À medida que o setor DeFi continua a atrair dinheiro e usuários, os maus atores de todo o mundo continuam a vê-lo como um alvo atraente, maduro para a colheita e mal protegido.
Nos últimos meses, tenho acompanhado algumas das explorações mais notáveis dos protocolos DeFi, e pelo menos sete delas parecem ser resultado apenas de falhas de contrato inteligente.
Por exemplo, hackers atacaram e roubaram o Wormhole, roubando mais de US$ 300 milhões, Qubit Finance (US$ 80 milhões), Meter (US$ 4.4 milhões), Deus (US$ 3 milhões), TreasureDAO (mais de 100 NFTs) e, por último, Agave e Hundred Finance que, juntos, , perdeu US $ 11 milhões no total. Todos esses ataques resultaram no roubo de quantias bastante significativas, causando grandes danos aos projetos.
Muitos dos protocolos direcionados sofreram uma desvalorização de sua criptomoeda, desconfiança dos usuários, críticas em relação à segurança de DeFi e contratos inteligentes e consequências negativas semelhantes.
Que tipos de exploits ocorreram durante os ataques?
Naturalmente, cada um desses casos é único, e diferentes tipos de exploits foram usados para lidar com cada projeto individual, dependendo de suas vulnerabilidades e falhas. Os exemplos incluem erros de lógica, ataques de reentrada, ataques de flashloan com manipulação de preços e muito mais. Acredito que isso seja o resultado dos protocolos DeFi se tornarem mais complexos e, à medida que isso acontece, a complexidade do código torna cada vez mais difícil eliminar todas as falhas.
Além disso, notei duas coisas ao analisar cada um desses incidentes. A primeira é que os hackers conseguiram se safar com enormes quantias todas as vezes – milhões de dólares em criptomoedas.
Esse “dia de pagamento” incentiva os hackers a gastarem o tempo necessário estudando os protocolos, até meses de cada vez, pois sabem que a recompensa valerá a pena. Isso significa que os hackers são motivados a gastar muito mais tempo procurando falhas do que os auditores.
A segunda coisa que se destacou é que, em alguns casos, os hacks eram realmente extremamente simples. Tome o ataque Hundred Finance como exemplo. O projeto foi atingido usando um bug bem conhecido que normalmente pode ser encontrado em Compound forks se um token for adicionado ao protocolo. Tudo o que o hacker precisa fazer é esperar até que um desses tokens seja adicionado ao Hundred Finance. Depois disso, basta seguir alguns passos simples para usar o exploit para chegar ao dinheiro.
O que os projetos DeFi podem fazer para se proteger?
Seguindo em frente, a melhor coisa que esses projetos podem fazer para se proteger de maus atores é focar nas auditorias. Quanto mais aprofundado, melhor, e conduzido por profissionais experientes que sabem no que prestar atenção. Mas, há outra coisa que os projetos podem fazer, antes mesmo de recorrer às auditorias, que é garantir que tenham uma boa arquitetura criada por desenvolvedores responsáveis.
Isso é especialmente importante, pois a maioria dos projetos de blockchain é de código aberto, o que significa que seu código tende a ser copiado e reutilizado. Ele acelera as coisas durante o desenvolvimento, e o código é gratuito.
O problema é se ele for falho e for copiado antes que os desenvolvedores originais descubram as vulnerabilidades e as consertem. Mesmo que eles anunciem e implementem a correção, aqueles que a copiaram podem não ver as notícias e seu código permanece vulnerável.
Quanto as auditorias podem realmente ajudar?
Contratos inteligentes funcionam como programas executados na tecnologia blockchain. Como tal, é possível que eles sejam falhos e que contenham bugs. Como mencionei antes, quanto mais complexo o contrato - maiores as chances de que uma falha ou duas escapassem das verificações dos desenvolvedores.
Infelizmente, existem muitas situações em que não há uma solução fácil para corrigir essas falhas, e é por isso que os desenvolvedores devem dedicar seu tempo e garantir que o código seja feito corretamente e que as falhas sejam detectadas imediatamente ou pelo menos o mais cedo possível.
É aí que entram as auditorias, pois se você testar o código e documentar o progresso de seu desenvolvimento e dos testes adequadamente, poderá se livrar da maioria dos problemas logo no início.
Obviamente, mesmo as auditorias não podem fornecer 100% de garantia de que não haverá problemas com o código. Ninguém pode. Não é por acaso que os hackers precisam de meses para descobrir a menor vulnerabilidade que podem usar a seu favor – você não pode criar o código perfeito e torná-lo útil, especialmente quando se trata de novas tecnologias.
As auditorias reduzem o número de problemas, mas o problema real é que muitos dos projetos atingidos pelos hackers nem sequer tiveram auditorias.
Portanto, para todos os desenvolvedores e proprietários de projetos que ainda estão no processo de desenvolvimento, é importante lembrar que a segurança não vem da aprovação em uma auditoria. No entanto, certamente começa aí. Trabalhe em seu código; certifique-se de que ele tenha uma arquitetura bem projetada e que desenvolvedores habilidosos e diligentes trabalhem nele.
Certifique-se de que tudo está testado e bem documentado e use todos os recursos à sua disposição. As recompensas por bugs, por exemplo, são uma ótima maneira de ter seu código verificado por pessoas do ponto de vista dos hackers, e uma nova perspectiva de alguém procurando uma maneira de entrar pode ser inestimável para proteger seu projeto.
Postagem de convidado de Gleb Zykov da HashEx
Gleb começou sua carreira em desenvolvimento de software em um instituto de pesquisa, onde adquiriu uma sólida formação técnica e de programação, desenvolvendo diferentes tipos de robôs para o Ministério de Situações de Emergência da Rússia.
Mais tarde, Gleb trouxe sua experiência técnica para a empresa de serviços de TI GTC-Soft, onde desenvolveu aplicativos Android. Ele se tornou o desenvolvedor líder e, posteriormente, o CTO da empresa. No GTC Gleb liderou o desenvolvimento de vários serviços de monitoramento de veículos e um serviço semelhante ao Uber para táxis premium. Em 2017, Gleb tornou-se um dos cofundadores da HashEx – uma empresa internacional de auditoria e consultoria em blockchain. Gleb ocupa o cargo de Diretor de Tecnologia, liderando o desenvolvimento de soluções blockchain e auditorias de contratos inteligentes para os clientes da empresa.
Fonte: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/