Defi boxing day學習記

今天去了聽852dev的活動, 是有些參與者分享5題solidity上defi flash loan相關的攻擊問題。題目是 https://www.damnvulnerabledefi.xyz/ 的頭5條。

其實我自己是非常不熟以太/solidity, 但我寫開program所以能看懂, 有點概念, 但自己不懂得寫。
而我其實都不打算去學以太上的東西, 只是想有概念認知就夠。
所以聽這樣的分享是好的, 因為我只需看懂大概就能吸經了解大概。

題目是這5個:

  1. unstoppable, 這個是要了解某個EIP protocol。

  2. naive receiver, 就是protocol call黎call去有冇check sender的問題。

  3. truster, 簡而言之, 就是etherium上有approve這種援權操作, 而當做任意執行(類似JS類eval)時, 就有機會被人惡意援權。

  4. side entrance, 這個是reentrance常見問題。

  5. the rewarder, 簡而言之, take snapshot時被flashloan洗數據的攻擊。算是關乎take snapshot做法問題。

你問我的話, 我懂得做的應該就只有(4), 但其他的聽人們分享後也吸經學習了。

籠統而言, 我覺得以太/solidity, 表面看似簡單, 其實實際還是有點太複雜化。
又transfer又safe transfer...又default...又一堆EIP interface... 也不是不能懂, 但太多這些東西就開始複雜化, 就易有漏洞;
但check sender, reentrance, 這些算是較普遍基本要學懂注意的事。