Esta série de artigos, extraída da "Última Estratégia de Saída" co-curada pela OKX Web3 e BlockSec, aborda as preocupações de segurança enfrentadas por usuários de DeFi e equipes de projetos DeFi.
Q1:Você poderia compartilhar alguns casos reais de riscos em DeFi enfrentados por baleias?
Equipe de Segurança BlockSec: O atrativo do DeFi reside em seus retornos de ativos estáveis e elevados, atraindo grandes players e levando projetos a aumentar a liquidez cortejando grandes baleias. Frequentemente testemunhamos baleias fazendo depósitos substanciais em DeFi, conforme noticiado na imprensa. No entanto, essas 'baleias', enquanto desfrutam de retornos consistentes, navegam por riscos inerentes. Fique atento enquanto exploramos em profundidade os cenários publicamente documentados de riscos em DeFi.
Caso Um:O Incidente PolyNetwork de 2022 e o Desafio Milionário de Discus Fish
No incidente de segurança da PolyNetwork em 2022, mais de 600 milhões de dólares americanos em ativos foram atacados. Rumores indicavam que "Discus Fish" (Co-fundador e CEO da Cobo) também tinha 100 milhões de dólares envolvidos. Embora o atacante tenha eventualmente devolvido os fundos e o incidente tenha sido resolvido satisfatoriamente, e "Discus Fish" tenha anunciado planos para estabelecer um monumento na blockchain para comemorar isso, o processo deve ter sido bastante torturante. Embora alguns incidentes de segurança terminem bem, a maioria não tem o mesmo desfecho.
Caso Dois:Choque no SushiSwap -- Perda Catastrófica de $3,3 Milhões de 0x Sifu no Ataque de 2023
A conhecida exchange descentralizada (DEX) SushiSwap foi atacada em 2023, resultando em perda significativa para um grande detentor conhecido como 0x Sifu, que perdeu mais de $3,3 milhões. Sua perda individual representou aproximadamente 90% do valor total perdido.
Caso Três:Violação da Prisma -- 80% de Perda em Quatro Carteiras, 4M Não Recuperados
No incidente de segurança da Prisma em março deste ano, a perda total chegou a 14 milhões de dólares americanos. Essas perdas originaram-se de 17 endereços de carteiras, com uma perda média de 820.000 dólares americanos por carteira. No entanto, as perdas sofridas por quatro usuários representaram 80% do total. A maioria dos ativos roubados ainda não foi recuperada.
Em última análise, o DeFi, especialmente na rede principal, possui taxas de gas não negligenciáveis, tornando a lucratividade dependente de investimentos substanciais em ativos, excluindo incentivos de airdrop. Portanto, o principal Valor Total Bloqueado (TVL) nos projetos DeFi é geralmente contribuído por 'baleias', e em alguns projetos, 2% das baleias contribuem com 80% do TVL. Quando ocorrem incidentes de segurança, essas baleias inevitavelmente suportam o peso das perdas. 'Não se pode apenas ver as baleias festejando; elas também têm seus momentos de serem atingidas.'
Equipe de Segurança da Carteira OKX Web3: Com a prosperidade do mundo on-chain, os casos de risco em DeFi enfrentados pelos usuários também estão aumentando, e a segurança on-chain é sempre a necessidade mais básica e importante dos usuários.
Caso Um:Violação da PlayDapp -- $32M em Tokens PLA Roubados por Vazamento de Chave
Violação de Chave Privada da PlayDapp: Entre 9 e 12 de fevereiro de 2024, a plataforma de jogos baseada em Ethereum PlayDapp sofreu uma violação, com o atacante explorando chaves privadas vazadas. O atacante cunhou e roubou não autorizadamente 1,79 bilhão de tokens PLA, resultando em uma perda de aproximadamente 32,35 milhões de dólares americanos. O atacante adicionou um novo operador de cunhagem nos tokens PLA, cunhou uma grande quantidade de PLA e a dispersou por múltiplos endereços on-chain e exchanges.
Caso Dois:Hack da Hedgey Finance -- $44,7M Perdidos por Exploração de Falha em Contrato
Incidente de Ataque à Hedgey Finance. Em 19 de abril de 2024, a Hedgey Finance sofreu uma vulnerabilidade de segurança significativa no Ethereum e Arbitrum, resultando em perdas de aproximadamente 44,7 milhões de dólares americanos. O atacante explorou uma falha no contrato que não possuía verificação de entrada do usuário, obtendo autorização para o contrato vulnerável e, assim, roubando ativos do mesmo.
Q2: É possível resumir os principais tipos de riscos presentes no DeFi atual?
Equipe de Segurança da Carteira OKX Web3: Com base em incidentes reais, identificamos os quatro tipos comuns de riscos no campo DeFi atual.
O primeiro tipo: Ataques de Phishing.
Ataques de phishing são um tipo comum de ataque cibernético, que engana as vítimas para que forneçam informações sensíveis, como chaves privadas, senhas ou outros dados pessoais, disfarçando-se de entidades ou indivíduos legítimos. No campo DeFi, os ataques de phishing geralmente são realizados das seguintes formas:
· Sites Falsos: Atacantes criam sites de phishing semelhantes a projetos DeFi reais, enganando usuários para assinar autorizações ou realizar transações de transferência.
· Ataques de Engenharia Social: No Twitter, atacantes usam contas de alta imitação ou sequestram contas do Twitter ou Discord de partes do projeto para publicar atividades promocionais falsas ou informações de airdrop (que são na verdade links de phishing), para realizar ataques de phishing em usuários.
· Contratos Inteligentes Maliciosos: Atacantes lançam contratos inteligentes ou projetos DeFi aparentemente atraentes, enganando usuários para autorizar direitos de acesso, roubando fundos assim.
O segundo tipo: Rugpull.
Rugpull é um golpe único no campo DeFi, referindo-se à situação em que desenvolvedores de projetos retiram fundos repentinamente e desaparecem após atrair uma grande quantidade de investimento, fazendo com que os fundos dos investidores sejam completamente levados. O Rugpull geralmente ocorre em exchanges descentralizadas (DEX) e projetos de mineração de liquidez. As principais manifestações incluem:
Retirada de Liquidez: Desenvolvedores fornecem uma grande quantidade de liquidez no pool de liquidez para atrair investimento de usuários, e então retiram repentinamente toda a liquidez, fazendo o preço do token despencar e causando pesadas perdas aos investidores.
· Projetos Falsos: Desenvolvedores criam um projeto DeFi que parece ser legítimo, enganando usuários para investir com falsas promessas e altos retornos, mas na verdade não existem produtos ou serviços reais.
· Manipulação de Permissão de Contrato: Desenvolvedores usam backdoors ou permissões em contratos inteligentes para alterar as regras do contrato ou retirar fundos a qualquer momento.
O terceiro tipo: Vulnerabilidades em Contratos Inteligentes.
Contratos inteligentes são códigos autoexecutáveis que rodam na blockchain e são imutáveis após implantados. Se houver vulnerabilidades em contratos inteligentes, podem ocorrer sérios problemas de segurança. Vulnerabilidades comuns em contratos inteligentes incluem:
· Vulnerabilidades de Reentrância: Atacantes chamam repetidamente o contrato vulnerável antes que a chamada anterior seja concluída, causando problemas com o estado interno do contrato.
· Erros Lógicos: Erros lógicos no design ou implementação do contrato, levando a comportamentos inesperados ou vulnerabilidades.
· Estouros de Inteiros: Contratos não lidam corretamente com operações de inteiros, levando a estouros ou subfluxos.
· Manipulação de Preços: Atacantes manipulam os preços dos oráculos para realizar ataques.
· Perda de Precisão: Erros de cálculo devido a problemas com a precisão de números de ponto flutuante ou inteiros.
· Negligência na Validação de Entrada: Verificação insuficiente da entrada do usuário, levando a potenciais problemas de segurança.
O quarto tipo: Riscos de Governança.
Os riscos de governança estão relacionados aos mecanismos centrais de tomada de decisão e controle de um projeto. Se explorados maliciosamente, poderiam fazer o projeto desviar de seus objetivos pretendidos, e até levar a graves perdas econômicas e crises de confiança. Os tipos comuns de riscos incluem:
· Vazamento de Chave Privada
- Algumas contas privilegiadas de projetos DeFi são controladas por EOA (Contas de Propriedade Externa) ou carteiras multi-assinatura. Se essas chaves privadas forem vazadas ou roubadas, os atacantes podem manipular contratos ou fundos à vontade.
· Ataques de Governança
-
Embora alguns projetos DeFi adotem esquemas de governança descentralizada, ainda enfrentam os seguintes riscos:
-
Manipulação de Tokens: Atacantes manipulam resultados de votação tomando emprestado um grande número de tokens de governança em um curto período.
-
Concentração de Poder: Se os tokens de governança estão altamente concentrados nas mãos de poucos, esses indivíduos podem controlar toda a tomada de decisões do projeto concentrando o poder de voto.
