De acordo com o último relatório de segurança da indústria Web3 da Gate Research, um total de 27 incidentes de segurança ocorreram em dezembro, resultando em perdas de aproximadamente US $ 4,11 milhões. Os tipos de incidentes foram diversos, com vulnerabilidades de contrato permanecendo a principal ameaça, representando 72% das perdas totais. O relatório também fornece uma análise detalhada de eventos-chave de segurança, incluindo a vulnerabilidade FEG, vulnerabilidade de contrato Clober, vulnerabilidade de contrato Clipper DEX e o ataque de empréstimo relâmpago HarryPotterObamaSonic10Inu. Vulnerabilidades de contrato e invasões de contas foram identificadas como os principais riscos de segurança do mês, destacando a necessidade contínua da indústria de fortalecer suas medidas de segurança.

Principais pontos

• Em dezembro de 2024, a indústria Web3 sofreu 27 incidentes de segurança, resultando em perdas de aproximadamente $4.11 milhões, uma diminuição significativa em comparação com o mês anterior.
• Os incidentes de segurança deste mês envolveram principalmente vulnerabilidades de contrato e invasões de conta.
• As vulnerabilidades do contrato continuam a ser uma grande ameaça, representando 72% das perdas totais nos incidentes de segurança da indústria de criptomoedas.
• A maioria das perdas ocorreu em grandes blockchains, incluindo BSC, Ethereum, Cardano e Base.
• Os principais incidentes deste mês incluíram a vulnerabilidade de segurança FEG (perda de $1 milhão), a vulnerabilidade do contrato Clober (perda de $500.000), a vulnerabilidade do contrato Vestra DAO (perda de $500.000), o hack da conta Moonhacker (perda de $320.000) e o ataque flash loan HarryPotterObamaSonic10Inu (perda de $243.000).

Visão geral de incidentes de segurança

De acordo com dados da Slowmist, dezembro de 2024 registrou um total de 27 incidentes de hacking, resultando em perdas de US$ 4,11 milhões. Os ataques envolveram principalmente vulnerabilidades de contratos, hacks de contas e outros métodos. Comparado a novembro, tanto o número de incidentes quanto as perdas totais viram uma queda significativa, indicando que as medidas de segurança e a conscientização da indústria melhoraram. As vulnerabilidades de contrato permanecem como a principal causa dos ataques, com nove incidentes resultando em mais de US$ 2,98 milhões em perdas, ou 72% do total. As contas oficiais X e os sites de projetos de criptomoedas continuam sendo os principais alvos dos hackers [1].

A distribuição dos incidentes de segurança nas blockchains públicas deste mês revela que a maioria das perdas concentrou-se em várias blockchains maduras e populares, particularmente Ethereum e Base, com perdas de US$ 2,01 milhões e US$ 950.000, respectivamente. Isso destaca que, apesar da segurança fundamental das blockchains públicas, as vulnerabilidades na camada de aplicação e nos contratos inteligentes ainda representam riscos significativos para os fundos dos usuários.

Vários projetos de blockchain sofreram grandes incidentes de segurança este mês, resultando em perdas financeiras significativas. Os incidentes notáveis incluem a vulnerabilidade de segurança da FEG, que causou uma perda de $1 milhão; a vulnerabilidade do contrato Clober, que resultou em uma perda de $500,000; a vulnerabilidade do contrato Vestra DAO, resultando em perdas de $500,000; e a vulnerabilidade do contrato Clipper DEX, que causou uma perda de $457,000.

Principais incidentes de segurança em dezembro

De acordo com divulgações oficiais, os seguintes projetos sofreram perdas superiores a $3,22 milhões em dezembro. Esses incidentes ressaltam que as vulnerabilidades contratuais continuam representando uma ameaça significativa.

• Os atacantes exploraram uma vulnerabilidade no contrato inteligente usado pelo Clipper, manipulando a função de depósito/saque de um único ativo. Essa operação impactou as pools de liquidez nas redes Optimism e Base, causando um desequilíbrio nos ativos da pool e permitindo que os atacantes retirassem mais do que o valor depositado. O ataque resultou em uma perda de aproximadamente $457.878.
• A Vestra DAO postou no Twitter que um hacker explorou uma vulnerabilidade no contrato de staking bloqueado, manipulando o mecanismo de recompensa para adquirir recompensas excessivas além do que era devido. O incidente levou ao roubo de 73.720.000 tokens VSTR. Os tokens roubados foram gradualmente vendidos na Uniswap, causando uma perda de liquidez de cerca de $500.000 em ETH. Para proteger a economia de tokens VSTR e a estabilidade do projeto, os restantes 755.631.188 tokens VSTR foram permanentemente retirados de circulação.
• O cofre de liquidez na Clober DEX, construído na Base Network, foi atacado, resultando em uma perda de 133,7 ETH (aproximadamente $501.000). A equipe também ofereceu 20% dos fundos roubados como recompensa por identificar a vulnerabilidade, esperando recuperar os ativos restantes. No entanto, as negociações não chegaram a um consenso.
• HarryPotterObamaSonic10Inu foi alvo de um ataque de empréstimo relâmpago no Ethereum, envolvendo uma série de negociações exploratórias visando o pool de liquidez do token HarryPotterObamaSonic10Inu 2.0. O invasor obteve um lucro aproximado de $243.000 e depositou os fundos no Tornado Cash.
• O projeto FEG sofreu um ataque de vulnerabilidade de segurança, resultando em uma perda de cerca de US$ 1 milhão. A análise sugere que a causa raiz foi um problema de composabilidade ao integrar a ponte cruzada Wormhole subjacente, que é usada para mensagens e transferências de tokens entre cadeias cruzadas. A equipe suspendeu todas as transações FEG em exchanges centralizadas, e o protocolo SmartDeFi também foi pausado.

Clipper DEX

Visão geral do projeto: Clipper é uma exchange descentralizada (DEX) projetada para fornecer as melhores taxas para pequenos traders de criptomoedas (menos de $10.000). Isso é alcançado limitando a liquidez e reduzindo a perda impermanente.

Visão geral do incidente: De acordo com um relatório de análise divulgado pela Clipper, em 1º de dezembro de 2024, os atacantes exploraram uma vulnerabilidade no contrato inteligente usado pela Clipper, manipulando a função de depósito/saque de único ativo. Essa operação afetou as pools de liquidez nas redes Optimism e Base, causando um desequilíbrio nos ativos da pool e permitindo que os atacantes retirassem mais ativos do que haviam depositado. O ataque resultou em uma perda de aproximadamente $457.878.

Dentro de poucas horas, a AdmiralDAO lançou um plano de resposta de emergência, tomando rapidamente medidas para proteger os fundos restantes no protocolo e interromper o ataque. Após a resposta, nenhum fundo adicional foi afetado[2].

Recomendações pós-incidente:

• Expandir Verificações Invariantes: Implementar verificação on-chain para garantir que os invariantes da pool permaneçam consistentes durante saques de ativos únicos, semelhante às verificações aplicadas pela Clipper na última versão de seu contrato para a troca.
• Expandir a Verificação de Preço do Oracle: Integrar oráculos de preço on-chain na validação do valor do ativo para depósitos e saques, assim como a Clipper executou na última versão do seu contrato para a exchange.
• Considere o Bloqueio a Curto Prazo de Depósitos: Se novos depósitos estiverem sujeitos a um período de bloqueio que exceda a validade da assinatura do depósito (por exemplo, alguns minutos), este ataque não teria sido possível.

Vestra DAO

Visão geral do projeto: VSTR é um token desenvolvido pela comunidade NFT “CMLE” (Edição Limitada de Monstros Cripto) que oferece serviços híbridos semi descentralizados, Web2+Web3. Opera como um projeto de organização autônoma descentralizada (DAO), fornecendo soluções DeFi.

Visão geral do incidente: Em 4 de dezembro de 2024, a Vestra DAO twittou que um hacker explorou uma vulnerabilidade no contrato de staking bloqueado, manipulando o mecanismo de recompensa para adquirir recompensas excessivas além do devido. O incidente levou ao roubo de um total de 73.720.000 tokens VSTR. Os tokens roubados foram gradualmente vendidos na Uniswap, resultando em uma perda de cerca de $500.000 em liquidez ETH.

A equipe identificou rapidamente o problema e tomou uma ação imediata, adicionando a lista negra o contrato de bloqueio de participação, desativando assim as interações futuras com esses contratos. Como resultado, 755.631.188 tokens VSTR na reserva de participação foram removidos de circulação e os fundos nesses contratos não podiam mais ser retirados. Em 6 de dezembro, a equipe anunciou que, para proteger a economia do token VSTR e a estabilidade do projeto, os 755.631.188 tokens VSTR restantes seriam removidos permanentemente da circulação[3].

Recomendações pós-incidente:

• Realize Auditorias de Segurança e Otimização Abrangentes de Contratos
  Contrate uma empresa de auditoria de segurança de terceiros respeitável para revisar minuciosamente todos os contratos inteligentes, especialmente os contratos de staking e lock-up. O foco deve estar na gestão de permissões, tratamento de condições limite e segurança lógica do código. Após a auditoria, o código do contrato deve ser otimizado com base nas recomendações, e o relatório de auditoria deve ser disponibilizado publicamente para aumentar a transparência e a confiança do usuário.

• Implementar mecanismos de proteção em várias camadas e monitoramento em tempo real

• Implementar Funcionalidade de Timelock: Introduzir atrasos de tempo para operações-chave para garantir que haja tempo suficiente para pausar operações ou intervir no caso de uma anomalia.
• Introduza Sistemas de Monitoramento e Alerta em Tempo Real: Utilize análise de dados on-chain para detectar comportamentos de negociação anormais ou interações de contratos em tempo real e implemente sistemas de alerta para notificar atividades suspeitas, minimizando as possíveis perdas causadas por vulnerabilidades.

Clober Dex

Visão Geral do Projeto: Clober é uma DEX de livro de pedidos totalmente on-chain que permite correspondência de pedidos e liquidação on-chain em plataformas descentralizadas de contratos inteligentes. Com Clober, os participantes do mercado podem fazer pedidos limitados e de mercado totalmente descentralizados e sem confiança a custos gerenciáveis.

Visão Geral do Incidente:
Em 10 de dezembro de 2024, o cofre de liquidez da Clober DEX na Base Network foi atacado, resultando em uma perda de 133,7 ETH (aproximadamente $501.000). A causa raiz do ataque foi uma vulnerabilidade de reentrância na função _burn() dentro do contrato Rebalancer.

A equipe ofereceu 20% dos fundos roubados como recompensa para identificar a vulnerabilidade de segurança, desde que os ativos restantes pudessem ser devolvidos. Além disso, a equipe garantiu que nenhuma ação legal seria tomada se o atacante cooperasse. Em 31 de dezembro de 2024, a equipe afirmou que as negociações não chegaram a um consenso e o atacante havia movido os ativos roubados para o Tornado Cash. A equipe colabora com órgãos de segurança pública para rastrear as origens do atacante.

Recomendações pós-incidente:

• Segurança aprimorada de contratos inteligentes: A equipe do projeto deve fortalecer a revisão de segurança de contratos inteligentes. Todo o código deve passar por auditorias rigorosas antes da implantação, com varreduras regulares de vulnerabilidades para reduzir os riscos de ataques.
• Estratégias robustas de gestão de fundos: Implemente carteiras multi-assinatura e sistemas de armazenamento de fundos em camadas para evitar concentração excessiva de ativos em um único contrato, reduzindo assim as perdas potenciais em caso de ataque.
• Colaboração com Organizações de Segurança: A colaboração rápida com equipes de segurança de blockchain e agências de aplicação da lei pode controlar efetivamente danos e acelerar a recuperação de ativos após um incidente.

HarryPotterObamaSonic10Inu

Visão geral do projeto: HarryPotterObamaSonic10Inu é a forma definitiva de ativos criptográficos. Inspirado pelo BITCOIN, o projeto incentiva a criação de conteúdo de memes novos e divertidos. Com a propriedade cedida e a liquidez bloqueada, a comunidade em constante crescimento assumiu a liderança. Inspirado no lendário meme do Bitcoin, o projeto está desenvolvendo um site exclusivo, mercadorias exclusivas e uma plataforma de comércio eletrônico. O objetivo é criar um ecossistema onde os membros ativos da comunidade possam interagir e colaborar.

Visão Geral do Incidente:
Em 18 de dezembro de 2024, uma série de transações exploratórias visaram o pool de liquidez do token HarryPotterObamaSonic10Inu 2.0 na rede Ethereum. O atacante obteve um lucro aproximado de $243.000 e transferiu os fundos para o Tornado Cash.

Nos próximos quatro dias, o preço do token sofreu uma queda significativa de cerca de -33,42%, com a sua capitalização de mercado caindo de $245 milhões para $168 milhões[5].

Recomendações pós-incidente:

• Melhorar auditorias de segurança de contratos inteligentes e otimização
  Contrate uma organização profissional de terceiros para realizar uma auditoria de segurança abrangente dos contratos inteligentes existentes, com foco na lógica do pool de liquidez e no controle de acesso. As vulnerabilidades devem ser corrigidas e o código do contrato deve ser otimizado. Mecanismos como bloqueios de tempo e limitação de taxa devem ser adicionados para impedir operações maliciosas em um curto período de tempo.

• Integrar Oráculos de Preço On-Chain
  Integre oráculos on-chain confiáveis ​​para verificar os preços dos ativos durante transações de depósito e retirada, garantindo que as operações estejam alinhadas com os valores de mercado reais e evitando que os fundos sejam manipulados por meio de manipulação de preços.

• Aumentar a Transparência e Confiança da Comunidade
  Publicar os resultados da investigação do incidente e do plano de remediação, garantindo a transparência das informações e construindo confiança dentro da comunidade de usuários.

FEG

O token FEG é um token de governança deflacionário dentro do ecossistema FEG, que inclui uma exchange descentralizada e mecanismos de incentivo de renda passiva. Seu objetivo é reformular o modelo operacional de redes de negociação descentralizadas. O token está disponível nas redes Ethereum e Binance Smart Chain.

Visão Geral do Incidente:
Em 29 de dezembro de 2024, o projeto FEG foi alvo de um ataque de vulnerabilidade de segurança, resultando em uma perda de aproximadamente US $1 milhão. A causa raiz do incidente parece ser um problema de composabilidade relacionado à integração da ponte intercadeia Wormhole subjacente, que facilita a mensagens e transferências de tokens entre cadeias. A Wormhole Foundation posteriormente esclareceu que não foram encontrados problemas no protocolo Wormhole e que o ataque não estava relacionado ao Wormhole.

Após o incidente, a equipe suspendeu todas as transações FEG em exchanges centralizadas e iniciou uma investigação abrangente. Embora o código do contrato SmartDeFi não tenha sido diretamente afetado, o protocolo SmartDeFi também foi pausado como precaução. No entanto, todos os projetos no protocolo permaneceram seguros até agora[6].

Recomendações Pós-Incidente:

• Realize uma Auditoria de Segurança Abrangente: Contrate uma organização profissional de terceiros para realizar uma auditoria de segurança completa dos contratos inteligentes e do código da plataforma, com foco no controle de acesso, falhas lógicas e vulnerabilidades de código. Com base nos resultados da auditoria, trate e corrija prontamente quaisquer problemas identificados e torne o relatório de auditoria público para aumentar a confiança do usuário.
• Estabelecer um Programa de Divulgação de Vulnerabilidades e Recompensas: Iniciar um programa contínuo de recompensas por bugs para incentivar pesquisadores de segurança e hackers éticos a identificar e relatar possíveis vulnerabilidades. Isso ajudará a abordar vulnerabilidades rapidamente para reduzir os riscos de segurança futuros.
• Aprimorar os mecanismos de proteção de ativos e compensação de usuários: Desenvolver sistemas de proteção de ativos em camadas, como monitoramento em tempo real de transações anormais, implementar funcionalidades de bloqueio de tempo e utilizar carteiras de múltiplas assinaturas. Para usuários afetados, estabelecer um plano de compensação justo e transparente para restaurar a confiança do usuário e minimizar as perdas financeiras.

Conclusão

Em dezembro de 2024, vários projetos DeFi foram alvo de vulnerabilidades de segurança, resultando na perda de milhões de dólares em ativos. Esses incidentes incluíram o ataque ao cofre de liquidez da Clober DEX, uma exploração entre cadeias causada pela integração do FEG com o Wormhole, a vulnerabilidade de staking na Vestra DAO, a manipulação da funcionalidade de saque de ativos únicos da Clipper DEX e um ataque de empréstimo instantâneo no HarryPotterObamaSonic10Inu. Esses eventos destacaram riscos críticos na segurança de contratos inteligentes, composabilidade de protocolos entre cadeias e gerenciamento de pools de liquidez. A indústria precisa urgentemente fortalecer as auditorias de contratos inteligentes, implementar monitoramento em tempo real e adotar mecanismos de proteção em várias camadas para melhorar a segurança da plataforma e a confiança do usuário. Gate.io lembra aos usuários para se manterem atualizados sobre desenvolvimentos de segurança, escolher plataformas confiáveis e aprimorar a proteção de ativos pessoais.


Referência:

1. Slowmist,https://hacked.slowmist.io/pt/statistics
2. Clipper,https://blog.clipper.exchange/clipper-dec-24-exploit-post-mortem/
3. X,https://x.com/Vestra_DAO/status/1864677381459390781
4. X,https://x.com/CloberDEX/status/1874039225001377816
5. Gate.io,https://www.gate.io/zh-tw/post/status/8242569
6. X,https://x.com/FEGtoken/status/1873265905867866294

Gate Research
Gate Research é uma plataforma abrangente de pesquisa de blockchain e criptomoedas, fornecendo aos leitores conteúdo aprofundado, incluindo análise técnica, insights quentes, revisões de mercado, pesquisa do setor, previsões de tendências e análise de políticas macroeconômicas.

Clique no Linkpara saber mais

Aviso Legal
Investir no mercado de criptomoedas envolve alto risco, e é recomendável que os usuários realizem pesquisas independentes e entendam completamente a natureza dos ativos e produtos que eles compraantes de tomar qualquer decisão de investimento.Gate.ionão é responsável por quaisquer perdas ou danos causados por tais decisões de investimento.