Com o surgimento dos blockchains, uma das tecnologias que surgiu e se popularizou foi a do Smart Contracts. Entretanto, ela também pode apresentar vulnerabilidades passíveis de serem exploradas por cibercriminosos, levando a perdas financeiras e de reputação.
Abaixo, você conhece mais sobre o que é Smart Contracts, suas principais vulnerabilidades e como mitigar os riscos que elas trazem.
O que é Smart Contract?
Os Smart Contracts, ou contratos inteligentes, são um tipo de tecnologia de execução automática, que é ativada quando determinadas condições são cumpridas dentro dos blockchains. Por exemplo: “se o evento X acontecer, será realizada a ação Y”.
Eles podem ser usados para emissão de tokens, corretoras de criptomoedas, transações imobiliárias, entre outras funções. Todas as cláusulas do Smart Contract são registradas no blockchain, o que garante que seja possível verificar seu cumprimento e segurança.
Entretanto, como qualquer outra tecnologia, ele também pode apresentar vulnerabilidades, como essas abaixo.
Vulnerabilidades em Smart Contract
Algumas das principais vulnerabilidades exploradas em Smart Contracts, segundo a Hacken, são:
Imagem: principais vulnerabilidades em Smart Contract. Fonte: Hacken.
Conheça os detalhes e os principais ataques que já aconteceram explorando cada uma delas.
- External Calls to Arbitrary Addresses
Em fevereiro desse ano, a Dexible foi sofreu um ataque que mirava na função selfSwap, que permitia que os usuários definissem um contrato de roteador.
O criminoso usou essa função para criar um contrato malicioso, roubando o equivalente a USD$2 milhões em tokens.
- Reentrancy
Um ataque do tipo Reentrancy aconteceu em abril do ano passado com a Rari Capital. Os hackers roubaram, entre outros itens, mais de USDC 150.000.000 (uma criptomoeda similar ao dólar).
O hack aconteceu porque o protocolo foi bifurcado, confundindo os desenvolvedores, e a função de empréstimo não possuía padrões de verificação eficazes.
- Missing Validation
Um exemplo dessa vulnerabilidade aconteceu com a Poly Network Exploit, em 2021. No ataque sofrido, foi explorada uma vulnerabilidade presente no código da plataforma, que permitiu ao(s) criminoso(s) roubar ativos de várias blockchains diferentes.
Ele gerou um prejuízo de mais de 600 milhões em criptomoedas.
- Flashloan
O protocolo Beanstalk DeFi foi explorado em abril de 2022. Ele foi atacado porque existia uma estrutura em que os usuários com tokens poderiam fazer votações para alteração de código.
Quanto mais tokens, maior o poder de voto. Porém, também existia uma função em que usuários com maior quantidade de tokens aprovem propostas sem a necessidade de votação.
No final, o prejuízo em criptomoedas foi de: DAI 350M, USDC 500M, USDT 150M, Bean 32M e LUSD 11,6M.
- Inconsistent Data
Essa vulnerabilidade é mais genérica e pode acontecer em diversos casos, já que consiste no uso de dados sem validação ou verificação, levando a diversos tipos de problemas, como a execução inadequada, perda de fundos, perda de reputação, entre outros.
- Floating Pragma
Entre as citadas, essa é a vulnerabilidade de menor gravidade. Ela consiste no uso de versões desatualizadas da Solidity, uma linguagem de programação usada para codificar smart contracts na Ethereum.
Isso leva a vulnerabilidades de segurança e erros na execução do contrato, além de prejudicar seu custo e eficiência.
Auditoria de Smart Contracts
Praticamente qualquer aplicação que usa os Smart Contracts precisa da auditoria, tais como: plataformas DeFi, marketplaces de NFT e carteiras de Criptomoedas.
Por isso, para garantir que um Smart Contract está seguro, é necessário realizar testes frequentes e direcionados. Além de reforçar a integridade e prevenir perdas financeiras, essa prática também aumenta a confiança do contrato, atraindo mais investidores.
Através da Auditoria de Smart Contracts, será conduzida uma busca para encontrar as ameaças presentes ali, além de recomendações de correção, segurança e otimização dos contratos.
Para conhecer a metodologia da Auditoria de Smart Contracts da Vantico e todos os benefícios que ela pode oferecer, clique aqui e converse com nossos especialistas.