Revisão da segurança das Finanças Descentralizadas: Análise e lições dos principais eventos de 2022

Em 2022, os eventos de segurança em blockchain ocorreram com frequência, com mais de 300 casos registrados, envolvendo um montante total de até 4,3 bilhões de dólares. Este artigo analisará detalhadamente oito casos típicos, cujas perdas financeiras em sua maioria ultrapassam 100 milhões de dólares, tendo um significado de referência importante.

Evento Ronin Bridge

No dia 23 de março de 2022, a sidechain Ronin Network de Axie Infinity foi invadida, resultando na perda de 173.600 ETH e 25.500.000 USD, totalizando cerca de 590 milhões de dólares. Os atacantes suspeitos são um grupo de hackers da Coreia do Norte chamado Lazarus.

Os atacantes contactaram funcionários da Sky Mavis através de métodos de engenharia social, implantando malware e controlando 5 nós de validação, culminando no ataque. Isso expôs a fraca consciência de segurança dos funcionários da empresa e as vulnerabilidades no sistema de segurança interna.

Este evento pertence a uma típica ameaça persistente avançada APT( ataque ). Grupos de hackers tradicionais e forças estatais começaram a atacar projetos de blockchain, obtendo diretamente benefícios económicos.

Evento Wormhole

A ponte cross-chain Wormhole foi atacada, resultando em uma perda de aproximadamente 120.000 ETH. A causa raiz foi uma falha no código de verificação de assinatura do contrato principal do lado Solana, que permitiu que os atacantes falsificassem mensagens de "guardião" para cunhar ETH embalado.

Este é principalmente um problema a nível de código, tendo sido utilizadas algumas funções obsoletas. Os desenvolvedores devem atualizar-se atempadamente para usar a versão mais recente, evitando problemas semelhantes.

Evento Nomad Bridge

O protocolo de ponte cross-chain Nomad teve a raiz de confiança configurada incorretamente durante a inicialização do contrato, e ao ser modificada, a raiz antiga não foi invalidada, permitindo que atacantes construíssem mensagens arbitrárias para extrair fundos, resultando em perdas superiores a 190 milhões de dólares.

Este é um caso típico de erro na inicialização do contrato. Uma vez descoberto, qualquer pessoa pode reproduzir transações válidas para lucrar. Muitos robôs MEV participam da disputa, transformando isso em uma "batalha pelo dinheiro".

Embora o código-fonte seja transparente, também facilita a descoberta de vulnerabilidades pelos atacantes. As equipes de projeto devem reforçar a auditoria de código para garantir a correção de etapas críticas, como a inicialização.

Evento Beanstalk

O projeto de stablecoin algorítmica Beanstalk foi atacado por um empréstimo relâmpago, resultando em uma perda de cerca de 182 milhões de dólares. A principal razão foi a falta de intervalo de tempo entre a votação e a execução da proposta, permitindo que o atacante executasse imediatamente a proposta maliciosa.

Os atacantes compram antecipadamente tokens para obter direitos de proposta, obtêm uma quantidade significativa de direitos de voto através de empréstimos relâmpago e completam a arbitragem através de propostas maliciosas. Isso expõe os riscos da governança totalmente descentralizada.

O projeto deve estabelecer um mecanismo de revisão de propostas, um período de bloqueio de votação, um bloqueio de tempo de execução e outras medidas para prevenir riscos semelhantes.

Evento Wintermute

A empresa de market making Wintermute usou ferramentas de código aberto para gerar endereços bonitos, resultando na quebra da chave privada do proprietário do contrato, com uma perda de cerca de 160 milhões de dólares.

Ao usar ferramentas de código aberto, deve-se avaliar adequadamente os riscos potenciais. Para endereços críticos, deve-se adotar uma forma de geração mais segura, evitando o uso de ferramentas de terceiros não confiáveis.

Evento Harmony Bridge

A ponte entre cadeias Harmony Horizon foi atacada, com perdas superiores a 100 milhões de dólares. Segundo análises, pode também ter sido obra de um grupo de hackers norte-coreano, com métodos de ataque semelhantes aos da Ronin Bridge.

As pontes entre cadeias, como infraestrutura básica que conecta diferentes cadeias, sempre foram um alvo de ataque prioritário para hackers. As equipes de projeto devem reforçar a segurança e aumentar a barreira contra ataques.

Evento Ankr

A chave privada do proprietário do contrato Ankr foi vazada, permitindo que hackers cunhassem uma grande quantidade de tokens e realizassem um saque de 5 milhões de USDC. Em seguida, surgiram arbitradores que utilizaram a demora do oráculo para arbitrar 17 milhões de dólares.

Isto expõe sérios problemas na gestão de segurança interna da Ankr: chaves privadas críticas são controladas por indivíduos e podem ser utilizadas mesmo após a saída dos funcionários. O projeto deve estabelecer um sistema de gestão de chaves adequado, adotando mecanismos mais seguros, como multiassinatura.

Evento Mango

Os atacantes exploraram a falha de liquidez em criptomoedas menores na plataforma Mango, lucrando 115 milhões de dólares através da manipulação de preços. Isso é mais uma falha no modelo de negócios do que uma falha de segurança.

Os promotores do projeto devem considerar plenamente vários cenários extremos e melhorar as medidas de controle de riscos. Os usuários que participam do projeto também devem avaliar completamente os riscos, não podendo apenas focar nos lucros e ignorar a segurança.

Em suma, à medida que o ecossistema Web3 se torna cada vez mais complexo, as ameaças à segurança também se diversificam. As equipes de projeto devem estabelecer um sistema de segurança completo, e os usuários também devem aumentar a conscientização sobre segurança, a fim de manter conjuntamente o desenvolvimento saudável do setor.