Segundo o último relatório de segurança da indústria Web3 da Gate Research, ocorreram um total de 27 incidentes de segurança em dezembro, resultando em perdas de aproximadamente $4.11 milhões. Os tipos de incidentes foram diversos, sendo que as vulnerabilidades de contrato permaneceram a principal ameaça, representando 72% das perdas totais. O relatório também fornece uma análise detalhada dos principais eventos de segurança, incluindo a vulnerabilidade FEG, vulnerabilidade de contrato Clober, vulnerabilidade de contrato Clipper DEX e o ataque de empréstimo flash HarryPotterObamaSonic10Inu. As vulnerabilidades de contrato e os hacks de conta foram identificados como os principais riscos de segurança do mês, destacando a necessidade contínua da indústria de fortalecer suas medidas de segurança.

Principais pontos

• Em dezembro de 2024, a indústria Web3 sofreu 27 incidentes de segurança, resultando em perdas de aproximadamente $4.11 milhões, uma diminuição significativa em comparação com o mês anterior.
• Os incidentes de segurança deste mês envolveram principalmente vulnerabilidades contratuais e hacks de contas.
• As vulnerabilidades contratuais continuam a ser uma grande ameaça, representando 72% das perdas totais nos incidentes de segurança da indústria de criptomoedas.
• A maioria das perdas ocorreu em grandes blockchains, incluindo BSC, Ethereum, Cardano e Base.
• Os principais incidentes deste mês incluíram a vulnerabilidade de segurança FEG (perda de $1 milhão), a vulnerabilidade do contrato Clober (perda de $500.000), a vulnerabilidade do contrato Vestra DAO (perda de $500.000), o hack da conta Moonhacker (perda de $320.000) e o ataque de empréstimo instantâneo HarryPotterObamaSonic10Inu (perda de $243.000).

Visão Geral de Incidentes de Segurança

De acordo com dados da Slowmist, dezembro de 2024 registou um total de 27 incidentes de hacking, resultando em perdas de $4.11 milhões. Os ataques envolveram principalmente vulnerabilidades de contrato, hacks de contas e outros métodos. Comparando com novembro, tanto o número de incidentes como as perdas totais registaram uma diminuição significativa, indicando que as medidas de segurança e a consciencialização da indústria melhoraram. As vulnerabilidades de contrato continuam a ser a principal causa de ataques, com nove incidentes a representarem mais de $2.98 milhões em perdas, ou 72% do total. As contas oficiais X e os websites de projetos de criptomoedas continuam a ser os principais alvos dos hackers.

A distribuição de incidentes de segurança nas blockchains públicas deste mês revela que a maioria das perdas se concentrou em várias blockchains maduras e populares, particularmente Ethereum e Base, com perdas de 2,01 milhões de dólares e 950.000 dólares, respetivamente. Isso destaca que, apesar da segurança fundamental das blockchains públicas, as vulnerabilidades na camada de aplicação e nos smart contracts ainda representam riscos significativos para os fundos dos utilizadores.

Vários projetos de blockchain tiveram grandes incidentes de segurança este mês, resultando em perdas financeiras significativas. Os incidentes notáveis incluem a vulnerabilidade de segurança FEG, que causou uma perda de $1 milhão; a vulnerabilidade do contrato Clober, que levou a uma perda de $500,000; a vulnerabilidade do contrato Vestra DAO, resultando em perdas de $500,000; e a vulnerabilidade do contrato Clipper DEX, que causou uma perda de $457,000.

Principais Incidentes de Segurança em Dezembro

De acordo com divulgações oficiais, os seguintes projetos sofreram perdas superiores a $3.22 milhões em dezembro. Esses incidentes destacam que as vulnerabilidades contratuais continuam a representar uma ameaça significativa.

• Atacantes exploraram uma vulnerabilidade no contrato inteligente usado por Clipper, manipulando a função de depósito/saque de um único ativo. Essa operação afetou os pools de liquidez nas redes Optimism e Base, causando um desequilíbrio nos ativos do pool e permitindo que os atacantes sacassem mais do que o valor depositado. O ataque resultou em uma perda de aproximadamente $457,878.
• A Vestra DAO twittou que um hacker explorou uma vulnerabilidade no contrato de staking bloqueado, manipulando o mecanismo de recompensa para adquirir recompensas excessivas além do devido. O incidente levou ao roubo de 73.720.000 tokens VSTR. Os tokens roubados foram gradualmente vendidos na Uniswap, causando uma perda de liquidez de cerca de $500.000 em ETH. Para proteger a tokenomics VSTR e a estabilidade do projeto, os restantes 755.631.188 tokens VSTR foram permanentemente removidos da circulação.
• A liquidez do cofre na Clober DEX, construída na Base Network, foi atacada, resultando numa perda de 133,7 ETH (aproximadamente $501.000). A equipa também ofereceu 20% dos fundos roubados como recompensa para identificar a vulnerabilidade, esperando recuperar os ativos restantes. No entanto, as negociações não chegaram a um consenso.
• HarryPotterObamaSonic10Inu foi alvo de um ataque de empréstimo instantâneo no Ethereum, envolvendo uma série de negociações exploradoras visando o pool de liquidez do token HarryPotterObamaSonic10Inu 2.0. O atacante obteve lucro de aproximadamente $243.000 e depositou os fundos no Tornado Cash.
• O projeto FEG sofreu um ataque de vulnerabilidade de segurança, resultando em uma perda de cerca de $1 milhão. A análise sugere que a causa raiz foi um problema de composabilidade ao integrar com a ponte intercadeia Wormhole subjacente, que é usada para mensagens e transferências de tokens entre cadeias. A equipe suspendeu todas as transações FEG em exchanges centralizadas e o protocolo SmartDeFi também foi pausado.

Clipper DEX

Visão geral do projeto: o Clipper é uma bolsa descentralizada (DEX) projetada para fornecer as melhores taxas para pequenos traders de criptomoedas (menos de $10,000). Ele consegue isso limitando a liquidez e reduzindo as perdas impermanentes.

Visão geral do incidente: De acordo com um relatório de análise divulgado pela Clipper, em 1º de dezembro de 2024, os atacantes exploraram uma vulnerabilidade no contrato inteligente usado pela Clipper, manipulando a função de depósito/saque de um único ativo. Essa operação afetou as pools de liquidez nas redes Optimism e Base, causando um desequilíbrio nos ativos da pool e permitindo que os atacantes retirassem mais ativos do que haviam depositado. O ataque resultou em uma perda de aproximadamente $457.878.

Dentro de algumas horas, AdmiralDAO lançou um plano de resposta de emergência, tomando rapidamente medidas para proteger os fundos restantes no protocolo e interromper o ataque. Após a resposta, nenhum fundo adicional foi afetado[2].

Recomendações pós-incidente:

• Expandir Verificações Invariáveis: Implementar verificação on-chain para garantir que as invariantes da pool permaneçam consistentes durante as retiradas de ativos únicos, semelhante às verificações aplicadas pelo Clipper na última versão de seu contrato para a troca.
• Expandir a Verificação de Preço Oracle: Integrar oráculos de preço on-chain na validação do valor do ativo para depósitos e levantamentos, assim como a Clipper executou na versão mais recente do seu contrato para a exchange.
• Considere o Bloqueio a Curto Prazo de Depósitos: Se os novos depósitos estiverem sujeitos a um período de bloqueio que exceda a validade da assinatura do depósito (por exemplo, alguns minutos), este ataque não teria sido possível.

Vestra DAO

Visão Geral do Projeto: VSTR é um token desenvolvido pela comunidade NFT “CMLE” (Edição Limitada de Monstros Criptográficos) que oferece serviços híbridos semi descentralizados Web2+Web3. Opera como um projeto de organização autônoma descentralizada (DAO), fornecendo soluções DeFi.

Visão geral do incidente: Em 4 de dezembro de 2024, a Vestra DAO tweetou que um hacker explorou uma vulnerabilidade no contrato de stake bloqueado, manipulando o mecanismo de recompensa para adquirir recompensas excessivas além do devido. O incidente resultou no roubo de um total de 73.720.000 tokens VSTR. Os tokens roubados foram gradualmente vendidos na Uniswap, resultando em uma perda de cerca de $500.000 em liquidez de ETH.

A equipe identificou rapidamente o problema e tomou medidas imediatas, incluindo a listagem negra do contrato de bloqueio de apostas, o que desativou outras interações com esses contratos. Como resultado, 755.631.188 tokens VSTR na piscina de apostas foram removidos da circulação e os fundos nesses contratos não puderam mais ser retirados. Em 6 de dezembro, a equipe anunciou que, para proteger a economia do token VSTR e a estabilidade do projeto, os tokens restantes de 755.631.188 VSTR seriam removidos permanentemente da circulação[3].

Recomendações pós-incidente:

• Conduzir Auditorias de Segurança e Otimização de Contratos Abrangentes
  Contrate uma empresa de auditoria de segurança de terceiros confiável para revisar minuciosamente todos os contratos inteligentes, especialmente os contratos de stake e bloqueio. O foco deve estar na gestão de permissões, tratamento de condições de fronteira e segurança lógica de código. Após a auditoria, o código do contrato deve ser otimizado com base nas recomendações e o relatório de auditoria deve ser disponibilizado publicamente para aumentar a transparência e a confiança do usuário.

• Implementar Mecanismos de Proteção Multicamadas e Monitorização em Tempo Real

• Implementar funcionalidade de Timelock: Introduzir atrasos temporais para operações-chave para garantir que haja tempo suficiente para pausar as operações ou intervir no caso de uma anomalia.
• Introduzir Sistemas de Monitorização e Alerta em Tempo Real: Utilizar análise de dados on-chain para detetar comportamentos de negociação anormais ou interações de contratos em tempo real, e implementar sistemas de alerta para notificar atividades suspeitas, minimizando as perdas potenciais causadas por vulnerabilidades.

Clober Dex

Visão geral do projeto: Clober é uma DEX totalmente on-chain de livro de ordens que permite a correspondência de ordens e liquidação on-chain em plataformas descentralizadas de contratos inteligentes. Com Clober, os participantes do mercado podem fazer ordens de limite e ordens de mercado totalmente descentralizadas e confiáveis a custos gerenciáveis.

Visão Geral do Incidente:
Em 10 de dezembro de 2024, a vault de liquidez da Clober DEX na Base Network foi atacada, resultando em uma perda de 133,7 ETH (aproximadamente $501.000). A causa raiz do ataque foi uma vulnerabilidade de reentrância na função _burn() dentro do contrato Rebalancer.

A equipa ofereceu 20% dos fundos roubados como recompensa pela identificação da vulnerabilidade de segurança, desde que os restantes ativos pudessem ser devolvidos. Além disso, a equipa assegurou que não seriam tomadas medidas legais se o atacante cooperasse. Em 31 de dezembro de 2024, a equipa afirmou que as negociações não tinham chegado a um consenso, e o atacante tinha transferido os ativos roubados para o Tornado Cash. A equipa coopera com as autoridades policiais para rastrear a origem do atacante[4].

Recomendações pós-incidente:

• Segurança avançada de contratos inteligentes: A equipe do projeto deve reforçar a revisão de segurança dos contratos inteligentes. Todo o código deve passar por auditorias rigorosas antes da implantação, com verificações regulares de vulnerabilidades para reduzir os riscos de ataque.
• Estratégias robustas de gestão de fundos: Implementar carteiras multi-assinatura e sistemas de armazenamento de fundos em camadas para evitar a concentração excessiva de ativos num único contrato, reduzindo assim as perdas potenciais em caso de ataque.
• Colaboração com Organizações de Segurança: A colaboração rápida com equipes de segurança de blockchain e agências de aplicação da lei pode controlar efetivamente os danos e acelerar a recuperação de ativos após um incidente.

HarryPotterObamaSonic10Inu

Visão geral do projeto: HarryPotterObamaSonic10Inu é a forma definitiva de ativos criptográficos. Inspirado pelo BITCOIN, o projeto incentiva a criação de conteúdo de memes novos e divertidos. Com a propriedade renunciada e a liquidez bloqueada, a comunidade em constante crescimento tem assumido a liderança. Inspirado no lendário meme do Bitcoin, o projeto está desenvolvendo um website único, merchandising exclusivo e uma plataforma de comércio eletrónico. O objetivo é criar um ecossistema onde os membros ativos da comunidade possam interagir e colaborar.

Visão geral do incidente:
Em 18 de dezembro de 2024, uma série de transações exploratórias visaram a pool de liquidez do token HarryPotterObamaSonic10Inu 2.0 na rede Ethereum. O atacante lucrou aproximadamente $243,000 e transferiu os fundos para o Tornado Cash.

Nos próximos quatro dias, o preço do token sofreu uma queda significativa de cerca de -33,42%, com seu valor de mercado caindo de $245 milhões para $168 milhões[5].

Recomendações pós-incidente:

• Aprimorar Auditorias de Segurança de Contratos Inteligentes e Otimização
  Contrate uma organização profissional de terceiros para realizar uma auditoria abrangente de segurança dos contratos inteligentes existentes, com foco na lógica do pool de liquidez e no controle de acesso. As vulnerabilidades devem ser corrigidas e o código do contrato deve ser otimizado. Mecanismos como bloqueios de tempo e limitação de taxa devem ser adicionados para evitar operações maliciosas em um curto período de tempo.

• Integrar Oráculos de Preço On-Chain
  Integre oráculos confiáveis on-chain para verificar os preços dos ativos durante as transações de depósito e saque, garantindo que as operações estejam alinhadas com os valores de mercado reais e evitando que os fundos sejam manipulados por meio de manipulação de preços.

• Aumentar a Transparência e Confiança da Comunidade
  Publicar os resultados da investigação do incidente e o plano de remediação, garantindo a transparência das informações e construindo confiança dentro da comunidade de usuários.

FEG

O token FEG é um token de governança deflacionário dentro do ecossistema FEG, que inclui uma troca descentralizada e mecanismos de incentivo de renda passiva. Seu objetivo é remodelar o modelo operacional das redes de negociação descentralizadas. O token está disponível nas redes Ethereum e Binance Smart Chain.

Visão Geral do Incidente:
Em 29 de dezembro de 2024, o projeto FEG foi alvo de um ataque de vulnerabilidade de segurança, resultando em uma perda de aproximadamente $1 milhão. A causa raiz do incidente parece ser um problema de componibilidade relacionado à integração da ponte cruzada Wormhole subjacente, que facilita mensagens e transferências de tokens cruzados. A Wormhole Foundation esclareceu posteriormente que nenhum problema foi encontrado dentro do protocolo Wormhole e que o ataque não estava relacionado ao Wormhole.

Após o incidente, a equipa suspendeu todas as transações FEG em bolsas centralizadas e iniciou uma investigação abrangente. Embora o código do contrato SmartDeFi não tenha sido diretamente afetado, o protocolo SmartDeFi também foi pausado como precaução. No entanto, todos os projetos no protocolo têm permanecido seguros até agora[6].

Recomendações pós-incidente:

• Realizar uma Auditoria de Segurança Abrangente: Contratar uma organização profissional de terceiros para realizar uma auditoria de segurança minuciosa dos contratos inteligentes e do código da plataforma, com foco no controle de acesso, falhas lógicas e vulnerabilidades de código. Com base nos resultados da auditoria, abordar e corrigir prontamente quaisquer problemas identificados e tornar o relatório da auditoria público para aumentar a confiança do usuário.
• Estabelecer um Programa de Divulgação e Recompensa de Vulnerabilidades: Lançar um programa de recompensa por bugs contínuo para incentivar pesquisadores de segurança e hackers éticos a identificar e relatar possíveis vulnerabilidades. Isso ajudará a lidar rapidamente com as vulnerabilidades para reduzir os riscos futuros de segurança.
• Melhorar os Mecanismos de Proteção de Ativos e Compensação de Usuários: Desenvolver sistemas de proteção de ativos em várias camadas, como monitoramento em tempo real de transações anormais, implementar funcionalidades de bloqueio de tempo e utilizar carteiras de várias assinaturas. Para os usuários afetados, estabelecer um plano de compensação justo e transparente para restaurar a confiança dos usuários e minimizar as perdas financeiras.

Conclusão

Em dezembro de 2024, vários projetos DeFi foram alvo de vulnerabilidades de segurança, resultando na perda de milhões de dólares em ativos. Estes incidentes incluíram o ataque ao cofre de liquidez Clober DEX, uma exploração entre cadeias causada pela integração do FEG com Wormhole, a vulnerabilidade de staking na Vestra DAO, a manipulação da funcionalidade de retirada de ativos únicos da Clipper DEX e um ataque de empréstimo flash no HarryPotterObamaSonic10Inu. Estes eventos destacaram os riscos críticos na segurança de contratos inteligentes, composabilidade de protocolos entre cadeias e gestão de pool de liquidez. A indústria precisa urgentemente de reforçar auditorias de contratos inteligentes, implementar monitorização em tempo real e adotar mecanismos de proteção em várias camadas para melhorar a segurança da plataforma e a confiança dos utilizadores. A Gate.io lembra aos utilizadores para se manterem atualizados sobre os desenvolvimentos de segurança, escolher plataformas fiáveis e reforçar a proteção dos ativos pessoais.


Referência:

1. Slowmist,https://hacked.slowmist.io/zh/statistics
2. Clipper,https://blog.clipper.exchange/clipper-dec-24-exploit-post-mortem/
3. X,https://x.com/Vestra_DAO/status/1864677381459390781
4. X,https://x.com/CloberDEX/status/1874039225001377816
5. Gate.io,https://www.gate.io/zh-tw/post/status/8242569
6. X,https://x.com/FEGtoken/status/1873265905867866294

Gate Research
Gate Research é uma plataforma abrangente de pesquisa em blockchain e criptomoedas, proporcionando aos leitores conteúdo aprofundado, incluindo análise técnica, insights quentes, revisões de mercado, pesquisa de indústria, previsões de tendências e análise de políticas macroeconômicas.

Clique no Linkpara saber mais

Isenção de responsabilidade
Investir no mercado de criptomoedas envolve alto risco, e é recomendado que os utilizadores realizem pesquisas independentes e compreendam completamente a natureza dos ativos e produtos quecompraantes de tomar qualquer decisão de investimento.Gate.ionão é responsável por quaisquer perdas ou danos causados por tais decisões de investimento.