O ataque ao KelpDAO expõe pontos fracos na segurança do Web3

O hack da KelpDAO revelou várias linhas de falha na segurança Web3. O maior problema foi blockchains executando transações perfeitamente, mesmo quando baseadas em dados incorretos.

A segurança Web3 ainda está em destaque, como uma forma de reconstruir a confiança nos protocolos DeFi. O hack da KelpDAO teve repercussões duradouras para os empréstimos DeFi e levantou questões sobre o aumento da segurança Web3.

Os hacks em DeFi atingiram um pico de um ano em abril, abrindo uma discussão sobre riscos do Web3 e melhores formas de interceptar hacks. | Fonte: DeFiLlama.

A recente onda de hacks em abril pode fazer com que aplicativos reavaliem a forma como acessam dados e permitem transações. Hacks semelhantes continuaram em maio, com $930K perdido no mês até agora. Recentemente, o protocolo Bisq perdeu $858K com base em lógica de protocolo incorreta e um ataque de cliente falso, de acordo com dados do DeFiLlama.

Aplicativos Web3 têm um problema de verificação de dados

Segundo Victor Fei, da Ormilabs, o hack da KelpDAO é um exemplo claro de como uma aplicação pode continuar funcionando, mesmo que o estado da blockchain não corresponda aos dados.

Fei explicou que as aplicações nem sempre se referem diretamente à blockchain. Em vez disso, elas dependem de intermediários como nós RPC, ao invés de dados brutos na cadeia. Isso é uma exigência para Ethereum e outras cadeias mais antigas, que não são mais viáveis para acesso direto na maioria dos aplicativos.

Com uma fonte de dados limitada, uma ponte só pode confiar em um pequeno conjunto de nós RPC. Quando algumas fontes são comprometidas ou indisponíveis, o aplicativo pode operar com dados incorretos, enquanto a cadeia subjacente ainda contará as transações como válidas.

A maioria dos aplicativos Web3 modernos não acessa a cadeia diretamente, mas depende de alguma forma de indexação para buscar informações relevantes. A indexação pode exibir dados incorretos ou se tornar um vetor de ataque direto.

O exploit da KelpDAO revelou essa vulnerabilidade em sua totalidade. O processo de verificação confiava em um número limitado de fontes RPC, e atacantes sequestraram algumas dessas fontes. Com uma camada de dados falha, a blockchain processou as transações normalmente e gastou moedas reais em troca de um saldo falso.

O problema se torna ainda mais sério se agentes de IA forem autorizados a agir com base em uma camada de dados limitada e potencialmente incorreta.

O que pode aumentar a segurança Web3?

A maior falha na KelpDAO, Drift Protocol e outros hacks recentes é a velocidade de execução. A maioria das transações ocorreu imediatamente e foi finalizada no próximo bloco, sem período de espera ou verificações adicionais. Web3 anunciou sua capacidade de realizar transações rápidas e permissionless, mas isso também permite que atores mal-intencionados executem seus golpes com velocidade.

“O futuro da segurança Web3 depende da velocidade. Nossos dados mostram que hacking e lavagem de dinheiro são rápidos e baratos, enquanto a resposta das equipes é lenta e cara”, comentou Vladyslav Syrotin, chefe de Investigações da Global Ledger, ao Cryptopolitan.

Syrotin acredita que projetos Web3 devem reduzir seu tempo de detecção para capturar saídas incomuns, quedas súbitas de liquidez ou chamadas suspeitas de contratos inteligentes.

Segundo Syrotin, alertas e bloqueios devem ser automatizados em até um segundo após um ataque, e relatórios de vítimas e rotulagem de dados devem estar prontos em 10 minutos. Atualmente, leva horas ou dias para contabilizar as perdas totais e rastrear os clusters de carteiras dos atacantes.

Syrotin acrescentou que até um período de tempo mais lento, com alertas de 30 segundos e rotulagem em quatro horas, pode ajudar a prevenir cerca de metade dos incidentes e reduzir perdas.

Não leia apenas notícias de criptomoedas. Entenda-as. Inscreva-se na nossa newsletter. É grátis.