna memulakan pemindahan (ERC20, token asli, dll. .) Alamat, hantar transaksi dengan jumlah yang sama kepada pengguna, atau transaksi dengan jumlah yang sama tetapi token yang sepadan adalah token palsu.
Contoh:
Alice memindahkan jumlah tetap 1 ETH kepada Bob sebagai gaji setiap bulan. Charlie memantau transaksi ini dan menghantar 0.001 ETH kepada Alice menggunakan alamat yang serupa dengan Bob (8 digit pertama dan 8 digit terakhir alamat adalah sama). Selepas operasi ini, pada kali seterusnya Alice memindahkan wang kepada Bob, adalah mungkin untuk menggunakan alamat Charlie sebagai alamat penerimaan transaksi. Sebab mengapa ini berlaku ialah alamat blockchain adalah panjang dan tidak teratur, menyebabkan pengguna sukar untuk mengingati Akibatnya, banyak kali pengguna akan menyalin alamat terus dari rekod transaksi terakhir untuk kemudahan. Memandangkan alamat Charlie dan Bob sangat serupa, sukar bagi Alice untuk membezakannya, yang akhirnya membawa kepada kehilangan aset.
Untuk mengelakkan alamat pemindahan daripada diracuni, pengguna boleh mengambil langkah-langkah berikut untuk mencegahnya:
Semak alamat pemindahan untuk setiap transaksi, dan semak kandungan lengkap dan bukannya hanya membandingkan bait sebelumnya dan seterusnya.
Tetapkan alamat yang biasa digunakan ke dalam senarai putih alamat (buku alamat) dan sediakan alias Cuba gunakan hanya alamat dalam buku alamat untuk pemindahan.
Elakkan menyalin alamat daripada saluran dalam rantaian (termasuk penyemak imbas rantaian blok, rekod transaksi dompet, dll.) sebagai sasaran pemindahan.
Keizinan token hampir merupakan langkah pertama dalam interaksi DeFi. Semasa menjalankan operasi DeFi, memandangkan data transaksi dibina melalui halaman web projek dan bukannya struktur pengguna, dalam keadaan biasa, untuk memudahkan interaksi berbilang pengguna tanpa kebenaran berulang, halaman web projek biasanya membina transaksi kebenaran tanpa had untuk pengguna. tanda. Titik permulaan adalah untuk menjimatkan gas untuk pengguna, tetapi ini juga mewujudkan bahaya tersembunyi untuk keselamatan dana seterusnya. Dengan mengandaikan masalah berlaku dalam kod projek seterusnya, seperti antara muka yang tidak dibenarkan atau kelemahan panggilan sewenang-wenangnya, kebenaran tanpa had pengguna kepada kontrak akan dieksploitasi oleh penyerang, mengakibatkan pemindahan aset pengguna. Senario serangan ini lebih biasa dalam jambatan rantaian silang dan protokol DEX.
Untuk mengelakkan projek seterusnya daripada memperkenalkan kod berisiko semasa naik taraf atau daripada kelemahan yang belum ditemui dalam kod projek itu sendiri, pengguna harus mengamalkan prinsip kebenaran minimum dan cuba hanya membenarkan jumlah yang digunakan dalam transaksi ini untuk mengelakkan risiko projek berikutnya daripada menyebabkan kehilangan aset mereka sendiri.
Selain persediaan sebelum interaksi, terdapat juga banyak risiko yang mudah diabaikan semasa proses interaksi. Risiko ini biasanya timbul daripada kekurangan pemahaman pengguna tentang projek itu sendiri. Contoh khusus ialah:
Apabila menukar token melalui protokol pertukaran dalam rantai, gelinciran ditetapkan terlalu besar atau menulis skrip untuk melakukan swap tidak menetapkan kuantiti penerimaan minimum (ditetapkan kepada 0 untuk kemudahan penulisan), mengakibatkan transaksi sedang "diganggu" oleh serangan Sandwich robot MEV.
Apabila menjalankan operasi pemberian pinjaman melalui protokol pemberian pinjaman dalam rantaian, kesihatan kedudukan tidak diuruskan tepat pada masanya, menyebabkan kedudukan dibubarkan semasa turun naik pasaran yang besar.
Apabila berinteraksi dengan beberapa projek, bukti kelayakan pihak projek tidak disimpan dengan baik Contohnya, bukti kelayakan NFT Uniswap V3 dijual di OpenSea sebagai NFT biasa.
Untuk mengelakkan risiko ini, pengguna mesti menjalankan penyelidikan projek yang sepadan apabila berinteraksi dengan projek, menjelaskan mekanisme projek dan ciri yang berkaitan, dan mencegah kehilangan aset.
Paradigma Baharu DeFi untuk Transaksi Selamat - Cobo Argus
Di atas memperkenalkan risiko interaksi biasa aktiviti DeFi pada rantaian blok. Jika pengguna secara tidak sengaja jatuh ke dalam salah satu perangkap ini, kerja keras bertahun-tahun mungkin hilang, dan walaupun sedikit kecuaian akan membawa kepada kerosakan yang tidak boleh diperbaiki. Jadi, adakah terdapat pelan kawalan risiko yang selamat, berkesan, dan mudah diurus? Pilihan baharu ialah Cobo Argus.
Cobo Argus ialah produk kawalan risiko dalam rantai yang dibangunkan oleh pasukan Cobo dan dibina di atas Gnosis Safe. Fungsi utama adalah untuk menganalisis transaksi pengguna dengan membina strategi ACL yang berbeza dan urus niaga memintas yang tidak mematuhi peraturan kawalan risiko, dengan itu memastikan keselamatan dana pengguna.
Bagaimana Cobo Argus menangani risiko keselamatan dalam persekitaran DeFi?
1. Dompet berbilang tandatangan peringkat bawah, kebenaran tandatangan tunggal peringkat atas: elakkan risiko satu titik kebocoran kunci persendirian, mengurangkan risiko pancingan data dan memastikan kecekapan operasi
Cobo Argus ialah dompet berbilang tandatangan berdasarkan Safe {Dompet} Asas dan teras produk ini ialah dompet kontrak berbilang tandatangan. Oleh itu, Cobo Argus secara semula jadi mewarisi keselamatan dompet berbilang tandatangan Safe {Dompet}.
Dengan menukar pengurusan dana daripada satu kunci persendirian kepada penyelenggaraan bersama beberapa kunci persendirian, risiko kehilangan/penguncian aset yang disebabkan oleh kebocoran satu kunci persendirian boleh dihapuskan. Dompet berbilang tandatangan itu sendiri memerlukan berbilang tandatangan untuk mencetuskan pelaksanaan urus niaga, dan kebocoran kunci peribadi satu alamat tidak akan menjejaskan keselamatan keseluruhan dana. Selain itu, transaksi berbilang tandatangan boleh dimulakan untuk menggantikan alamat tandatangan tunggal yang hilang atau berisiko untuk memastikan keselamatan dompet berbilang tandatangan.
Selain itu, memandangkan pertukaran daripada alamat satu tandatangan kepada alamat berbilang tandatangan memerlukan setiap pengguna menandatangani transaksi semasa menandatangani transaksi, ia adalah kondusif untuk mengaudit silang kandungan transaksi, sekali gus mengurangkan kemungkinan menjadi pancingan data.
Berbilang tandatangan memerlukan berbilang orang untuk menyemak, yang mempunyai kesan tertentu terhadap kecekapan operasi. Cobo Argus membenarkan pengguna mengkonfigurasi peraturan kebenaran fleksibel, membenarkan operasi berisiko rendah dan frekuensi tinggi tertentu (seperti tuntutan pendapatan biasa semasa pertanian) diberi kuasa ke alamat EOA tertentu. Alamat ini boleh memulakan operasi dan bukannya dompet berbilang tandatangan untuk meningkatkan kecekapan kerja. Pada masa yang sama, memandangkan kebenaran alamat dihadkan dengan ketat, keselamatan keseluruhan dompet tidak akan terjejas dengan ketara.
2. Robot tersuai: Pemantauan dan tindak balas risiko automatik 7*24 jam
Dengan mengkonfigurasi robot pemantauan Cobo Argus, anda boleh menyesuaikan keadaan yang perlu dipantau dan tindakan yang perlu dilakukan apabila mencetuskan keadaan.
Ambil pengurusan leverage projek pinjaman sebagai contoh Pengguna boleh mengkonfigurasi robot Argus untuk memantau faktor kesihatan mereka Apabila kedudukan hampir pembubaran, robot boleh melakukan operasi seperti menambah cagaran, pembayaran balik, dan lain-lain untuk mengurangkan leverage. .
3. Dasar ACL tersuai
Selain memperibadikan robot pemantauan, pengguna dengan keupayaan pembangunan tertentu juga boleh membangunkan kontrak ACL (Senarai Kawalan Akses) tersuai untuk mencapai pengurusan kebenaran yang lebih fleksibel. Ini adalah salah satu ciri teras Cobo Argus. Berikut adalah beberapa contoh untuk merasakan daya tarikan fungsi ini:
Untuk menangani serangan keracunan, anda boleh menulis kontrak ACL Pengguna boleh menentukan alamat yang biasa digunakan dalam kontrak ACL sebagai senarai putih Semasa proses transaksi, kontrak ACL akan Menganalisis alamat penerima (ERC20/token asli) dan bandingkan dengan alamat senarai putih yang ditetapkan oleh pengguna Jika alamat penerima tidak berada dalam alamat yang sepadan, transaksi tidak dapat diselesaikan dengan jayanya.
Untuk menangani masalah terlebih kebenaran, pengguna boleh menghuraikan amaun kebenaran dalam transaksi Luluskan dengan menulis kontrak dasar ACL dan mengehadkan amaun kebenaran Lulus token kepada tidak melebihi nilai pratetap pengguna. Atau 1, anda boleh mengkonfigurasi robot tersuai untuk mengosongkan kebenaran token yang berkaitan dengan kerap.
Untuk operasi DeFi yang tidak selamat, seperti transaksi swap tanpa semakan gelincir, anda boleh menetapkan gelinciran minimum yang boleh diterima untuk transaksi pertukaran dengan menulis kontrak strategi Argus ACL Selepas penetapan selesai, kontrak strategi ACL boleh ditetapkan mengikut tetapan Kegelinciran dianalisis untuk urus niaga swap yang berbeza Jika kegelinciran pertukaran tidak berpuas hati, urus niaga boleh dipintas.
Terdapat banyak risiko yang sukar dihalang dalam interaksi DeFi Walaupun kandungan yang dinyatakan dalam artikel itu melibatkan banyak senario biasa, ia tidak dapat merangkumi sepenuhnya semua titik risiko. Pengguna perlu mengendalikan setiap transaksi dengan berhati-hati.
Cobo Argus boleh menyediakan pengguna dengan cara yang boleh dipercayai dan mudah dikonfigurasikan untuk mengelakkan beberapa risiko keselamatan biasa. Pengurusan kebenaran yang fleksibel dan selamat boleh diselesaikan melalui ACL, meningkatkan kecekapan operasi sambil memastikan keselamatan robot tersuai boleh mengurangkan operasi manual, manakala keupayaan pemantauan masa nyata boleh memastikan keselamatan dana pengguna 7*24 jam;
DeFi pastinya boleh membawa manfaat yang besar kepada pengguna, tetapi keselamatan dana adalah teras pertumbuhan aset yang mantap. Cobo Argus akan melindungi setiap Peladang DeFi dan membantu semua orang mencipta lebih nilai dalam pasaran kenaikan harga.
Atas ialah kandungan terperinci Pasukan Keselamatan Cobo: Panduan Interaktif DeFi Bullish. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!