5 incidentes de segurança envolvendo redes DAG – e como se proteger

Os gráficos acíclicos direcionados (DAGs) surgiram como uma alternativa promissora à tecnologia blockchain. Ao contrário dos blockchains, os DAGs possuem uma estrutura única onde as transações são vinculadas de maneira direcionada e não circular, com novas formas de chegar a um consenso. Esta inovação promete velocidades de transação mais rápidas e maior descentralização, tornando-as uma escolha atraente para os entusiastas da criptografia. No entanto, eles podem apresentar seu próprio conjunto de desafios de segurança.

Afinal, existem programas de recompensa por bugs por um motivo. Porém, até o momento, podemos dizer que nenhuma estrutura do DAG foi hackeada. Por outro lado, os serviços relacionados, desde redes sociais e até contratos inteligentes, são outra história. Os cibercriminosos terão como alvo os pontos mais vulneráveis, e isso geralmente fica fora do próprio DAG, mas visando seus usuários de qualquer maneira.

Iremos nos aprofundar em alguns ataques envolvendo plataformas DAG, relatando cinco casos em que seus serviços relacionados foram vítimas de tentativas de hacking. Além disso, exploraremos estratégias e práticas recomendadas para se proteger dessas ameaças. Quer você seja um investidor experiente ou um novato, entender esses desafios é essencial para proteger seus ativos digitais em um ecossistema criptográfico cada vez mais complexo.

Nano + Bit Grail

Em 2018, o mundo das criptomoedas testemunhou uma grande violação de segurança envolvendo a bolsa italiana de criptomoedas BitGrail e a moeda digital Nano (anteriormente conhecida como Raiblocks). Essa moeda usa um livro-razão estruturado como um DAG (mais precisamente, estrutura de blocos) e seu sistema de consenso é bastante semelhante a um blockchain de Prova de Participação (PoS).

O incidente começou quando o BitGrail relatou uma quantidade substancial de tokens Nano faltando em sua plataforma. O fundador da exchange, Francesco Firano, afirmou que o hack resultou no roubo de aproximadamente 17 milhões de tokens Nano, equivalentes a cerca de US$ 170 milhões na época.

O rescaldo do hack do BitGrail foi marcado por uma disputa contenciosa entre a administração da bolsa e a equipe de desenvolvimento do Nano. Firano inicialmente sugeriu que o código do Nano era o responsável pela vulnerabilidade, culpando os desenvolvedores pelo roubo. Ele exigiu que um fork (atualização) controverso fosse mantido pela equipe Nano (para apagar o hack), o que eles recusaram.

Posteriormente, mais investigações revelaram que as medidas de segurança e os controles internos do BitGrail eram inadequados, levando ao comprometimento dos fundos dos usuários. Na verdade, o hack aconteceu bem a tempo de ver um aumento de preço no Nano, e Firano escondeu que as violações vinham acontecendo desde 2017. BitGrail e Firano receberam pelo menos duas ações judiciais coletivas e, em última análise, Firano foi considerado diretamente responsável pelo ataque.

Neste caso, o DAG não foi atacado, mas os usuários confiaram na empresa errada. Nas exchanges centralizadas, você não possui chaves privadas para seus fundos. Em vez disso, apenas uma conta com senha é fornecida e os fundos ficam sob total custódia (controle) dessa empresa. Se eles perderem (hacks, falência, etc.), você também perderá. É por isso que é importante não usar as exchanges como carteiras permanentes.

IOTA + Moonpay

IOTA é uma plataforma de criptomoeda que utiliza tecnologia Directed Acíclica Graph (DAG) para permitir transações mais rápidas e está focada no setor de Internet das Coisas (IoT). Ao contrário dos blockchains, o Tangle DAG da IOTA permite que os usuários validem transações confirmando outras, mas há um nó coordenador final para alcançar o consenso. Pretendem (desde 2016) livrar-se dela, mas entretanto o coordenador é controlado pela Fundação IOTA e a rede é centralizada.

Isso foi amplamente comprovado em Fevereiro de 2020, quando toda a rede foi congelada pelo coordenador após uma violação grave. Naquela época, os hackers roubaram 8,5 milhões de tokens nativos da IOTA, MIOTA, diretamente dos usuários – aproximadamente US$ 2 milhões na época. A IOTA Carteira Trindade sofreu uma violação de segurança devido a uma dependência de terceiros do Moonpay (um serviço de pagamento criptográfico), que comprometeu as sementes da carteira dos usuários ao carregar versões ilícitas do SDK do Moonpay dos servidores do Moonpay.

O cibercriminoso aguardava uma nova versão do Trinity para substituir arquivos em cache e eliminar rastros. Ações imediatas foram tomadas pela Fundação IOTA, incluindo a suspensão do coordenador e a criação de um plano de gestão de incidentes com atualizações públicas do estado. O ataque envolveu interceptação de DNS, modificação de código e uso indevido de chave de API.

A IOTA respondeu desenvolvendo ferramentas de migração para os utilizadores afetados, melhorando as ferramentas analíticas e colaborando com especialistas em segurança e autoridades policiais. Trinity não é mais usado e MoonPay colaborou com eles para resolver o problema. Então, novamente, não foi um DAG violado, mas um serviço externo relacionado a ele.

Hedera Hashgraph

Hedera Hashgraph é um sistema de contabilidade distribuído que utiliza gráficos acíclicos direcionados (DAGs) para consenso. Em Hedera protocolo de fofoca , os nós compartilham novas informações entre si, alcançando gradualmente um consenso por meio de múltiplas rodadas de compartilhamento. Esse histórico de eventos de compartilhamento de informações é representado como um hashgraph — um tipo de DAG. Este sistema é patenteado, mas não está isento de erros.

Em 9 de março de 2023, a rede Hedera Hashgraph foi vítima a uma exploração de contrato inteligente, resultando no roubo de vários tokens de bolsas descentralizadas (DEXs), como Pangolin, SaucerSwap e HeliSwap. As contas de usuários de varejo e as carteiras Hedera não foram afetadas, mas o invasor conseguiu roubar tokens avaliados em quase US$ 600.000. Eles incluíam DAI Stablecoin, Tether USD, USD Coin e Wrapped HBAR.

Ações rápidas foram tomadas para mitigar o ataque. DEXs e pontes colaboraram para interromper o fluxo de tokens pela ponte uma hora após serem alertados sobre a violação. A equipe da Hedera desativou o acesso proxy à rede principal da Hedera (graças à rede ser centralizada, como o IOTA), impedindo maior acesso por parte dos usuários e do invasor. Uma correção foi rapidamente desenvolvida, testada e implementada 41 horas após a descoberta da vulnerabilidade.

Ao contrário dos ataques anteriores em outros DAGs, desta vez, o sistema nativo foi realmente comprometido, especificamente, sua camada de contrato inteligente. A equipe agiu rapidamente para mitigá-lo.

Rede Sui + Discord

Sui Network é um livro-razão distribuído lançado em maio de 2023. Ele divide as transações em simples (como envio de dinheiro) e complexas (como leilões online). Transações simples não exigem consenso, mas transações complexas use validadores Proof-of-Stake (PoS) e um protocolo de consenso baseado em DAG de alto rendimento chamado Bullshark.

Esta rede provou que a prevenção é importante, especialmente quando se trata de novas tecnologias. Pouco antes do lançamento da mainnet, a empresa de segurança CertiK encontrou um bug crítico no sistema. A falha era um bug de loop infinito no código de Sui que poderia ser acionado por um contrato inteligente malicioso. Esse tipo de ataque, conhecido como “ataque HamsterWheel”, não trava os nós, mas os mantém em execução indefinidamente, sem processar novas transações, tornando a rede inoperante.

Uma vez que o bug foi identificado , os desenvolvedores do Sui implementaram rapidamente correções para mitigar seu impacto, e a CertiK confirmou que essas correções já foram implantadas. A Fundação Sui concedeu US$ 500.000 à CertiK como recompensa por bugs. No entanto, não foi a única ameaça enfrentada por esta plataforma.

Mesmo antes do possível bug, em agosto de 2022, o servidor Discord do Mysten Labs (criadores do Sui) foi hackeado. O anúncio foi compartilhado no Twitter , onde vários usuários reclamaram de terem perdido fundos devido ao evento. O incidente envolveu hackers compartilhando um link para um suposto lançamento aéreo no canal de anúncios do servidor. Desde então, reforçaram seus processos de segurança e verificação no chat.

Avalanche + DeFi

Avalanche é outro protocolo criptográfico que usa estruturas DAG em vez de blockchains. Compreende cadeias diferentes : a Cadeia de Contrato (C-Chain) para contratos inteligentes, a Cadeia de Troca (X-Chain) para transferências rápidas de fundos com taxas baixas e a Cadeia de Plataforma (P-Chain) para apostas e recompensas. O X-Chain, em particular, aproveita a tecnologia DAG para alcançar alto rendimento e rápida finalização de transações.

Vários protocolos DeFi baseados no Avalanche enfrentaram ataques importantes ao longo dos anos. O primeiro hack de alto perfil foi contra a plataforma de empréstimo Vee Finanças em setembro de 2021. O ataque aconteceu porque eles dependiam de uma única fonte para obter informações de preços (oráculo), e essa fonte não tratava os pontos decimais corretamente. Isso permitiu ao invasor manipular preços e executar negociações em pares que não deveriam ser negociados.

Isso resultou na retirada não autorizada de 8.804,7 ETH e 213,93 BTC (cerca de US$ 36 milhões na época). Os tokens foram posteriormente transferidos para Ethereum e permanecem na posse do invasor. A Vee Finance suspendeu contratos de plataforma e funções relacionadas (o que demonstrou que a plataforma não era tão descentralizada como o termo DeFi implica), prosseguindo ativamente os esforços de recuperação de ativos. No entanto, isso não foi tudo para o Avalanche. Mais ataques viriam com o tempo.

Em fevereiro de 2023, mais dois protocolos DeFi foram hackeados novamente: o agregador multi-chain Dexible e o DEX Platypus. No primeiro caso , o invasor aproveitou a função selfSwap do aplicativo para movimentar mais de US$ 2 milhões em criptografia de usuários que autorizaram o aplicativo a acessar seus tokens. Dexible pausou seus contratos e aconselhou os usuários a revogar as autorizações de token.

No segundo caso, Ornitorrinco perdido US$ 8,5 milhões em um ataque relâmpago de empréstimo. O hacker explorou os contratos de ativos do protocolo usando um contrato inteligente malicioso com código-fonte não verificado. Agora, sobre os três casos, podemos dizer que alguns bugs escaparam dos desenvolvedores do DeFi desde o início, resultando na perda de fundos.

Proteja-se dos riscos do DAG

Para usuários médios de plataformas Directed Acycline Graph (DAG), diversas medidas e proteções importantes de segurança podem ser aplicadas para mitigar riscos:

• Use serviços confiáveis: antes de usar qualquer serviço de terceiros, como carteiras ou bolsas, faça uma pesquisa para garantir que eles tenham uma boa reputação de segurança. Além disso, evite deixar grandes quantidades de criptografia nas exchanges por longos períodos.
• Proteja suas chaves privadas: Se você possui carteiras que lhe dão controle sobre suas chaves privadas, use-as. Isso significa que você tem controle direto sobre seus fundos. As carteiras frias oferecem uma camada extra de segurança.

• Use senhas fortes e habilite 2FA: Ao lidar com contas relacionadas a criptomoedas, use senhas fortes e exclusivas. Considere usar um gerenciador de senhas confiável para mantê-los seguros. Sempre que possível, habilite a autenticação de dois fatores (2FA) em suas contas.

  
  

• Mantenha-se informado: mantenha-se atualizado com as últimas notícias e desenvolvimentos relacionados à plataforma DAG que você está usando. Compreender as vulnerabilidades potenciais pode ajudá-lo a tomar medidas preventivas.
• Cuidado com golpes de phishing: tenha cuidado com e-mails, mensagens ou sites de phishing que visam roubar suas informações de login ou chaves privadas. Sempre verifique URLs e fontes.

• Revise regularmente as permissões: para aplicativos ou serviços que solicitam permissão para acessar sua carteira ou tokens, revise e revogue essas permissões quando elas não forem mais necessárias.

• Diversifique seus investimentos: Evite colocar todos os seus ativos em uma única criptomoeda ou plataforma. A diversificação pode ajudar a distribuir o risco.

  
  

Até agora, Obyte (também uma plataforma cripto-DAG) não sofreu um hack de alto perfil em seu sistema ou serviços relacionados. Isso não significa que eles sejam imunes a ataques. Um programa de recompensa por bugs está ativo no Immunefi, com altas recompensas para desenvolvedores qualificados. No entanto, é sempre importante aplicar o melhores medidas de segurança em sua própria carteira e faça sua própria pesquisa para cada plataforma!

Imagem vetorial em destaque por Grátis