Segurança em Destaque 👀
Exploits em DeFi
- Gala Game
Em 20 de maio, a chave privada de um administrador da Gala foi roubada, e o atacante cunhou 5 bilhões de tokens GALA, trocando-os por tokens no valor de $21M na blockchain. Posteriormente, um relatório oficial da Gala indicou que a violação envolveu um contratante terceirizado e que os procedimentos internos foram corrigidos, incluindo a remoção de usuários não autorizados. Após uma investigação sobre pistas internas, a identidade do atacante foi confirmada e os ativos roubados foram totalmente devolvidos.
Relatório oficial: Gala News
Para equipes de projetos, estabelecer um sistema de monitoramento necessário para operações privilegiadas é crucial. O gerenciamento inadequado de chaves privadas representa riscos graves de ataques internos e externos para obter privilégios de administrador ou acesso a chaves privadas. Neste exemplo, utilizar o Phalcon poderia ter ajudado a evitar as perdas.
- Incidente Sonne Finance
Em 14 de maio, a Sonne Finance na Optimism foi explorada, resultando em uma perda superior a $20 milhões. A causa raiz foi uma perda de precisão no Compound V2. Embora a equipe da Sonne estivesse ciente desse problema e planejasse adicionar liquidez durante a implantação do mercado para evitá-lo, o atacante explorou uma falha. Múltiplas transações agendadas no timelock foram deixadas para qualquer pessoa executar, e o atacante executou a implantação do mercado sem adicionar liquidez, completando o exploit.
Se a Sonne tivesse usado o Phalcon, teria detectado o ataque mais cedo e limitado a perda a $3 milhões em vez de $20 milhões. Saiba mais
- TCH
Em 17 de maio, o TSC foi atacado na rede BSC, sofrendo perdas superiores a $11K devido a um problema de replay de assinatura. Os desenvolvedores devem estar cientes de pelo menos três tipos de Maleabilidade de Assinatura:
Devido às características do ECDSA, se (r, s, v) é válido, então (r, secp256k1n-s, 55-v) também é válido, pois o ecrecover do Ethereum permite ambos. Para resolver isso, a biblioteca de assinaturas OpenZeppelin restringe s para ser menor que secp256k1n/2+1. (OpenZeppelin Contracts)
Em relação ao valor de v, 0 e 27 significam o mesmo, assim como 1 e 28, sendo 27 um padrão de codificação. Algumas bibliotecas convertem 0 e 1 para 27 e 28 antes da verificação, mas o OpenZeppelin atualmente suporta apenas 27 e 28.
O OpenZeppelin anteriormente suportava dois tipos de assinaturas de bytes, uma com v como um byte separado após s, e outra com v na ordem alta de s. (Malleable Signatures)
- TonUP
Um projeto na chain TON, TonUP, anunciou que seu contrato de staking foi hackeado, planejando alocar fundos para recomprar 307.264 tokens para compensar os usuários. À medida que novos ecossistemas trazem novas oportunidades, eles também trazem a ameaça de hacks.
🫡 As transações de ataque, causas raiz e PoC dos principais ataques em maio estão todos registrados em nossa lista de Incidentes de Segurança para sua revisão.
Phishing
- Pink Drainer
O Pink Drainer anunciou seu encerramento, afirmando ter ganho o suficiente e planejando se aposentar. No entanto, sair de cena pode não ser tão simples quanto antecipam.
- Ataque de Envenenamento de Endereço de Baleia
Em 3 de maio, uma baleia sofreu um ataque de envenenamento de endereço, perdendo 1.155 WBTC no valor de aproximadamente $70 milhões. Felizmente, o atacante devolveu os fundos após esforços persistentes da comunidade. Ataques de phishing envolvem engenharia social e podem atingir até mesmo os maiores especialistas em DeFi. Fique vigilante!
Ação Legal
Em 15 de maio, o Departamento de Justiça dos EUA anunciou a prisão de dois irmãos por atacar a blockchain Ethereum e roubar $25 milhões em criptomoedas. Esses atacantes exploraram vulnerabilidades no Flashbot Relay para atacar bots MEV. Este foi um ataque altamente sofisticado, e nossa análise aprofundada está disponível aqui.
Leia o comunicado de imprensa do DOJ aqui.
Artigo do Blog
Jornada de Experiência Virtual Phalcon
😎 Pronto para uma batalha de VIDA OU MORTE contra hackers?
Convidamos você a participar da "Jornada de Experiência Virtual Phalcon" de forma GRATUITA.
Batalhe contra hackers, enfrente ataques REAIS on-chain e use nossa plataforma automatizada de bloqueio de ataques Phalcon para salvar milhões em ativos! Você está pronto para ser um herói?
MetaSuites agora suporta Solana!
A Grande Atualização MetaSuites 5.0 introduz suporte para Solana, adiciona rótulos locais entre sites e aprimora o DeBank, Arkham e Merlin Scan! Clique aqui para saber mais.
🎉🎉🎉
Temos o imenso prazer de compartilhar que nosso estimado parceiro, DeFiHackLabs, recebeu uma doação de 35.000 USDT do GCC. Este financiamento servirá como seu capital operacional inicial, apoiando seus esforços incansáveis no campo de segurança Web3 e cultivando mais talentos.
Parabéns ao DeFiHackLabs por este reconhecimento merecido e que venham mais conquistas inovadoras juntos! 👏
