Você está ciente das possíveis armadilhas de segurança à espreita dentro dos NFTs? Este artigo visa lançar luz sobre algumas vulnerabilidades comuns de contratos inteligentes, muitas vezes resultando em perdas significativas dentro do ecossistema blockchain.
Exploraremos alguns métodos eficazes para detectar e mitigar essas potenciais ameaças à segurança no cenário NFT.
Identificando e entendendo vulnerabilidades de contratos inteligentes
Os contratos inteligentes formam a espinha dorsal dos NFTs, gerenciando a criação, propriedade, identificação e troca de ativos digitais únicos e insubstituíveis, tudo sem a necessidade de uma autoridade central.
No entanto, esses contratos, por mais revolucionários que sejam, têm fragilidades. Problemas de segurança de NFT podem levar a uma variedade de consequências não intencionais, desde roubo de ativos até listagens não intencionais, já que eles geralmente são alvo de explorações de código em vez dos próprios NFTs.
As vulnerabilidades de contratos inteligentes geralmente estão enraizadas em linguagens de código de alto nível, como Solidity, Vyper ou Rust. Um único erro no seu código Solidity pode dar origem a muitas vulnerabilidades NFT.
Além disso, o problema pode ser agravado quando os contratos interagem entre si, com uma única vulnerabilidade de contrato inteligente potencialmente travando todo o aplicativo ou até mesmo terceiros que dependem dele.
Problemas comumente encontrados:
Reentrância: Esse ataque ocorre quando várias transações são enviadas rapidamente para um contrato inteligente, levando a possíveis erros sendo explorados por hackers.
Negação de Serviço (DOS): Os ataques DOS geralmente envolvem tornar uma função inexecutável criando um loop infinito ou explorando o limite de gás do Ethereum.
Transbordos e subfluxos aritméticos: Esses erros estão relacionados ao processamento de dados dentro do contrato e muitas vezes podem levar a problemas significativos de segurança NFT.
Visibilidades padrão: Nos contratos inteligentes Ethereum, a visibilidade padrão das funções é pública, deixando espaço para potencial exploração por atores maliciosos.
Ilusão de entropia: Essa vulnerabilidade de contrato inteligente surge quando os desenvolvedores assumem erroneamente que a função blockhash pode fornecer números aleatórios, levando a resultados manipulados.
Autenticação Tx.Origin: Usar o comando tx.origin para autenticação pode levar a ataques de phishing, comprometendo assim o contrato inteligente.
Condições da prova: Estes ocorrem quando o resultado de uma função depende da ordem das transações, deixando espaço para exploração potencial.
Estudos de caso
Essas vulnerabilidades NFT foram exploradas em várias instâncias do mundo real, levando a perdas substanciais. Alguns exemplos incluem o seguinte:
Compromisso de contrato NFT Trader: Em 16 de dezembro de 2023, o site de negociação NFT Trader experimentou uma exploração de dois de seus contratos mais antigos, resultando no roubo de vários NFTs valiosos, incluindo Bored Apes, Art Blocks, World of Women e VeeFriends.
A vulnerabilidade nos contratos do NFT Trader foi identificada pelo fundador do delegate.cash, 0xfoobar, que pediu aos usuários da plataforma que revoguem imediatamente quaisquer permissões associadas a contratos comprometidos.
Falha de segurança na biblioteca comum de contratos inteligentes: No final de 2023, a Thirdweb, uma empresa especializada em tecnologias web3, descobriu uma grande falha de segurança de contrato inteligente em uma biblioteca de código aberto comumente usada.
Essa vulnerabilidade supostamente afetou contratos inteligentes pré-construídos, como DropERC20, ERC721, ERC1155 e AirDrop20, potencialmente colocando várias coleções de NFT em risco.
Após a descoberta, a Thirdweb iniciou uma investigação com seus parceiros de auditoria. Felizmente, eles descobriram que essa vulnerabilidade não havia sido explorada em nenhum de seus contratos inteligentes.
Como parte da resolução, a empresa resolveu o problema, presumivelmente corrigindo a vulnerabilidade NFT na biblioteca e atualizando os contratos inteligentes afetados para usar a biblioteca atualizada.
Manipulação de token AllianceBlock: Em fevereiro de 2023, o ALBT, token nativo da AllianceBlock, foi vítima de um hack da Oracle que resultou em manipulação significativa de preços.
O incidente aconteceu quando um explorador adulterou um oráculo em um contrato inteligente, permitindo que eles manipulassem os preços do ALBT e gerassem quantidades substanciais da stablecoin Bonq Euro (BEUR). Essa exploração levou a um enorme prejuízo estimado em cerca de US$ 120 milhões.
De acordo com relatos, hackers desviaram cerca de US$ 5 milhões em tokens ALBT no protocolo de empréstimo descentralizado Bonq. Em outro caso, hackers comprometeram o contrato inteligente dos protocolos e manipularam tokens AllianceBlock, drenando cerca de US$ 88 milhões em criptomoedas do sistema.
A exploração também impactou significativamente o valor do ALBT, que despencou 51% imediatamente após o incidente e mais de 65% nos dias seguintes.
Omni reentrância (julho de 2022): Em julho de 2022, a Omni, uma plataforma que opera como um mercado de dinheiro NFT, sofreu uma violação significativa devido a uma vulnerabilidade de reentrância em seus contratos Ethereum, resultando na perda de US$ 1,4 milhão.
Uma análise de segurança do hack revelou que o invasor conseguiu drenar 1.300 ETH dos fundos de testes da plataforma.
Embora a Omni tenha sido rápida em apontar que nenhum fundo dos usuários foi afetado no incidente, o evento levantou sérias questões sobre a segurança das plataformas de blockchain e as medidas que elas precisam tomar para se proteger contra esses ataques.
Ataque DDoS LooksRare (janeiro de 2022): Poucas horas após seu lançamento em 11 de janeiro de 2022, a plataforma LooksRare foi vítima de um ataque de negação de serviço distribuído, tornando o site inacessível.
Muitos usuários relataram desafios em vincular suas carteiras digitais e encontraram dificuldades ao tentar listar seus NFTs. A equipe da LooksRare agiu rapidamente para restaurar a funcionalidade do site, embora o problema relacionado à conectividade da carteira permanecesse sem solução por mais algum tempo.
Em cada um dos casos acima, o denominador comum foi a exploração de vulnerabilidades de contratos inteligentes que variaram de erros de codificação a falhas de projeto. Ele destaca a importância de uma auditoria abrangente dos problemas de segurança NFT antes de implantar qualquer contrato inteligente.
Mitigando vulnerabilidades
Embora o ecossistema cripto consista em tecnologia altamente experimental, várias medidas podem ser tomadas para melhorar a segurança de ativos digitais.
É essencial estar atento às permissões buscadas pela sua carteira ao fazer transações em uma plataforma e garantir que você não esteja concedendo inadvertidamente mais acesso do que o pretendido.
Para plataformas desconhecidas ou menos confiáveis, é aconselhável criar uma nova carteira e testar a plataforma com uma pequena quantia antes de transferir quantias maiores.
Como uma camada adicional de proteção, sincronizar sua carteira baseada em navegador com sua carteira de hardware pode fornecer uma oportunidade adicional para corrigir quaisquer erros de transação.
Auditoria de contratos inteligentes
A auditoria regular de contratos inteligentes NFT pode ajudar a identificar e abordar possíveis vulnerabilidades. Empresas especializadas em serviços de segurança nesse campo podem revisar o código de forma abrangente, analisar vulnerabilidades e fornecer relatórios detalhados.
Recompensas por bugs
Após auditorias internas, um projeto NFT pode iniciar um programa de recompensa por bugs, convidando o público a identificar e relatar vulnerabilidades no contrato em troca de recompensas.
Gerenciamento adequado de projetos
Apressar o processo de software ou mostrar um pequeno descuido pode resultar em perdas significativas. Portanto, o gerenciamento adequado de projetos é fundamental para evitar problemas de segurança NFT.
O futuro dos contratos inteligentes
Os contratos inteligentes ainda são um campo em evolução, e os avanços recentes aumentaram significativamente sua segurança. Os sistemas de comunicação entre plataformas estão se tornando mais robustos, e projetos estão implantando empresas de auditoria e sistemas de IA e bots para sinalizar transações suspeitas rapidamente.
Além disso, com o maior escrutínio das autoridades policiais e a imposição de requisitos mais rigorosos de AML e KYC aos jogadores do setor de criptomoedas, a lavagem de dinheiro pós-hack se tornou mais difícil.
Além disso, o aumento de hackers "white-hat", que ajudam a identificar vulnerabilidades sem causar perdas significativas às plataformas, também contribuiu para aumentar a segurança dos contratos inteligentes.
No entanto, mesmo com essas medidas, é essencial entender que nenhum desenvolvedor ou programador pode afirmar que seus contratos são 100% seguros. Como tal, os usuários de NFT ainda precisam pesar os riscos envolvidos cuidadosamente.
