Exchange
new
Blockchain e exchange de criptomoedas
Academy
Educação sobre blockchain e criptomoedas
Binance Link
Soluções de plataformas de trading
Serviços Institucionais e VIP
Abordagem "white-glove" para soluções de trading personalizadas
Aprenda e Ganhe
Ganhe criptomoedas enquanto aprende
Charity
BCF
Cloud
Soluções para exchanges corporativas
DEX
Troca de ativos rápida e segura
Labs
Incubadora dos melhores projetos de blockchain
Launchpad
Plataforma de lançamento de Tokens
Research
Análises e relatórios de nível institucional
Trust Wallet
Carteira de criptomoedas oficial da Binance
Cartão-Presente da Binance
Cartão-Presente de Criptomoedas Personalizável
Binance Live
new
Traga transmissões de blockchain para a sua live
APIs
Oportunidades ilimitadas com uma Chave
Compre Cripto
Pagar com
Mercados
Trade
Binance Convert
A Forma Mais Fácil de Realizar Trades
Spot
Faça trade de criptomoedas com ferramentas avançadas
P2P
Transferência bancária e 100+ opções
Trading de Estratégia
Facilidade no trading, faça trades como um profissional
Swap Farming
Faça swap e ganhe BNB
Fan Token
Atualize sua experiência como fã
Binance OTC
Serviços de Execução e Liquidez OTC
Earn
Binance Earn
Plataforma de investimentos completa
Launchpad
Plataforma de lançamento de Tokens
Simple Earn
Ganhe recompensas diárias sobre seus tokens ociosos
Staking DeFi
Fácil Acesso às Oportunidades DeFi
BNB Vault
Obtenha Múltiplos Benefícios com BNB
Dual Investment
Invista seus criptoativos e aproveite altos rendimentos
Liquidity Farming
Adicione liquidez e ganhe o dobro
Investimento Automático
new
Acumule criptomoedas no modo automático
Binance Pool
Minere mais recompensas conectando-se com o nosso grupo
ETH 2.0
Staking em um clique, recompensas pagas diariamente
Finanças
Cartão Binance
Converta e faça pagamentos usando suas criptomoedas no mundo todo
Empréstimos de Criptomoeda
Obtenha um empréstimo instantâneo garantido por ativos de criptomoeda
Binance Pay
Pague e envie criptomoedas com taxa zero
Cartão-Presente da Binance
Cartão-Presente de Criptomoedas Personalizável
NFT
Institucional
Página Inicial Institucional
As melhores soluções de ativos digitais para instituições
Binance Link
Conecte-se e cresça com as soluções de liquidez da Binance
Soluções de Gerenciamento de Ativos
Descubra várias soluções de gerenciamento de ativos
Portal VIP
Plataforma completa feita para VIPs e instituições
Custódia
Ativos digitais protegidos com infraestrutura de qualidade
Empréstimos VIP
Empréstimo institucional sob medida com ampla cobertura
APIs
Oportunidades ilimitadas com uma única chave
Dados Históricos de Mercado
Seu repositório completo de dados de trading
Serviços de Execução e OTC
Serviços de Execução e OTC
Feed
Downloads
English
USD
Blog Binance

Segurança na Web3: melhores práticas para um futuro focado em privacidade

2022-10-19

Principais Tópicos do Post:

  • O ecossistema da Web3 enfrenta muitos desafios de segurança, incluindo os herdados da Web2, além dos novos vetores de ataque. 

  • É importante implementar as melhores práticas - auditorias de contratos inteligentes, análise de blockchain, monitoramento em tempo real etc. - que são essenciais para promover um ecossistema seguro na Web3. 

  • A Binance desenvolveu os principais serviços e produtos de infraestrutura de segurança para a comunidade Web3, incluindo soluções de custódia baseadas em computação multipartidária (MPC - multi-party computation), sistemas de gerenciamento de carteiras e muito mais.

A Web3 nos dá a oportunidade de reimaginar a Internet e reconstruir plataformas usando novos princípios. Como uma indústria nova, no entanto, ela também apresenta uma nova classe de ameaças cibernéticas, desde vulnerabilidades de contratos inteligentes a rug pulls (puxadas de tapete).

Para ajudar nossos usuários e fundadores de projetos a navegarem melhor neste ecossistema em constante mudança, a Binance Labs convidou alguns líderes do setor e especialistas internos para compartilhar suas ideias sobre o cenário de segurança da Web3, bem como suas melhores práticas. Confira!

Visão geral da Indústria da Segurança da Web3 

O cenário de ameaças da Web3 está evoluindo rapidamente. Os malfeitores tendem a escolher as formas mais baratas e eficientes de atacar, como usar contratos inteligentes maliciosos em front end. Muitas ameaças da Web2 - tais como phishing, trocas de SIM, malware e ataques de bot - continuam a ser efetivas na Web3.

Em comparação às soluções de segurança da Web2, no entanto, não existem muitas ferramentas de segurança para evitar tais hacks na Web3. A Web2 possui diversas soluções de proteção, como software antivírus, firewalls, projetos de segurança na nuvem e acesso via VPN ou Zero Trust. No cenário da Web3, a maioria dos projetos emprega apenas soluções de segurança de camada única que estão longe de ser suficientes para dissuadir ataques.

De acordo com o relatório da PwC, espera-se que a tecnologia blockchain aumente o produto interno bruto (PIB) global em US$1,76 trilhão (representando 1,4% do PIB global) até 2030. Contudo, o crescimento da adoção da blockchain também ajuda a aumentar as incidências de golpes.

A exploração de vulnerabilidades de contratos inteligentes pelos hackers causou perdas de mais de US$1,3 bilhão em 2021 (aumento de 250% em comparação a 2020) e US$1,8 bilhão em cinco meses de 2022 (aumento de 138% em comparação ao mesmo período de 2021). Enquanto testemunhamos o crescimento da DeFi (o valor total bloqueado aumentou 16 vezes) e um aumento no número de cadeias cruzadas (cross-chains), novas vulnerabilidades também resultam em mais roubos e hacks.

Fonte: CertiK.

Fonte: DeFi Pulse.

A perda total anual até o momento (YTD) em 2022 totaliza cerca de US$2.338.910.183, sendo registrados 377 ataques; mais de US$2 bilhões foram perdidos para os hackers nos primeiros sete meses do ano. A maioria das empresas DeFi depende de companhias de auditoria para revisar e verificar seus códigos de contratos inteligentes antes da implantação, mas esses contratos inteligentes ainda são suscetíveis a hacks, que se enquadram em quatro categorias: grandes hacks, ataques de empréstimos rápidos (Flash Loan), exit scams (golpe de saída) e NFTs. 

Os maiores ataques

Um dos hacks mais custosos do ano foi o da Rede Ronin, que registrou um prejuízo de US$624 milhões. O ataque phishing foi direcionado aos funcionários da Sky Mavis, com os hackers se passando por uma empresa falsa, que os contatou via LinkedIn e realizou entrevistas falsas com aqueles que demonstraram interesse.

Os hackers - posteriormente descobertos como integrantes do grupo Norte Coreano, Lazarus - conseguiram enviar um documento contendo malware para um engenheiro sênior, que o abriu em seu laptop da empresa. Isso permitiu que o hacker acessasse e comprometesse nodes (nós) validadores necessários para roubar os fundos.

Um incidente importante mais recente envolveu a bridge (ponte) de criptomoedas Nomad, em agosto de 2022. Os hackers drenaram aproximadamente US$190 milhões do protocolo blockchain, aproveitando a vulnerabilidade da Nomad Bridge e enganando-a para que enviasse os tokens armazenados sem a devida autorização. Este incidente, desde então, levou à atualização do protocolo Nomad. 

Em fevereiro de 2022, a Wormhole Bridge foi auditada e aprovada pela Neodyme. No entanto, o projeto foi invadido e, como resultado, sofreu um prejuízo de mais de US$320 milhões.

Ataques Flash Loan

Os ataques Flash Loan diminuíram muito da sua máxima histórica de US$300,5 milhões, em abril de 2022, para US$700.000, em agosto de 2022, caindo quase 100%. O ataque mais conhecido de agosto de 2022 ocorreu no XStable, no qual o autor fugiu com aproximadamente US$366.975 através de manipulação de preço.

O protocolo XStable se auto-destruiu. No entanto, o maior ataque Flash Loan até hoje envolveu o projeto de DeFi Beanstalk, sendo roubado do protocolo US$182 milhões, em abril de 2022.  

Exit Scams (golpes de saída)

Rug pulls (puxadas de tapete) e golpes também registraram uma queda acentuada, caindo 74% de US$38,7 milhões, em julho de 2022, para US$10 milhões, em agosto de 2022. O maior golpe de saída envolveu a corretora de criptomoedas Thodex, que fraudou mais de 400.000 investidores da empresa, em aproximadamente US$2,6 bilhões, após suspender as negociações.  

NFTs

Em agosto de 2022, uma conta falsa do Twitter, imitando um projeto chamado We All Survived Death, vendeu 155 NFTs falsos no valor de 11,7 ETH. Outro incidente ocorreu com o hacker roubando quatro NFTs do Bored Ape e um NFT do Otherdeed, cujo valor total chegou a 289,7 ETH (cerca de US$455.000 na época).

Esses ataques enfatizam a importância das auditorias dos contratos inteligentes antes da implantação. Os fundadores dos projetos devem permanecer vigilantes, tomando medidas preventivas para proteger seus usuários.

Fonte: CertiK.

Análise dinâmica: uma defesa contra ataques cibernéticos

Como a implantação de contratos inteligentes e cross bridges (pontes cruzadas) se torna cada vez mais comum, o cenário de segurança da Web3 se torna cada vez mais complexo também. Com tudo isso, os alertas on-chain apoiados pela inteligência artificial (AI) sofisticada, se tornaram uma forma confiável para detectar e prevenir as ameaças em tempo real.

Nos recentes hacks acima mencionados, os projetos sofreram exploração, apesar de seus códigos do contrato inteligente terem passado por auditoria nos últimos seis meses. Dessa forma, os fundadores devem incorporar camadas adicionais de segurança ao longo de todo o ciclo de vida de seus projetos.

Jason Jiang, Chefe de Negócios da CertiK, disse que "cerca de 60% dos projetos não realizam auditoria antes do lançamento do produto". Esta é uma tendência alarmante, uma vez que a maioria dos códigos dos contratos inteligentes é de código aberto e, em grande parte, imutável. Uma vulnerabilidade no sistema pode levar a uma perda de mais de US$10 milhões. 

Huagang Xie, CEO da Ancilia, enfatizou a importância de incorporar medidas de segurança já na fase de concepção do projeto. Nesta fase, os fundadores devem explorar bibliotecas de renome, entender o cenário das ameaças à segurança e seguir as melhores práticas para revisar os códigos de contratos inteligentes.

Após um projeto ter sido auditado, deve ser realizado o monitoramento em tempo real. Os criadores devem se concentrar em entender o que está acontecendo com o projeto, quem interage com seus contratos inteligentes, quem pode atacá-lo e quais são os riscos subsequentes. O site da Ancilia contém até mesmo a famosa citação de Sun Tzu: "Se você conhece seu inimigo e conhece a si mesmo, não precisa temer o resultado de uma centena de batalhas".

De acordo com Nicholas Chiu, Diretor de Operações da Salus Security, “ao recrutar desenvolvedores da Web3, os criadores do projeto devem certificar-se de que os desenvolvedores possuem referências de segurança, pois os códigos projetados por eles determinam a segurança dos ativos e das informações dos usuários”.

Recursos da Binance para vencer os desafios de segurança da Web3 

A Binance desenvolveu os principais serviços e produtos de infraestrutura de segurança para a comunidade Web3, incluindo soluções de custódia baseadas em computação multipartidária (MPC - multi-party computation) e sistemas de gerenciamento de carteiras.
Além disso, a Binance também oferece varredura automática do contrato inteligente, serviços de pontuação de risco, programas de recompensas por bugs, suporte pós-hack, Alerta Vermelho na BNB Chain, e muito mais. Nossa equipe reconhece que a segurança é um trabalho difícil, especialmente em meio à crescente popularidade dos projetos e sistemas.

Os principais desafios de segurança que os criadores de projetos enfrentam incluem: 

  1. Proteger a Infraestrutura Fundamental de TI - como o nome de domínio e ambiente de rede - para prevenir ataques.  

  2. Minimizar a possível vulnerabilidade de bugs na lógica do contrato inteligente e dos códigos.

  3. Gerenciar carteiras e fundos com menos risco e, ao mesmo tempo, introduzir a governança necessária e os controles internos das operações.

O plano de gerenciamento de risco da Binance se estende aos projetos listados na empresa. As iniciativas para aumentar a segurança de nossos projetos incluem uma auditoria complementar do contrato inteligente pela CertiK, juntamente com recomendações de segurança. Além disso, a equipe da Binance continuará a publicar artigos educativos sobre como os donos dos projetos podem evitar os ataques DNS.

Desde seu começo em 2017, a Binance trabalha arduamente para enfrentar os desafios de segurança conforme o setor evolui.

Veja aqui algumas dicas de segurança que gostaríamos de compartilhar:

  • Certifique-se que todos os membros da sua equipe - não só os que trabalham com segurança - passem por treinamento para os fundamentos de segurança.

  • Identifique o elo mais fraco em seu sistema, como por exemplo, conceder permissões em excesso para as equipes de operação.

  • Realize uma revisão regular de seu sistema e equipes, e seja adaptável às mudanças no cenário de segurança da Web3.

Minimize o risco de ataques, protegendo o gerenciamento de chaves da carteira, servidores de administração e códigos de permissão, usando o modelo "zero trust" e concedendo acesso com base na necessidade.

Primeira AMA (ask me anything) em colaboração com a Binance Labs 

Recentemente, convidamos líderes e especialistas do setor para compartilhar algumas das melhores práticas para a segurança das criptomoedas. Para quem perdeu, a gravação pode ser acessada neste link.   

Sobre a Certik

CertiK é uma plataforma de classificação de segurança que analisa e monitora protocolos de blockchain e projetos DeFi usando a verificação formal e tecnologia IA. A equipe ajudou os projetos listados da Binance a identificar vulnerabilidades em seus códigos dos contratos inteligentes on-chain.

Recentemente, a CertiK fortaleceu seu produto Skynet com mais características para tornar o Serviço de Alerta CertiK disponível on-chain e off-chain. Esse recurso inclui análise profunda de incidentes, análise do sentimento social e rastreamento da saúde da liquidez. 

A Web3 é uma nova área técnica, e a CertiK está enfrentando desafios, fornecendo serviços críticos e seguros. Até o momento, ela atingiu uma taxa de segurança de mais de 99,9%, protegeu cerca de US$300 bilhões de criptoativos, atendeu mais de 3.200 clientes, e conduziu mais de 250 auditorias mensais.

Sobre a Ancilia 

Ancilia é uma plataforma de detecção e prevenção de ameaças em tempo real, baseada no comportamento. Sua plataforma coleta dados on-chain e off-chain e fornece uma análise profunda através de um mecanismo de detecção de ameaças. Comparado às soluções existentes, a plataforma pode proteger projetos Web3 ao longo de todo o seu ciclo de vida.

Algumas das suas principais características incluem análise de segurança para contratos inteligentes, detecção de atividades maliciosas e anormais, monitoramento e proteção de ativos, monitoramento de processos de governança, monitoramento e garantia da qualidade dos dados externos e prevenção de atividades maliciosas.

No momento, em sua versão beta, Ancilia é especializada em garantir a informação de ativos com aprendizagem de máquina adaptada, monitoramento contínuo, detecção rápida de violação, e muito mais. 

Sobre a Salus Security 

Salus Security é uma empresa de segurança cibernética completa que fornece serviço automatizado de auditoria para contratos inteligentes e auditorias manuais especializadas. A Salus oferece soluções de segurança de ponta para blockchain que ajudam os clientes a liderarem suas respectivas indústrias e desbloquear seu potencial na Web3, criando confiança em sua tecnologia e infraestrutura.

Ela é capaz de lidar com as questões de segurança mais complexas do setor. Com sua profunda experiência em segurança tradicional e em blockchain, a Salus pretende tornar os serviços de segurança acessíveis a todos para garantir a economia digital de amanhã.

Conclusão: boas práticas de segurança na Web3

A responsabilidade de garantir um cenário Web3 seguro recai sobre as empresas de criptomoedas que atendem milhões de usuários em todo o mundo. Os projetos devem utilizar fornecedores de gerenciamento de domínio confiáveis e realizar auditorias regulares de contratos inteligentes para garantir a máxima segurança.

Os usuários devem proteger seus fundos sem clicar em links suspeitos, limpar periodicamente o cache de DNS e verificar regularmente programas nocivos em seu dispositivo:

  1. Guarde todas as chaves privadas com segurança.

  2. Nunca use o próprio computador para guardar suas chaves e nunca faça backup de sua carteira em nenhum software de nuvem.

  3. Escolha a plataforma de melhor reputação para reduzir o risco da contraparte. 

  4. Garanta um sistema operacional seguro ao instalar ferramentas de segurança tais como software anti-vírus e anti-phishing.

  5. Use uma carteira para queima, com poucos fundos, para emissão de NFTs ou para fazer transações em aplicativos descentralizados (DApp).

Como venture capital (capital de risco) e braço acelerador da Binance, a Binance Labs continuará com seus esforços para investir em projetos de segurança de criptomoedas e fornecer mais níveis de proteção para o setor da Web3. Para o crescimento sustentável da blockchain e da Web3, devemos priorizar a construção de um ecossistema seguro.

Esperamos que outros projetos possam aprender com as informações deste artigo e se concentrem no aspecto mais crucial - proteger nossos usuários.