אבטחת ההשאלה וההשאלה ב-Web3 Space

אבטחת ההשאלה וההשאלה ב-Web3 Space

חותמת זמן: 1 במרץ 2023 6:08
אבטחת ההשאלה וההשאלה בחלל Web3 PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

זמן קריאה: 6 דקות

מרחב Web3 עוסק כולו ביצירת שירותים מבוזרים וזרימת מידע שקופה. הלוואות והלוואות, חלק מכריע במודלים פיננסיים ברחבי העולם, היו חלק מהמערכת האקולוגית של web3 כבר זמן מה.

פרוטוקולים כמו AAVE, Compound ו dydx הביא הלוואות והלוואות למרחב ה-web3 שלנו תוך ניצול ההליכים והמגבלות המסורתיים של נטילת הלוואות מבוססות בנק. פרוטוקולים אלה הם החלוצים של הלוואות והלוואות מבוזרות. 

ככל שקהילת Web3 גדלה, ההלוואות וההלוואות הפכו שימושיים מאוד, ובכך גרמו ל-TVL (הערך הכולל נעול) של הפרוטוקולים הללו לחצות מיליארדים במהירות. 

תאר לעצמך שמישהו נתן לך 4 מיליארד דולר כדי לקחת את זה ממך מאוחר יותר. מה לכל הרוחות לא היית עושה כדי לשמור על הבטיחות? באופן דומה, תארו לעצמכם עד כמה עניין האבטחה הוא קריטי עבור הפרוטוקולים הללו. זה פשוט כמו זה. אין פרוטוקול הלוואות והלוואות ללא ביטחון, ושום מודל פיננסי לא יכול להתקיים ללא שירותי הלוואות והלוואות כאלה.

כניסיון לשרת את קהילת web3 וללמד אותך על אילו בדיקות חשובות פרוטוקולים כאלה צריכים לעבור כדי להבטיח אמון וצדק מלאים למשתמשים, QuillAudits, כמו תמיד, כאן כדי לעזור לך להבין כמה בדיקות אבטחה שיש לטפל בהן. לפני הפרסום. בואו נתחיל.

טיפים להבטחת הלוואות והלוואות

בחלק זה, נעבור על כמה מההיבטים והשירותים החשובים שיש להלוואות והלוואות, נבנה הבנה ולאחר מכן נשתף כמה טיפים כיצד ניתן להפוך אותם לאבטחים. בסופו של דבר, נראה כמה בדיקות נפוצות שצריך להבטיח. בוא נלך.

1. הלוואות פלאש

זה משהו ממש מעניין. המנגנון הזה מחזיק בכוח להפוך אותך למיליונר (אם כי רק לכמה שניות), אבל אם משתמשים בו נכון, הוא מועיל מאוד בתרחישים רבים. אבל מה זה?

דמיינו את זה בתור נער. אתה רוכב על אופניים כדי לקנות משהו מחנות שבה ביקרת כבר הרבה זמן, והחנווני מכיר אותך. אתה מגיע לשם, אתה אומר לבעל החנות, "תשמע, יש לי תוכנית. אני צריך קצת כסף. אני מבטיח להחזיר לך אותו לפני שתלך הביתה. אני רק צריך לעשות כמה עסקאות", אבל בעל החנות עדיין רוצה ביטחון אם הוא יקבל את זה בחזרה, אז הוא מקשיב לתוכנית שלך, אתה אומר לו "תן לי 10 דולר, אני אעשה על ידי תפוחים משוק שבו המחיר הוא 5$ לתפוח, ולמכור אותו בשוק ב' שמחיר התפוח הוא 7$" החנווני עכשיו בטוח שהסכום יוחזר לו נותן לו את הכסף, וזהו, אתה עושה את זה ומקבל החזר נאה של 4$ ומחזיר 10$ לבעל החנות ואז לכו הביתה מרוצים!

זה מה שהיא הלוואת פלאש, רק עם יותר אבטחה. הלוואת פלאש מאפשרת לך ללוות סכום כסף עצום, במיליונים, ללא כל בטחונות אלא בתנאי אחד: תחזיר את כל הכסף לפני הוספת בלוק חדש בשרשרת (עניין של שניות). אבל גם תוך שניות, יש בקשות ענק להלוואות פלאש. הלוואות פלאש שימשו גם לכמה מהפריצות המזיקות ביותר שבוצעו על כמה פרוטוקולים ב-web3. פריצות אלו כללו גם עבודה של אורקל. בואו ללמוד על אורקלים מנקודת מבט אבטחה.

2. אורקל

בלוקצ'יין הוא עולם חדש בפני עצמו אשר מנותק מנתוני העולם הפיזי, אך בעזרת אורקל נוכל לגשר על הפער בין נתוני הבלוקצ'יין לנתוני העולם הפיזי. למה זה נחוץ?

אם אתה חושב על זה, זה ממלא תפקיד מכריע בבלוקצ'יין. נניח שאתה יוצר פרוטוקול שנותן ביטוח לחקלאים. אתה מנסח חוזה שאומר שכל חקלאי בסוף חודש יספק פרמיה של $100, ואם יש טמפרטורה מעל 100 פרנהייט במשך חמישה ימים רצופים, הוא זכאי לתביעה של $1000 עבור אובדן היבול שלו. חוזה פשוט שמבטיח לחקלאים. אבל איך הבלוקצ'יין ידע שהטמפרטורה היא מעל 100 פרנהייט במשך חמישה ימים? כאן באים לידי ביטוי האורקלים.

אבטחה 2.1

Oracle מספקת נתוני עולם פיזי בפועל עבור חישובים ותנאים על השרשרת. לפיכך, הפרוטוקול שלנו תלוי בנכונות האורקלים. אתה מבין, חישובים מבוססים לעתים קרובות על תנאים מסוימים שהנתונים שלהם מסופקים על ידי האורקל. ובכל זאת, אם הנתונים האלה פגומים או איכשהו האורקל נפגע, זה אומר שהפרוטוקול נפרץ. ויש להם הפסדים עצומים רק בגלל העובדה הזו.

עבור פרוטוקולי הלוואות לקביעת מחיר הנכס, נעשה שימוש באורקל מחירים כדי להביא מחירים ברשת או מחוץ לשרשרת. אורקולים ברשת סבלו מבעיות רבות המאפשרות מניפולציה במחירים. לכן פרוטוקולים אלה מסתמכים על אורקל מחוץ לרשת, כמו Chainlink, לדיווח מחירים. זה בטוח יותר מכיוון שהמחירים נלקחים ממקורות שונים (למשל בורסה) מגורמים מהימנים. תמיד מומלץ ללכת על אורקל המוכר היטב במרחב web3, ויש לטפל כראוי בשילובם בפרוטוקול.

3. הלוואה מבוססת NFT

אנו יכולים ללוות אסימונים על ידי שמירה על NFTs בבעלות כבטוחה בהלוואות והלוואות מבוזרות. איך זה עובד הוא שצד אחד שומר על ה-NFT שבבעלותם נעול למשך זמן קבוע, ובתמורה, מקבל הלוואה בסכום המוסכם עם הריבית המוסכמת. כעת אם הצד לא מצליח להחזיר את הקרן + סכום הריבית, המלווה מקבל את הבעלות על ה-NFT. מערכת זו מקבילה לשמירה על הקרקע שלך כבטוחה להלוואה, שקיימת כל כך הרבה זמן בחברה.

אבטחה 3.1

כפי שצוין לעיל, אורקולי המחיר הדרושים צריכים להיות אמינים ובלתי ניתנים לפשרה. במקרה של NFT, הדגמים המוכרים הם opeansea/looksrare, אז כשעובדים על זה, יש לוודא שאורקל המחירים הוא מ-opensea/looksrare.

חלק מהפרוטוקולים מאפשרים לשנות את תנאי ההלוואה/ריבית בין ההלוואה שנלקחה על פני NFT. אם אתה רוצה לעבוד על תכונה כזו, עליך לבדוק ולעבוד על פורמליזציה כיצד השינויים משפיעים על ערכי ההלוואה/ריבית ולאחר מכן לשלב זאת בצורה מאובטחת.

4. אסטרטגיות נפוצות

בסעיפים לעיל, למדנו על כמה היבטים שאינם קשורים ישירות לפרוטוקול. הם היבטי האבטחה המבוססים על עיצוב ותכונות אשר ממלאים תפקיד מרכזי בבעיות הקשורות לאבטחה בפרוטוקול. כעת אנו הולכים להתמקד בבדיקות פרוטוקול שונות.

  1. CounterTokens:- בכל פעם שמשתמש מפקיד כמה אסימונים, הוא מקבל בתמורה aTokens, אותם ניתן לממש לאסימון או להשתמש בו כבטחון. חוזי aToken אלה צריכים לעמוד בכל הביקורות הקשורות לבטיחות שאסימוני ERC20 עוברים.
  1. מנטה/צריבה:- בכל פעם שיש פיקדון או הלוואה, יש תהליך של הטבעה ושריפת אTokens. הקפד לשלב את ההיגיון בצורה נכונה.
  1. <span class="glossaryLink" aria-describedby="tt" data-cmtooltip="
    גלישה
    <!– wp:paragraph –>שוק הקריפטו הוא תנודתי ביותר, מה שמקרין סיכוי מוגבר להפרש המחיר בין הזמן שבו הקונה מבצע הזמנה לבין ביצוע העסקה. וזו הסיבה שהבורסה מאפשרת לסוחרים להזין את ערך סובלנות ההחלקה המקובלת. בכל מקרה, אם ערך העסקה עולה על סובלנות ההחלקה, העסקאות לא מבוצעות.&nbsp;&nbsp;<br/><!– /wp:paragraph –>

    ” data-gt-translate-attributes=”[{"attribute":"data-cmtooltip", "format":"html"}]">עמלת החלקה:- <span class="glossaryLink" aria-describedby="tt" data-cmtooltip="

    גלישה
    <!– wp:paragraph –>שוק הקריפטו הוא תנודתי ביותר, מה שמקרין סיכוי מוגבר להפרש המחיר בין הזמן שבו הקונה מבצע הזמנה לבין ביצוע העסקה. וזו הסיבה שהבורסה מאפשרת לסוחרים להזין את ערך סובלנות ההחלקה המקובלת. בכל מקרה, אם ערך העסקה עולה על סובלנות ההחלקה, העסקאות לא מבוצעות.&nbsp;&nbsp;<br/><!– /wp:paragraph –>

    ” data-gt-translate-attributes=”[{"attribute":"data-cmtooltip", "format":"html"}]">החלקה היא הפרש המחיר בין הגשת עסקה לבין אישור העסקה על הבלוקצ'יין. אנחנו צריכים להבטיח שהמשתמש לא יכול לתפעל את

    גלישה
    <!– wp:paragraph –>שוק הקריפטו הוא תנודתי ביותר, מה שמקרין סיכוי מוגבר להפרש המחיר בין הזמן שבו הקונה מבצע הזמנה לבין ביצוע העסקה. וזו הסיבה שהבורסה מאפשרת לסוחרים להזין את ערך סובלנות ההחלקה המקובלת. בכל מקרה, אם ערך העסקה עולה על סובלנות ההחלקה, העסקאות לא מבוצעות.&nbsp;&nbsp;<br/><!– /wp:paragraph –>

    ” data-gt-translate-attributes=”[{"attribute":"data-cmtooltip", "format":"html"}]">עמלת החלקה.

  1. מקרי קצה:- בדוק תמיד מקרי קצה בשלב הבדיקה של פיתוח הפרוטוקול, כמו הוצאת חלק עצום של נכס מ-
    בריכת נזילות
    <!– wp:paragraph –>מאגרי נזילות מתייחסים לאסימוני קריפטו הנעולים בחוזה חכם כדי לספק נזילות לבורסות מבוזרות. מאגר הנזילות מסתמך על יצרן השוק האוטומטי (AMM) כדי לקבוע את מחיר האסימונים באמצעות נוסחה מתמטית ולסייע בביצוע עסקאות ביעילות.<br/><!– /wp:paragraph –>

    ” data-gt-translate-attributes=”[{"attribute":"data-cmtooltip", "format":"html"}]">מאגר נזילות וראה כיצד הוא מתנהג וכו'. למידע נוסף על בדיקות ואימות פורמלי , מתייחס https://blog.quillhash.com/2023/02/16/testing-and-formal-verification/

סיכום

פרוטוקול השאלות והשאלות היה חלק מהמערכת האקולוגית של web3 כבר זמן מה, אזור זה היה הראשון שנחקר במרחב web3, כך שהוא ראה הרבה התקפות ופריצות. זה עבד שישנן התקפות חדשות מתמשכות שצריכים לטפל בהן על ידי הפרוטוקולים הללו, והשדרוג המתמיד של פרוטוקולים כאלה גם יוצר מקום להתקפות.

גם פרוטוקולים גדולים כמו AAVE מבינים את הצורך באבטחה והעבירו את אחריות האבטחה למבקרים במיקור חוץ. QuillAudits יצרה את שמה בתחום האבטחה web3, ועם ביקורות בולטות, היא מחזיקה במומחיות באבטחת כמה מהפרוטוקולים המורכבים והמעניינים ביותר. אם אתה רוצה ביקורת, בקר באתר האינטרנט שלנו וקבל ביקורת על הפרוטוקול שלך עוד היום.

17 צפיות

בול זמן:

עוד מ קווילהש