Back to Blog

Fatores que Tornam a Web3 Mais Vulnerável a Ataques e Nossas Estratégias de Mitigação

Phalcon
August 30, 2023
4 min read

Em um mundo onde hacks de blockchain e exploração de capital parecem ocorrer quase semanalmente, surge a questão: Podemos efetivamente prevenir essas violações de segurança?

A BlockSec, especialista no campo de segurança de blockchain, oferece insights valiosos. Reconhecemos a complexidade do problema enquanto trabalhamos ativamente para aprimorar as medidas de segurança. BlockSec Phalcon, um de nossos produtos, fornece alertas precisos antes que transações de ataque sejam executadas e toma ações automáticas para combater os hackers.

Aqui está o fundador da BlockSec, Professor Yajin Zhou, compartilhando suas perspectivas sobre a abordagem proativa à segurança em blockchain durante um painel de monitoramento.

Considerando a frequente ocorrência de hacks e exploração de capital no blockchain quase toda semana, é realista preveni-los efetivamente?

No mundo da segurança de blockchain, a resposta é um pouco complexa. Nossa equipe trabalha constantemente em formas de identificar hacks em DeFi. Se você nos perguntar se conseguimos detectar todos os ataques em andamento, a resposta é sim. No entanto, há um porém: se rotularmos cada transação como suspeita ou um ataque, podemos encontrar todos os hacks, mas isso cria um problema. Precisamos equilibrar cuidadosamente entre falsos alarmes e ameaças reais que passam despercebidas.

Quando criamos produtos para nossos clientes e configuramos sistemas de monitoramento, precisamos garantir que nossos alertas façam sentido. Se nosso sistema gerar alertas demais, como 50, 100 ou até 200 por dia, a maioria dos usuários os ignorará porque a maioria acaba sendo falso alarme. Portanto, nosso desafio é manter esse equilíbrio de forma eficaz.

Na Blocksec, estamos trabalhando ativamente em estratégias para identificar ataques enquanto reduzimos falsos alarmes. Olhando para o futuro, com a ajuda da comunidade de segurança, esperamos identificar uma grande parcela dos ataques. Embora possamos não preveni-los todos, certamente podemos melhorar significativamente nossas capacidades de detecção.

Quais fatores específicos na Web3 a tornam mais vulnerável a ataques de segurança do que a Web2?

No mundo da segurança Web3, alguns aspectos se destacam e podem tornar a Web3 mais vulnerável a ataques em comparação com a Web2.

  • Em primeiro lugar, a Web3 é muito aberta. Tudo, como contratos inteligentes e código-fonte, está disponível publicamente para que todos vejam. Essa abertura pode facilitar tanto para pessoas comuns quanto para atacantes identificar vulnerabilidades. Em contraste, sistemas Web2, como os de bancos tradicionais, mantêm seu código oculto, tornando muito mais difícil encontrar brechas.

  • Em segundo lugar, algumas partes do blockchain, como empréstimos relâmpago (flash loans), de fato facilitam a vida dos atacantes. Em sistemas financeiros tradicionais, os atacantes geralmente precisam de muito dinheiro, como um milhão de dólares, para executar um ataque. Mas no mundo do blockchain, eles podem usar flash loans para tomar emprestado uma grande quantia, como dez milhões de dólares, e usá-la em ataques.

  • Por último, a Web3 carece de boas ferramentas para encontrar vulnerabilidades. Sou professor universitário e já vi estudantes criando ferramentas para encontrar problemas complexos em softwares convencionais para Web2. Mas quando se trata de Web3 e contratos inteligentes, ainda há muito trabalho a ser feito. Encontrar bugs lógicos relacionados a regras de negócio é especialmente difícil. Envolve coisas como alterar entradas, entender como diferentes entradas se relacionam e usar fontes de informação confiáveis — desafios que ainda não enfrentamos completamente.

Portanto, todos esses fatores juntos tornam a Web3 um alvo tentador para atacantes, mas um lugar difícil para os protocolos se manterem seguros.

Como você vê a conexão entre monitoramento e segurança Web3? Isso pode empoderar atacantes ao mesmo tempo que oferece uma oportunidade de integrar soluções de monitoramento opcionais?

Já enfrentei desafios relacionados a abusos de áudio e transações privadas na Blocksec. Semelhante aos flashbots, esses serviços são suscetíveis ao abuso por parte de atacantes. Uma solução proposta por um colega sugere investir transações dentro de flash loans para evitar seu uso indevido. No entanto, acredito que essa solução pode não ser prática ou acessível em um mundo descentralizado.

Impedir o abuso de tais serviços por atacantes continua sendo uma questão em aberto. No entanto, há algumas ações que podemos tomar.

  • Em primeiro lugar, se um atacante for identificado, colaborar com as autoridades para compartilhar informações pode ser benéfico para verificar as identidades dos atacantes. Essa colaboração com as autoridades pode ser um passo para mitigar o problema.

  • Além disso, no futuro, implementar sistemas de eventos baseados na comunidade dentro das transações pode ser útil. Ao incorporar mecanismos descentralizados baseados na comunidade, podemos atrasar transações que pareçam maliciosas.

Embora essas medidas possam não resolver completamente o problema, elas podem ajudar a enfrentar os desafios atuais que enfrentamos.

Você poderia recomendar alguma ferramenta ou recurso projetado especificamente para detectar falhas de segurança em aplicações web3?

Quando se trata de recomendações, acredito que explorar o DeFi Hack Labs é um excelente ponto de partida para a transição da segurança web2 para web3.

Este recurso oferece uma riqueza de transações de hacks passados que podem ser analisadas para obter insights sobre os motivos e métodos por trás desses ataques. Ao compreender as causas subjacentes e os gatilhos desses hacks, é possível desenvolver ferramentas para analisar e detectar ataques semelhantes no ecossistema web3. Considere utilizar ferramentas de análise estática e dinâmica, que podem ser desenvolvidas de forma independente ou com base em soluções existentes. Melhorar e expandir continuamente seu conhecimento nessa área será fundamental.

Você poderia explicar o processo de front-running de transações maliciosas e qual seria a configuração de infraestrutura necessária?

Em nossa experiência com transações de ataque via front-running, o processo envolve a configuração de infraestrutura para monitorar as transações do pool de memória (memory pool).

Um aspecto crucial é desenvolver um sistema automatizado capaz de sintetizar rapidamente transações de front-running. Isso envolve replicar os comportamentos de ataque dos contratos maliciosos dentro de seus próprios contratos inteligentes. Torna-se essencial substituir variáveis críticas, como trocar o endereço do ataque pelo seu próprio endereço. Além disso, ter uma infraestrutura responsiva é crucial para garantir a execução imediata assim que sua transação estiver no blockchain.

Em conclusão, a expertise da BlockSec no âmbito da segurança de blockchain reflete nosso compromisso em enfrentar os desafios em constante evolução da Web3. A abordagem da BlockSec combina inovação tecnológica com colaboração e envolvimento da comunidade, garantindo um ecossistema de blockchain mais seguro para todos os usuários.

Junte-se à nossa lista de espera e seja o primeiro a experimentar nossos serviços excepcionais!

Sign up for the latest updates
Sanções do OFAC ao Cartel de Sinaloa: Rastreamento de Fundos On-Chain

Sanções do OFAC ao Cartel de Sinaloa: Rastreamento de Fundos On-Chain

Rede do Cartel de Sinaloa sancionada pelo OFAC por lavagem de recursos do fentanil. Rastreamos os seis endereços sancionados com MetaSleuth; o dinheiro flui quase inteiramente por depósitos em exchanges centralizadas.

Ferramentas de Conformidade para Cripto: Um Guia Prático de Compra para VASPs

Ferramentas de Conformidade para Cripto: Um Guia Prático de Compra para VASPs

Estrutura de aquisição para VASPs que avaliam software de conformidade cripto. Abrange controles AML, rastreamento de carteiras, KYT, gestão de casos, integração de API e modelagem de custos, com checklist para provedores em estágio inicial, crescimento e licenciados.

Guia VASP: Desenvolvendo um Software de Conformidade em Criptomoedas do Zero

Guia VASP: Desenvolvendo um Software de Conformidade em Criptomoedas do Zero

Guia técnico para VASPs criando infraestrutura de compliance cripto. Aborda pipelines KYT, relatórios STR/SAR multijurisdicionais, pontuação de risco automatizada, sincronização de API cross-border e envio regulatório simplificado.