RESUMO
🔹 Mais de US$ 27 trilhões em criptomoedas foram roubados desde 2012, de acordo com a SlowMist, uma empresa de segurança blockchain baseada em Xiamen, com os três principais tipos de ataques sendo golpes, ataques de empréstimo instantâneo e contratos vulnerabilidades.
🔹 Algumas falhas de segurança do Web3 decorrem da interação das arquiteturas Web3 e Web 2.0, enquanto outras são inerentes ao funcionamento de protocolos como blockchain e outras funções.
🔹 Os muitos ataques e o número de vulnerabilidades causadas pela falta de patches de segurança deram origem aos serviços de segurança de contratos inteligentes. Esses serviços de contrato inteligente fornecem serviços de monitoramento, detecção de problemas, análise de eventos de contrato em tempo real e alertas.
🔹 Os firewalls Web3 e os serviços de segurança de contratos inteligentes atenuam as falhas de segurança criptográfica, filtrando o tráfego malicioso, auditando contratos inteligentes e fornecendo alertas e avisos de segurança.
Introdução
O crescente número de golpes criptográficos de alto nível destacou a necessidade de soluções de segurança Web3. Celebridades foram alvo, incluindo Bill Murray e Seth Green nos Estados Unidos, bem como a sensação taiwanesa do Mandopop Jay Chou, que perdeu um valioso Bored Ape Yacht Club NFT para um site de phishing em abril. Mais de US$ 27 trilhões em criptomoedas foram roubados desde 2012, de acordo com a SlowMist, uma empresa de segurança blockchain baseada em Xiamen. Os três principais ataques foram golpes, ataques de empréstimo instantâneo e vulnerabilidades de contrato. Muitos ataques de contratos inteligentes ocorreram ao longo dos anos, custando às vítimas grandes somas de dinheiro.
Por outro lado, os hacks DAO e Parity Wallet são bem conhecidos. O contrato inteligente DAO continha falhas que permitiam aos invasores roubar fundos da rede. Por causa da falha, o hacker poderia solicitar fundos do contrato inteligente antes que o saldo fosse atualizado.
O que são Web3 Firewalls?
A mudança da Web 1.0 para a Web 2.0 expôs usuários e empresas a várias novas ameaças à segurança. Como qualquer usuário pode publicar conteúdo na Internet, entradas não confiáveis e maliciosas podem comprometer sites, vazar dados e infectar bancos de dados com mais facilidade. À medida que as pessoas começam a explorar o novo mundo da Web3, surge um novo conjunto de vulnerabilidades de segurança, algumas das quais elas podem nunca ter encontrado antes. Um firewall Web3 é um dispositivo de segurança de rede web3 que visa auxiliar as empresas no combate a ataques cibernéticos que frequentemente visam seus produtos e serviços neste novo terreno.
Riscos de segurança Web3
Algumas falhas de segurança do Web3 decorrem da interação das arquiteturas Web3 e Web 2.0, enquanto outras são inerentes ao funcionamento de protocolos como blockchain e outras funções. Exemplos de riscos de segurança do Web3 incluem:
Falta de criptografia
O Web3 é totalmente descentralizado em teoria e qualquer nó conectado na rede pode interagir diretamente com os dados armazenados. Na prática, os front-ends de aplicativos Web3 continuarão a depender das tecnologias Web 2.0 com as quais os terminais de usuário podem interagir facilmente. A maioria dos front-ends de aplicativos Web3 usa consultas de API para o back-end Web3 para lógica de negócios e armazenamento de dados.
Muitas consultas da API Web3 atualmente não são assinadas criptograficamente. Isso os expõe a ataques no caminho, interceptação de dados e outros ataques, assim como o uso de aplicativos HTTP Web 2.0 não criptografados e não assinados expõe os usuários a vazamento de dados e ataques no caminho.
Hack de contrato inteligente
Contratos inteligentes, como qualquer outro código, podem ter falhas de segurança significativas que expõem dados do usuário ou, em muitos casos, fundos a vulnerabilidades. Em dezembro de 2021, defeitos em contratos inteligentes permitiram que invasores roubassem aproximadamente US$ 31 milhões em moeda digital. Em maio de 2022, uma falha no algoritmo TerraUSD fez com que a criptomoeda perdesse cerca de US$ 50 bilhões em valor.
Preocupação com a privacidade
Em contraste com o modelo Web 2.0, onde o acesso aos bancos de dados pode ser altamente restrito, os dados em um blockchain podem ser armazenados e acessados por qualquer nó conectado. Dependendo dos dados armazenados, isso gera muitas preocupações de segurança e privacidade. Mesmo que seja anonimizado durante o trânsito, estudos mostram que nenhum dado é verdadeiramente anônimo.
Ataque de protocolo bridge
Web3 não é totalmente baseado em blockchain. Blockchain, como a Internet, é composto de camadas construídas umas sobre as outras. Um exemplo é o uso generalizado de "pontes", que são protocolos que permitem transferências entre blockchains. Esses protocolos também são vulneráveis a ataques. Por exemplo, em fevereiro de 2022, ladrões usaram a ponte Wormhole para roubar aproximadamente US$ 320 milhões em criptomoedas.
Roubo de carteira e conta
A mídia está repleta de histórias sobre criptomoedas ou ataques de carteira NFT. Isso é mais comumente realizado por invasores que obtêm acesso às chaves privadas dos usuários ou enganam os usuários para que as entreguem por meio de phishing. Se essas chaves privadas forem mantidas localmente no dispositivo de um usuário, elas poderão ser roubadas fisicamente.
O que são contratos inteligentes e serviços de segurança de contratos inteligentes?
Um contrato inteligente é um protocolo de transação projetado para executar, controlar ou documentar eventos e ações legalmente relevantes seguindo os termos de um contrato ou acordo. O contrato inteligente oferece muitas vantagens sobre o sistema legado, mas também representa oportunidades para invasores que buscam lucrar com as vulnerabilidades. Blockchains públicos exacerbam a questão de garantir contratos inteligentes. O código de contrato implantado geralmente não pode ser alterado para corrigir falhas de segurança. Além disso, ativos roubados de contratos inteligentes são complicados de rastrear e, na maioria dos casos, irresgatáveis devido à imutabilidade. Embora os números variem, estima-se que o valor total roubado ou perdido devido a falhas de segurança em contratos inteligentes ultrapasse US$ 1 bilhão.
Esses ataques e o número de vulnerabilidades causadas pela falta de patches de segurança deram origem a serviços de segurança de contratos inteligentes. Esses serviços de contrato inteligente fornecem monitoramento, detecção de problemas, análise de eventos de contrato em tempo real e alertas. Quando as partes do projeto precisam atualizar contratos, alguns serviços de segurança de contratos inteligentes fornecem ferramentas sistemáticas de suporte técnico, como atualizações de contratos e migrações entre cadeias.
Como os firewalls Web3 e os serviços de segurança de contratos inteligentes mitigam as falhas de segurança cripto
Os firewalls Web3 e os serviços de segurança de contratos inteligentes mitigam as falhas de segurança criptográfica de várias maneiras. Algumas dessas formas incluem:
1. Um escudo entre os aplicativos Web3 e a Internet:
Quando um firewall Web3 é implantado, ele cria uma barreira entre o aplicativo Web3 e a Internet. Enquanto um servidor proxy protege a identidade de uma máquina cliente usando um intermediário, um firewall Web3 é um tipo de proxy reverso que protege o servidor contra exposição, exigindo que os clientes passem pelo firewall antes de chegar ao servidor.
2. Filtragem de tráfego malicioso:
Um firewall Web3 opera de acordo com um conjunto de regras conhecidas como políticas. Essas políticas visam proteger contra vulnerabilidades de aplicativos, filtrando o tráfego malicioso.
3. Alerta e aviso de risco:
os firewalls Web3 auxiliam as empresas Web3 no combate a ataques cibernéticos, permitindo que provedores de carteira e custodiantes forneçam aos usuários avisos em tempo real e contexto de transação.
4. Auditoria de segurança de contratos inteligentes
Como outros aplicativos de software, contratos inteligentes precisam de auditorias especializadas para solucionar falhas de segurança. Os serviços de segurança de contratos inteligentes realizam essa auditoria para realizar avaliações de segurança periódicas, evitar erros dispendiosos e garantir que os contratos estejam funcionando de maneira ideal.
Uma auditoria de contrato inteligente é um exame minucioso, linha por linha, do código subjacente de um contrato. A auditoria visa detectar e eliminar todas as vulnerabilidades potenciais e confirmar as interações confiáveis do contrato.
Exemplos de firewalls Web3 e serviços de segurança de contrato inteligente
Blowfish
Blowfish é um firewall web3 e provedor de serviços de segurança que aborda os riscos de segurança cibernética associados às interações do usuário final com blockchains. Devido à opacidade das transações blockchain, as transações maliciosas aumentaram no espaço. A Blowfish está desenvolvendo um serviço que verifica as transações propostas em busca de intenções maliciosas em nome de carteiras, custodiantes e usuários individuais antes de assiná-las e enviá-las à rede, adicionando uma camada extra de segurança que pode proteger os usuários contra ataques de phishing e dApps maliciosos ou sequestrados.
Hacken
Hacken é uma empresa de segurança cibernética fundada em 2017 para tornar a Web3 um lugar mais seguro. Ele fornece um conjunto competitivo de serviços profissionais de segurança cibernética em todo o mundo para empresas tecnológicas e comunidades criptográficas.
Certik
CertiK é um provedor de serviços de segurança de contratos inteligentes e web3 fundado em 2018. Ele utiliza a melhor tecnologia de verificação formal e IA da categoria para proteger e monitorar contratos inteligentes, blockchains e aplicativos Web3.
OpenZeppelin
OpenZeppelin fornece produtos de segurança para desenvolvimento, automação e operação de aplicativos descentralizados. É um dos principais provedores de tecnologia e serviços de segurança cibernética criptográfica e tem a confiança dos projetos DeFi e NFT mais populares. O OpenZeppelin, fundado em 2015 para proteger a economia aberta, protege dezenas de bilhões de dólares em fundos para as principais organizações criptográficas, como Coinbase, Ethereum Foundation, Compound, Aave, the graph e muitas outras.
Conclusão
O número cada vez maior de projetos Web3, contratos inteligentes e DeFi controlando grandes fundos tornou as medidas de segurança essenciais. Por mais práticos e confiáveis que sejam esses contratos inteligentes, eles podem ter sérias falhas de segurança se não forem examinados, auditados e monitorados minuciosamente. Da mesma forma, muitas consultas da API Web3 atualmente não são assinadas criptograficamente, expondo-as a ataques. Os firewalls Web3 e os serviços de segurança de contratos inteligentes atenuam essas falhas filtrando o tráfego malicioso, auditando contratos inteligentes e alertas e avisos.
Autor:
M. Olatunji, pesquisador da Gate.io.
*Este artigo constitui apenas a opinião dos autores, pesquisadores e observadores, mas não é uma sugestão de investimento. Republicar o artigo será permitido, mas a Gate.io deverá ser referenciada. Em outras situações, tomaremos as medidas pela violação de direitos autorais.