Quais falhas de segurança na Web3 foram expostas pelo ataque à KelpDAO?

O ataque à KelpDAO expôs diversas falhas na segurança da Web3. O maior problema foi a execução impecável de transações em blockchains baseadas em dados falhos.

A segurança da Web3 continua sendo uma prioridade, como forma de reconstruir a confiança nos DeFi . O ataque à KelpDAO teve repercussões duradouras para DeFi os empréstimos e levantou questões sobre o aprimoramento da segurança da Web3. 

A recente onda de ataques cibernéticos em abril pode levar os aplicativos a reavaliar a forma como acessam dados e permitem transações. Ataques semelhantes continuaram em maio, com um prejuízo de US$ 930 mil no mês até o momento. Recentemente, o Bisq Protocol perdeu US$ 858 mil devido a uma falha na lógica do protocolo e um ataque com um cliente falso, de acordo com DeFiLlama dados. 

Os aplicativos Web3 apresentam um problema de verificação de dados

Segundo Victor Fei, da Ormilabs, o ataque à KelpDAO é um exemplo claro de como um aplicativo pode continuar funcionando, mesmo que o estado do blockchain não corresponda aos dados.

Fei explicou que os aplicativos nem sempre consultam o blockchain diretamente. Em vez disso, eles dependem de intermediários, como nós RPC, em vez de dados brutos on-chain. Isso é um requisito para Ethereum e outros blockchains mais antigos, que não são mais viáveis ​​para acesso direto pela maioria dos aplicativos. 

Com uma fonte de dados limitada, uma ponte só pode depender de um pequeno conjunto de nós RPC. Quando algumas fontes são comprometidas ou indisponíveis, o aplicativo pode operar com dados incorretos, embora a cadeia subjacente ainda considere as transações válidas.

A maioria dos aplicativos Web3 modernos não acessa a cadeia diretamente, mas depende de alguma forma de indexação para obter informações relevantes. A indexação pode exibir dados incorretos ou se tornar um vetor direto de ataque. 

A exploração da vulnerabilidade no KelpDAO a revelou por completo. O processo de verificação confiava em um número limitado de fontes RPC, e os atacantes sequestraram algumas dessas fontes. Com uma camada de dados falha, o blockchain processou as transações normalmente e gastou moedas reais em troca de um saldo falso. 

O problema torna-se ainda mais sério se os agentes de IA puderem agir com base em uma camada de dados limitada e potencialmente falha. 

O que pode aumentar a segurança da Web3? 

A maior falha do KelpDAO, do Drift Protocole de outros ataques recentes é a velocidade de execução. A maioria das transações ocorreu instantaneamente e foi finalizada no bloco seguinte, sem período de espera ou verificações adicionais. A Web3 anuncia sua capacidade de realizar transações rápidas sem permissão, mas isso também permite que criminosos executem seus golpes com rapidez.

“O futuro da segurança da Web3 se resume à velocidade. Nossos dados mostram que a invasão e a lavagem de dinheiro são rápidas e baratas, enquanto a resposta das equipes é lenta e cara”, comentou Vladyslav Syrotin, chefe de investigações da Global Ledger, ao Cryptopolitan.

Syrotin acredita que os projetos Web3 devem reduzir o tempo de detecção para identificar saídas incomuns, quedas repentinas de liquidez ou chamadas suspeitas detracinteligentes.

Segundo Syrotin, os alertas e bloqueios devem ser automatizados em até um segundo após um ataque, e os relatórios das vítimas e a rotulagem dos dados devem estar prontos em até 10 minutos. Atualmente, leva horas ou dias para contabilizar as perdas totais e tracos grupos de carteiras dos atacantes.

Syrotin acrescentou que mesmo um prazo mais longo, com alertas de 30 segundos e rotulagem em quatro horas, pode ajudar a prevenir cerca de metade dosdente reduzir as perdas.