Vulnerabilidades da Web2 estão prejudicando projetos da Web3, aponta relatório da CertiK

Recentemente, a empresa de segurança CertiK publicou o relatório “Como hackers estão usando ataques de roubo de DNS para roubar chaves privadas e clonar sites”. No documento, a empresa menciona casos em que o DNS é utilizado para prejudicar aplicações criadas na Web3, bem como as soluções para esses problemas.

Vulnerabilidades da Web2 afetam a Web3

O Sistema de Nomes de Domínio (DNS, na sigla em inglês) é uma parte importante da internet, responsável por traduzir os endereços de IP em nomes, e vice-versa. É o DNS que permite aos usuários digitar o nome de um site e, através dele, acessar seu respectivo IP.

Apesar da facilidade conferida por esse sistema, agentes maliciosos utilizam o DNS para executar ataques. Um tipo de ataque comum é o redirecionamento de usuários para sites maliciosos, que espalham malwares e até simulam plataformas reais, tentando induzir usuários ao erro.

Esse tipo de vulnerabilidade, aponta a CertiK em seu relatório, é utilizada para afetar interfaces de aplicações da Web3. Cream Finance e PancakeSwap são duas aplicações descentralizadas que servem como exemplo. 

• Investimento em fintech's cresceu 180% em 2019 na América Latina, Brasil lidera

Em 15 de março de 2021, ambas as plataformas sofreram uma invasão de DNS. Hackers conseguiram invadir a conexão entre o nome do domínio e o IP real da interface, e redirecionaram usuários para versões falsas das plataformas. Através deste ataque, os invasores conseguiram as palavras de recuperação das carteiras das vítimas e usaram as informações para drenar as carteiras.

“A causa do ataque foi que as credenciais de login do GoDaddy foram comprometidas. Por isso, ambos os projetos passaram por uma brecha de segurança devido às vulnerabilidades da gestão das chaves, permitindo que os hackers roubassem as palavras de acesso das carteiras dos usuários”, explica a CertiK.

Clonagem de sites

Outro tipo de ataque, que segue uma lógica semelhante, é a clonagem de sites. A diferença é um detalhe na executação: o endereço do contrato inteligente contido nas páginas de projetos da Web3 é alterado. Os usuários, então, interagem com contratos adulterados sem desconfiar.

Um caso famoso ocorreu em agosto de 2022 com a Curve, exchange descentralizada focada em negociações com stablecoins. Hackers obtiveram acesso ao direcionamento do DNS e modificaram a interface.

Enquanto usuários acreditavam que estavam aprovando transações nos contratos inteligentes da exchange, permissões para redirecionar os fundos de suas carteiras eram concedidas. Como resultado, diversas carteiras foram drenadas, somando quase R$ 3 milhões em prejuízos.

• Trader vende criptomoedas por até R$ 0,02 após abrir ordem errada de R$ 220.000 na BitcoinTrade

“Mais uma vez, as credenciais para acessar o DNS da interface de um projeto, mantida por um provedor de serviço terceirizado, foram roubadas. O invasor conseguiu substituir o arquivo que ligava a interface a um endereço de IP legítimo por um arquivo que conectava a interface a páginas maliciosas”, explica o relatório.

Ataques semelhantes foram perpetrados contra outras grandes aplicações descentralizadas, como Convex Finance, QuickSwap, SpiritSwap e Ribbon Finance.

Soluções da Web3

A forma proposta pela CertiK para combater ataques que têm início na Web2 e afetam aplicações criadas na Web3 é utilizar mais os recursos da própria Web3. Uma delas é o armazenamento focado em conteúdo, que pode substituir o método convencional baseado na localização.

A primeira vantagem deste método, aponta o relatório, é a garantia da autenticidade dos sites acessados através de conteúdo criptografado e armazenado no IPFS, que verifica o conteúdo dos criadores de um projeto. O IPFS, ou Sistema de Arquivos Interplanetário, é um sistema de armazenamento de dados descentralizado e criptografado.

Outra vantagem de recorrer a esses serviços é aumentar a resiliência e segurança, através da mitigação de vulnerabilidades inerentes ao sistema centralizado de DNS.

• Coinbase fechará a maioria das operações no Japão após demissões globais, aponta relatório

Por fim, o modelo descentralizado de armazenagem proposto pela CertiK garante redundância, segurança e integridade dos dados, permitindo que o armazenamento de informações ocorra sem depender de terceiros.

A Cream Finance, uma das plataformas descentralizadas que foi afetada, adotou IPFS após a falha de segurança, fortalecendo seu DNS. A junção de ambas as ferramentas, destaca o relatório, certificou que os usuários tenham acesso ao conteúdo criado pela equipe por trás do projeto.

“Uma migração em direção a uma infraestrutura descentralizada, junto com um fortalecimento contínuo de defesas humanas e tecnológicas, se tornou essencial para o futuro da segurança de projetos criados na Web3 e de seus usuários”, conclui o relatório.

Leia mais:

• Wen moon? O ciclo de halving do Bitcoin sugere o quarto trimestre, enquanto o dinheiro inteligente ‘compra o boato’;
• HashKey iniciará negociação no varejo de Bitcoin e Ether em Hong Kong a partir de 28 de agosto;
• Oportunidade de compra? Trader avalia a queda do token PEPE e como DOGE e SHIB podem ser impactadas.