Revisão dos eventos de segurança DeFi de 2022

Autor: um especialista em segurança

Recentemente, um especialista em segurança experiente compartilhou uma aula sobre segurança em Finanças Descentralizadas com os membros da comunidade. Ele revisitou os eventos de segurança significativos que o setor Web3 enfrentou nos últimos mais de um ano, discutiu as causas e as medidas de prevenção desses eventos, resumiu as vulnerabilidades de segurança comuns em contratos inteligentes e ofereceu algumas recomendações de segurança. Este artigo organiza o conteúdo de sua apresentação a seguir, para referência dos entusiastas de Finanças Descentralizadas.

De acordo com estatísticas, em 2022, ocorreram mais de 300 incidentes de segurança em blockchain, totalizando um valor de 4,3 bilhões de dólares.

A seguir está uma análise detalhada de 8 casos típicos, nos quais a maioria das perdas ultrapassa 100 milhões de dólares.

Ronin Bridge

Revisão do Evento:

• Em 23 de março de 2022, a sidechain do Axie Infinity, Ronin Network, foi invadida, resultando no roubo de 173.600 ETH e 25.500.000 USD, totalizando cerca de 590 milhões de dólares.
• O Departamento do Tesouro dos EUA apontou que o grupo de hackers Lazarus da Coreia do Norte está relacionado a este incidente.
• De acordo com relatos, hackers contataram e enganaram um funcionário da Sky Mavis através do LinkedIn, obtendo acesso ao sistema.

Este ataque pertence à típica APT( Ameaça Persistente Avançada). O grupo de hackers utiliza métodos como engenharia social para primeiro controlar um computador dentro da organização-alvo como um ponto de salto, infiltrando-se mais profundamente e, finalmente, alcançando o objetivo do ataque.

O evento expôs a fraca consciência de segurança dos funcionários da empresa e problemas no sistema de segurança interno.

Wormhole

Revisão do Evento:

• O código de verificação de assinatura do contrato central do Wormhole na Solana contém um erro, permitindo que atacantes forjem mensagens de "guardião" para cunhar ETH embalado pelo Wormhole, resultando em uma perda de cerca de 120 mil ETH.
• A Jump Crypto investiu 120 mil ETH para cobrir perdas.

O Wormhole encontrou principalmente problemas a nível de código, utilizando algumas funções obsoletas. Recomenda-se aos desenvolvedores que utilizem a versão mais recente, para evitar problemas semelhantes.

Nomad Bridge

Revisão do Evento:

• Durante a inicialização do contrato Replica da ponte Nomad, a raiz de confiança foi definida como 0x0, e a raiz antiga não foi invalidada rapidamente, permitindo que atacantes pudessem construir mensagens arbitrárias para roubar fundos, resultando em perdas superiores a 190 milhões de dólares.
• Vários endereços participaram do ataque, incluindo robôs MEV, hackers e hackers de chapéu branco.

Este é um caso típico. Existem problemas nas configurações de inicialização, que permitem que transações válidas sejam executadas repetidamente. Após serem descobertos por robôs MEV, ataques de transação foram amplamente divulgados, resultando em um evento de roubo.

As características de código aberto do ecossistema de contratos inteligentes facilitam a análise e descoberta de vulnerabilidades por hackers. Uma vez que um projeto apresenta uma vulnerabilidade, basicamente é declarado como falido.

Beanstalk

Revisão do Evento:

• Beanstalk Farms sofreu um ataque de empréstimo relâmpago, com perdas de cerca de 182 milhões de dólares.
• O atacante lucrou mais de 80 milhões de dólares, incluindo cerca de 24830 ETH e 36000000 BEAN.
• A razão do ataque é a falta de intervalo de tempo entre a votação e a execução da proposta, permitindo que o atacante execute diretamente a proposta maliciosa.

Processo de ataque:

1. Comprar tokens antecipadamente para obter qualificação para propostas, criar contratos de propostas maliciosas.
2. Obter grandes quantidades de tokens para votar através de empréstimos relâmpago
3. Execução direta de contratos maliciosos, completando a arbitragem

Este caso expôs os potenciais riscos de um mecanismo de governança puramente descentralizado. Recomenda-se que o projeto implemente mecanismos de revisão de propostas, limiares de votação e medidas de segurança como bloqueios de tempo.

Wintermute

Revisão do Evento:

No dia 21 de setembro de 2022, a Wintermute confirmou que sofreu um ataque de hackers. Eles usaram a ferramenta Profanity para criar endereços de carteira de números bonitos para otimizar as taxas de transação. Embora tenham acelerado a descontinuação das chaves antigas após descobrir a vulnerabilidade no Profanity, um erro interno impediu a remoção completa dos direitos de assinatura dos endereços afetados, resultando no roubo de fundos.

Ao usar ferramentas de código aberto, deve-se avaliar adequadamente os riscos de segurança. Especialmente no que diz respeito a ferramentas de gestão de chaves, deve-se ter ainda mais cautela.

Harmony Bridge

Revisão do Evento:

• A ponte cross-chain Horizon teve perdas superiores a 100 milhões de dólares, incluindo mais de 13.000 ETH e 5.000 BNB.
• O fundador da Harmony afirmou que o ataque foi causado pela divulgação da chave privada.
• A empresa de análise de blockchain acredita que o grupo de hackers norte-coreano Lazarus Group pode ser o responsável.

Se realmente for obra de um grupo de hackers da Coreia do Norte, a técnica de ataque pode ser semelhante ao incidente do Ronin Bridge. Nos últimos anos, os grupos de hackers da Coreia do Norte têm estado muito ativos em ataques à indústria de criptomoedas.

Ankr

Revisão do Evento:

• Após a atualização do contrato Ankr, os atacantes criaram do nada 100 trilhões de aBNBc através do método de cunhagem.
• O atacante trocou parte do aBNBc por 5 milhões de USDC, fazendo o preço do aBNBc despencar.
• Os arbitradores aproveitaram o mecanismo de atraso de preços do protocolo de empréstimo Helio para lucrar mais de 17 milhões de dólares.
• Ankr compromete-se a compensar 15 milhões de dólares.

Investigação subsequente revelou que o incidente foi causado por um funcionário demitido. Os problemas expostos incluem:

• O contrato-chave é controlado por uma conta EOA e não por multi-sig.
• Funcionários-chave podem controlar a chave privada do Deployer
• Existem falhas na gestão de segurança interna

Manga

Revisão do Evento:

• O atacante utilizou 10 milhões de USDT para fazer operações de long e short na plataforma Mango, enquanto elevava o preço do MNGO em outras plataformas.
• O preço do MNGO subiu de 0,0382 dólares para 0,91 dólares, com os atacantes a lucrar 420 milhões de dólares.
• O atacante acabou por emprestar cerca de 115 milhões de dólares em ativos.
• O atacante propôs usar fundos do tesouro para reembolsar os créditos inadimplentes do protocolo, com a condição de que não haja investigação criminal.
• Em dezembro de 2022, Avraham Eisenberg, que se autodenominava atacante, foi preso em Porto Rico.

Isto pode ser visto tanto como um evento de segurança, quanto como uma atividade de arbitragem. A principal questão reside na vulnerabilidade do modelo de negócios, onde os preços de criptomoedas menores podem ser facilmente manipulados, dificultando a gestão das posições da plataforma.

Os desenvolvedores do projeto devem considerar cuidadosamente uma variedade de cenários extremos para testes. Os usuários devem também avaliar completamente os riscos ao participar do projeto, não se devendo focar apenas nos lucros.