Quanto mais um usuário sabe sobre possíveis vulnerabilidades ou ataques fraudulentos, mais seguros são seus ativos.
Embora a DeFi esteja em constante evolução e a tecnologia blockchain esteja se tornando mais segura, os hackers ainda conseguem executar esquemas fraudulentos e tirar proveito das vulnerabilidades de segurança.
Entretanto, nem todas as notícias sobre outro projeto que sofre um ataque de hackers devem ser necessariamente assustadoras. Em muitos casos, os fundos dos usuários permanecem protegidos ou possíveis perdas são compensadas pela cobertura, enquanto em muitas ocasiões, os hackers devolvem os fundos roubados (parcial ou totalmente) após as negociações.
Em qualquer caso, conhecer possíveis ameaças pode ajudar os usuários a avaliar os riscos de usar um determinado serviço para evitar a perda de fundos.
Vulnerabilidades do contrato
A falha de um desenvolvedor em identificar um bug frequentemente permite que hackers explorem uma vulnerabilidade e eventualmente retirem fundos do usuário.
Durante o ano passado, assistimos a múltiplos ataques desse tipo. Por exemplo, uma falha de programação que parecia ser um falso bug de cunhagem foi recentemente revelada na ponte entre a Optimism e o BitBTC. A correção imediata da vulnerabilidade impediu a extração de 200 bln de tokens Optimism, uma vez que a falha permitiu a falsificação de tokens em um lado da ponte e a troca por tokens reais.
Em outro caso, a advertência de uma vulnerabilidade de contratos não atualizados da Opensea evitou que muitos usuários perdessem seus fundos. A vulnerabilidade facilitou a retirada dos NFTs dos usuários após a assinatura de uma transação maliciosa.
A incapacidade de validar adequadamente a entrada (input) de uma transação também causa múltiplos problemas de hacking, como aconteceu com a Nomad bridge e a Olympus DAO.
A exploração de vulnerabilidades dos contratos acontece de várias maneiras e uma estratégia comum é baseada em hacks de reentrância que ocorrem quando um contrato usa uma chamada externa para interagir com outro contrato cujo estado anterior ainda não está atualizado. Um hacker usa um contrato inteligente malicioso especialmente construído para causar a retirada da vítima. Como o fluxo do programa é interrompido, o contrato inteligente da vítima é incapaz de atualizar o saldo do atacante. Um dos ataques de reentrância mais significativos já realizados foi a façanha do Protocolo Fei que causou uma perda de $80 mln.
A primeira e principal contra-medida para evitar este tipo de ataque ou para revelá-lo antes que qualquer dano tenha sido feito é a realização de auditorias.
O código deve ser auditado regularmente e relatórios devem ser publicados para ficar à disposição do usuário. No processo de auditoria, as empresas de segurança descobrem bugs e simulam ataques de hackers. Assim, elas ajudam a garantir a segurança de contratos inteligentes e a tornar as transações seguras. Portanto, antes de utilizar qualquer plataforma, vale a pena verificar seu compromisso com a segurança. Este artigo explicando detalhadamente as medidas de segurança da Rede 1inch pode ajudá-lo a ter uma ideia melhor de como devem ser as informações de segurança.
Ataques de Flash Loan (empréstimos relâmpago)
Os Flash loans facilitam os empréstimos, permitindo que os usuários obtenham um empréstimo não garantido de qualquer tamanho, de um pool de liquidez, sob a condição de que ele seja reembolsado dentro de uma única transação. Caso contrário, um contrato inteligente cancela a transação de empréstimo relâmpago e devolve os fundos para o credor.
Os empréstimos relâmpagos são frequentemente explorados por atores maliciosos para manipular o preço do ativo emprestado.
A plataforma de negociação Mango Markets foi recentemente atingida por um atacante que tomou emprestado o token MNGO e inflou seu preço para usar moedas supervalorizadas como garantia para emprestar BTC e outros ativos e retirar o lucro. Os hackers sempre sabem onde encontrar uma vulnerabilidade. Por exemplo, o cálculo de recompensas do contrato da New Free Dao era muito simples, o que causou um ataque de empréstimo relâmpago.
No caso do Crema Finance, os hackers criaram uma falsa conta de dados de mudança de preço para burlar as verificações do contrato e depois usaram empréstimos relâmpagos para drenar o pool. Os achados roubados foram posteriormente devolvidos parcialmente graças a uma negociação bem sucedida.
Enquanto isso, outros fatores também podem criar uma oportunidade para os atacantes. Às vezes, um componente off-chain causa uma falha no relatório de preços, mesmo quando a agregação de preços on-chain funciona corretamente.
Os atores nefastos visam principalmente oráculos de preços centralizados, extraindo dados de uma única exchange. Os oráculos descentralizados, que se concentram na diversificação dos coletores de dados a ponto da violação do seu quorum se tornar muito desafiador, são portanto menos vulneráveis a esse tipo de manipulação.
Chamar a função vulnerável
Entretanto, por mais seguras que sejam as plataformas DeFi, elas não são imunes a problemas causados por uma ferramenta vulnerável de terceiros. A Profanity, que oferece geração de endereços vanity (endereços personalizados por seus proprietários) e é bastante popular entre usuários e plataformas, acabou se tornando uma ferramenta vulnerável. No início deste ano, colaboradores da 1inch descobriram uma vulnerabilidade na Profanity e imediatamente publicaram um post e mensagens nas redes sociais para alertar os usuários do serviço.
Tal evento é quase impossível de evitar, mas ainda é possível reagir rapidamente. Os usuários podem pelo menos acompanhar as contas das redes sociais dos projetos com os quais interagem e monitorar os anúncios de líderes de mercado de renome. O caso Profanity é bastante típico, já que apesar do alerta da 1inch a vulnerabilidade causou perdas consideráveis, que uma reação imediata à notificação poderia ter evitado.
Ataques Phishing
Uma das formas mais comuns de ataques que ameaçam todos os usuários é o phishing. Este crime cibernético continua popular entre os hackers que têm como alvo todos os serviços online, não especificamente as plataformas DeFi. Os usuários de sites, plataformas e projetos populares podem sofrer com o avanço dos ataques phishing.
Frequentemente, ataques phishing são realizados por meio de sites falsos e aplicativos de plataformas/carteiras que podem imitar a interface de sites legítimos. No entanto, o nome de domínio do site frequentemente ajuda a determinar se ele é fraudulento. Por exemplo, a parte falsa pode conter "com" em vez de "io", etc. Essencialmente, o objetivo final do phishing é conectar-se ao dispositivo do usuário. Assim, os hackers enganam os usuários de diferentes maneiras para fazê-los conectar suas carteiras ou assinar transações maliciosas.
A boa notícia é que esta ameaça pode ser identificada e prevenida pelos usuários sem nenhum conhecimento especial ou pesquisa completa. Todos os recentes ataques de phishing compartilham o traço comum de atrair os usuários para um site falso. Em um caso, Etherscan, CoinGecko e DeFi Pulse foram atacados via pop-ups maliciosos que ofereciam aos usuários a conexão de suas carteiras com um site phishing que se parecia com o famoso projeto de NFTs do Bored Apes Yacht Club.
Outro caso envolveu tokens distribuídos gratuitamente (airdropped) para endereços conectados à Uniswap. Esses tokens levaram os usuários a um site fraudulento que os encorajou a assinar contratos maliciosos, permitindo que os hackers esvaziassem suas carteiras.
Os links phishing não são necessariamente enviados automaticamente aos usuários através de e-mails ou carteiras. Mesmo alguém que um usuário conhece pessoalmente pode enviá-los. Um dos métodos frequentemente utilizados é um "scam romântico", pelo qual a confiança das vítimas é conquistada por um golpista a fim de envolvê-las em esquemas falsos de ganho de juros, geralmente persuadindo-as a investir em plataformas ou sites suspeitos que se assemelham a projetos populares.
Há algumas regras rigorosas a serem seguidas quando se interage com websites, e-mails e carteiras.
Primeiro, os usuários devem inserir manualmente os nomes dos sites e baixar as atualizações somente através de plataformas oficiais. Segundo, se os usuários forem levados a um website solicitando que realizem alguma ação como conectar uma carteira, inserir uma frase semente ou assinar um contrato, é bandeira vermelha.
Observe estas regras e mantenha-se seguro!
Esse artigo foi publicado na 1inch Network e traduzido por Fátima Lima. O original pode ser lido aqui.
Top comments (0)