Back to Blog

Guia de Mitigação de Riscos DeFi 04: Práticas de Segurança para Equipes de Projetos DeFi

July 7, 2024
6 min read

Esta série de artigos, extraída da "Edição Especial de Segurança 05" co-curada pela OKX Web3 e BlockSec, aborda as preocupações de segurança enfrentadas por usuários de DeFi e equipes de projetos DeFi.

Q1 : Quais tipos de riscos os projetos DeFi enfrentam e como podem abordá-los?

Equipe de Segurança BlockSec : Os projetos DeFi enfrentam vários tipos de riscos, incluindo riscos de segurança de código, riscos de segurança operacional e riscos de dependências externas.

Em primeiro lugar, os riscos de segurança de código referem-se a vulnerabilidades potenciais no nível do código dos projetos DeFi. Para projetos DeFi, os contratos inteligentes são o núcleo de sua lógica de negócios (a lógica de processamento de front-end e back-end pertence ao desenvolvimento de software tradicional e é relativamente madura), e são o foco de nossa atenção e discussão, incluindo :

  • 1)Em primeiro lugar, do ponto de vista do desenvolvimento, é necessário seguir as práticas de desenvolvimento seguro de contratos inteligentes reconhecidas pelo setor, como o padrão Checks-Effects-Interactions usado para prevenir vulnerabilidades de reentrância; além disso, funcionalidades comuns devem ser implementadas usando bibliotecas confiáveis de terceiros para evitar os riscos desconhecidos de reinventar a roda.
  • 2)Em segundo lugar, testes internos completos são essenciais. Os testes são uma parte importante do desenvolvimento de software que ajuda a descobrir muitos problemas. No entanto, para projetos DeFi, apenas testes locais não são suficientes para expor problemas; são necessários testes adicionais em um ambiente próximo ao da implantação real.
  • 3)Por último, após a conclusão dos testes, contrate serviços de auditoria confiáveis de terceiros. Embora as auditorias não possam garantir 100% de ausência de problemas, auditorias sistemáticas podem ajudar muito as equipes de projeto a identificar problemas comuns de segurança, que geralmente são áreas com as quais os desenvolvedores não estão familiarizados ou que são difíceis de alcançar devido a diferentes formas de pensar. É claro que, como as empresas de auditoria variam em expertise e foco, se o orçamento permitir, recomenda-se envolver duas ou mais empresas de auditoria na prática.

Em segundo lugar, os riscos de segurança operacional surgem após o lançamento e abrangem tanto vulnerabilidades de código potenciais e não detectadas — mesmo após desenvolvimento, testes e auditorias rigorosos — quanto desafios pós-implantação, como vazamentos de chaves privadas e parâmetros de sistema configurados incorretamente. Estes podem resultar em consequências graves e perdas substanciais. As estratégias recomendadas para mitigar esses riscos incluem :

  • 1)Estabelecer um sistema robusto de gerenciamento de chaves privadas, como carteiras de hardware confiáveis ou soluções de carteira baseadas em MPC.
  • 2)Monitorar o status operacional em tempo real para detectar operações privilegiadas e o status de segurança do projeto.
  • 3)Construir um mecanismo de resposta automatizada a riscos, como o uso do BlockSec Phalcon, que pode implementar automaticamente o bloqueio quando um ataque é detectado para evitar perdas adicionais.
  • 4)Evitar riscos de ponto único em operações privilegiadas, como o uso da carteira multisig Safe{Wallet} para executar operações privilegiadas.

Em terceiro lugar, os riscos de dependências externas referem-se aos riscos trazidos pelas dependências externas do projeto, como a dependência de oráculos de preços fornecidos por outros protocolos DeFi; se o oráculo apresentar problemas, isso leva a cálculos de preços incorretos. As recomendações para lidar com riscos de dependências externas incluem :

  • 1)Escolher parceiros externos confiáveis, como protocolos de primeira linha reconhecidos no setor.
  • 2)Monitorar o status operacional, semelhante aos riscos de segurança operacional, mas o alvo de monitoramento aqui são as dependências externas.
  • 3)Construir um mecanismo de resposta automatizada a riscos, semelhante aos riscos de segurança operacional, mas os métodos de resposta podem ser diferentes, como alternar para dependências de backup em vez de pausar diretamente todo o protocolo.

Além disso, para as equipes de projetos que desejam desenvolver capacidades de monitoramento, também oferecemos alguns conselhos de monitoramento :

  • 1)Definir os pontos de monitoramento com precisão: Determinar quais estados-chave (variáveis) do protocolo precisam de monitoramento e onde monitorar é o primeiro passo para desenvolver capacidades de monitoramento. No entanto, é difícil cobrir todos os pontos de monitoramento de forma abrangente, especialmente no monitoramento de ataques; recomenda-se o uso de um mecanismo externo profissional de detecção de ataques de terceiros que tenha sido testado em situações reais.

O BlockSec Phalcon é a única plataforma de monitoramento e bloqueio de ataques do mundo com um histórico comprovado. Ele salvou mais de US$ 20 milhões em ativos em mais de 20 resgates por hackers white-hat. Saiba mais em 👇

https://blocksec.com/blog/lead-in-phalcon-s-hack-blocking-saga

  • 2)Garantir a precisão e a pontualidade do monitoramento: A precisão do monitoramento significa ter o mínimo de falsos positivos (FP) e falsos negativos (FN). Um sistema de monitoramento sem precisão é essencialmente inutilizável; a pontualidade é um pré-requisito para a resposta (por exemplo, se é possível detectar antes que um contrato suspeito seja implantado ou antes que uma transação de ataque seja colocada na cadeia), caso contrário, só pode ser usado para análise pós-evento, o que exige alto desempenho e estabilidade do sistema de monitoramento.
  • 3)É necessária uma capacidade de resposta automatizada: Com base em monitoramento preciso e em tempo real, uma resposta automatizada pode ser construída, incluindo a pausa do protocolo para bloquear ataques, etc. É necessária aqui uma estrutura de resposta automatizada personalizável e confiável para dar suporte à personalização flexível de estratégias de resposta de acordo com as necessidades da equipe do projeto e para acionar a execução automaticamente.

Em geral, o desenvolvimento de capacidades de monitoramento requer a participação de fornecedores externos profissionais de segurança.

Equipe de Segurança da Carteira OKX Web3 : As equipes de projetos DeFi enfrentam uma variedade de riscos, incluindo principalmente as seguintes categorias:

  • 1)Riscos técnicos: Incluem principalmente vulnerabilidades em contratos inteligentes e ataques cibernéticos. As medidas de proteção incluem adotar práticas de desenvolvimento seguro, contratar empresas de auditoria especializadas de terceiros para realizar auditorias abrangentes de contratos inteligentes, estabelecer programas de recompensa por bugs para incentivar hackers white-hat a descobrir vulnerabilidades e isolar ativos para melhorar a segurança dos fundos.
  • 2)Riscos de mercado: Incluem principalmente flutuações de preços, riscos de liquidez, manipulação de mercado e riscos de composabilidade. As medidas de proteção incluem o uso de stablecoins e hedge de risco para se proteger contra flutuações de preços; a utilização de mineração de liquidez e mecanismos de taxas dinâmicas para lidar com riscos de liquidez; a revisão rigorosa dos tipos de ativos suportados pelos protocolos DeFi e o uso de oráculos descentralizados para prevenir manipulação de mercado; e a inovação contínua e otimização das funções do protocolo para lidar com riscos competitivos.
  • 3)Riscos operacionais: Incluem principalmente erros humanos e riscos de mecanismos de governança. As medidas de proteção incluem estabelecer controles internos e processos operacionais rigorosos para reduzir erros humanos; usar ferramentas automatizadas para melhorar a eficiência operacional; e projetar mecanismos de governança robustos para equilibrar descentralização e segurança, como introduzir atrasos de votação e mecanismos de múltiplas assinaturas. Além disso, monitorar os projetos que entraram em funcionamento e ter planos de emergência para tomar medidas imediatas e minimizar as perdas em caso de anomalias.
  • 4)Riscos regulatórios: Incluem principalmente requisitos de conformidade legal e obrigações de Anti-Lavagem de Dinheiro (AML) / Conheça Seu Cliente (KYC). As medidas de proteção incluem contratar consultores jurídicos para garantir que o projeto esteja em conformidade com os requisitos legais e regulatórios, estabelecer políticas de conformidade transparentes e implementar ativamente medidas de AML e KYC para aumentar a confiança com usuários e autoridades regulatórias.

Q2 : Como os projetos DeFi devem avaliar e selecionar uma empresa de auditoria respeitável?

Equipe de Segurança BlockSec : Aqui estão alguns padrões simples para referência:

  • 1)Eles já auditaram projetos conhecidos: Isso indica que a empresa de auditoria é reconhecida por esses projetos renomados.
  • 2)Os projetos auditados foram atacados: Embora teoricamente uma auditoria não possa garantir 100% de segurança, a experiência prática mostra que a maioria dos projetos auditados por empresas de auditoria respeitáveis não foi atacada.
  • 3)Avaliar a qualidade da auditoria por meio de relatórios históricos: O relatório de auditoria é um sinal importante do profissionalismo da empresa de auditoria, especialmente quando o mesmo projeto de auditoria e o mesmo escopo de auditoria podem ser comparados. O foco deve ser na qualidade (gravidade) e quantidade de vulnerabilidades encontradas, e se as descobertas geralmente são aceitas pela equipe do projeto.
  • 4)Profissionais qualificados: A composição do pessoal da empresa de auditoria, incluindo sua formação educacional e experiência profissional, educação sistemática e experiência no setor são muito úteis para garantir a qualidade da auditoria.
Sign up for the latest updates
OFAC Sinaloa Cartel Sanctions: On-Chain Fund Tracing

OFAC Sinaloa Cartel Sanctions: On-Chain Fund Tracing

OFAC sanctioned a Sinaloa Cartel network for laundering fentanyl proceeds. We traced the six sanctioned addresses on-chain with MetaSleuth, and the money runs almost entirely through centralized exchange deposit addresses.

Zcash Orchard Soundness Bug Analysis | BlockSec Weekly
Security Insights

Zcash Orchard Soundness Bug Analysis | BlockSec Weekly

During the week of June 1, 2026, a critical soundness vulnerability was publicly disclosed in Zcash's Orchard shielded pool circuit, caused by a missing equality constraint in the halo2 ECC scalar multiplication gadget that could have enabled undetectable counterfeiting of ZEC within the Orchard pool through double-spending. The vulnerability, which existed for over four years since Orchard's activation in May 2022, was discovered by an AI-assisted security audit and patched through an emergency network upgrade (NU6.2). This single-event report covers the technical root cause (under-constrained ZK circuit relation), the AI-assisted discovery by researcher Taylor Hornby using Anthropic's Opus 4.8 model, the emergency response timeline, and the broader implications for the ZKP ecosystem.

Crypto Compliance Tools: A Pragmatic Purchasing Guide for VASPs

Crypto Compliance Tools: A Pragmatic Purchasing Guide for VASPs

Procurement framework for VASPs evaluating crypto compliance software. Covers AML controls, wallet screening, KYT, case management, API integration, and cost modeling, with a decision checklist for early-stage, growing, and fully licensed virtual asset service providers.