Revisão e Análise dos Principais Eventos de Segurança no Campo das Finanças Descentralizadas em 2022

Em 2022, os eventos de segurança em blockchain ocorreram com frequência, com estatísticas que indicam mais de 300 incidentes ao longo do ano, envolvendo um montante que chega a 4,3 bilhões de dólares. Este artigo irá analisar em detalhe 8 casos típicos, dos quais a maioria teve perdas superiores a 100 milhões de dólares, sendo altamente representativos.

Ronin Bridge

Em março de 2022, a sidechain do jogo NFT Axie Infinity, Ronin Network, foi invadida, resultando na perda de 173.600 ETH e 2.550.000 dólares, totalizando cerca de 625 milhões de dólares. De acordo com a investigação, o grupo de hackers norte-coreano Lazarus está relacionado a este incidente.

O atacante utilizou engenharia social para enganar um funcionário da Sky Mavis a baixar um aviso de admissão falso contendo malware, permitindo assim a infiltração no sistema e o controle de 5 nós de validação, culminando no ataque.

Este incidente expôs as deficiências da equipe do projeto em termos de conscientização sobre a segurança dos funcionários e do sistema de segurança interna. Também mostrou que grupos de hackers tradicionais estão gradualmente direcionando seus ataques para projetos de blockchain.

Wormhole

A ponte跨链 Wormhole foi atacada, resultando em uma perda de aproximadamente 120.000 ETH. O problema estava no código de verificação de assinatura do contrato principal do lado Solana, que permitia que os atacantes falsificassem mensagens de "guardião" para cunhar ETH embrulhado.

Esta vulnerabilidade é principalmente causada pelo uso de algumas funções obsoletas. Recomenda-se que os desenvolvedores utilizem sempre a versão mais recente da linguagem de programação e das ferramentas, para evitar problemas semelhantes.

Nomad Bridge

O protocolo de cross-chain Nomad Bridge foi atacado, resultando em perdas superiores a 190 milhões de dólares. A razão foi que a raiz de confiança foi configurada incorretamente durante a inicialização, e a antiga raiz não foi invalidada, permitindo que os atacantes construíssem mensagens arbitrárias para extrair fundos.

Hackers aproveitaram essa vulnerabilidade para enviar repetidamente dados de transação construídos, esvaziando quase todos os fundos bloqueados. Cerca de 41 endereços lucraram 152 milhões de dólares com isso, incluindo robôs MEV, outros hackers e alguns hackers de chapéu branco.

Este caso destaca a importância da configuração de inicialização dos contratos inteligentes e a complexidade dos vários participantes no ecossistema da blockchain pública.

Beanstalk

O projeto de stablecoin algorítmico Beanstalk Farms sofreu um ataque de empréstimo relâmpago, resultando em uma perda de cerca de 182 milhões de dólares. O atacante lucrou mais de 80 milhões de dólares.

O ataque explorou a vulnerabilidade do mecanismo de governança do projeto - não há intervalo de tempo entre a votação da proposta e a execução. O atacante obteve uma grande quantidade de poder de voto através de um empréstimo relâmpago e, por meio de uma proposta maliciosa, executou diretamente a operação de arbitragem.

Este evento revelou os riscos que podem existir em um mecanismo de governança puramente descentralizado, como a revisão de propostas, o peso dos votos, os bloqueios de tempo, entre outros, que precisam ser cuidadosamente projetados.

Wintermute

A empresa de market making Wintermute perdeu cerca de 160 milhões de dólares devido ao uso da ferramenta de geração de endereços com vulnerabilidades, Profanity, que resultou na quebra de suas chaves privadas.

Este caso nos alerta para a necessidade de cautela ao usar ferramentas de código aberto, sendo melhor realizar uma avaliação de segurança adequada. Isso também reflete que a busca por endereços "bonitos" pode trazer riscos de segurança.

Harmony Bridge

A ponte cross-chain Horizon da Harmony foi atacada, com perdas superiores a 100 milhões de dólares. Segundo análises, suspeita-se que tenha sido obra do grupo de hackers norte-coreano Lazarus Group.

As táticas de ataque são semelhantes ao incidente do Ronin Bridge, destacando mais uma vez a crescente ameaça de hackers em nível nacional direcionada à indústria de criptomoedas.

Ankr

Ankr enfrentou ações maliciosas de funcionários internos, resultando na criação de 100 trilhões de aBNBc do nada. O atacante retirou 5 milhões de USDC, enquanto outros arbitradores lucraram 17 milhões de dólares.

Este evento expôs graves falhas do projeto na gestão de permissões, na custódia de chaves privadas, destacando a importância de aprimorar o sistema de segurança interno.

Mango

A plataforma de negociação descentralizada Mango Markets sofreu um ataque de manipulação de mercado, resultando em uma perda de cerca de 115 milhões de dólares. Os atacantes aproveitaram os contratos perpétuos e oráculos da plataforma para lucrar ao elevar o preço do token de baixa capitalização MNGO.

Este caso demonstra que os projetos de Finanças Descentralizadas precisam considerar várias situações extremas ao projetar modelos de negócios, especialmente no que diz respeito ao controle de riscos de tokens de baixa capitalização.

De um modo geral, em 2022, os eventos de segurança em Finanças Descentralizadas foram frequentes, expondo vulnerabilidades de segurança em várias áreas, como contratos inteligentes, pontes entre cadeias e mecanismos de governança. As equipes de projeto precisam aumentar a conscientização sobre segurança e aprimorar os sistemas de controle de riscos; os usuários, por sua vez, devem participar com cautela e entender plenamente os riscos.