Os gráficos acíclicos direcionados (DAGs) surgiram como uma alternativa promissora à tecnologia blockchain. Ao contrário dos blockchains, os DAGs possuem uma estrutura única onde as transações são vinculadas de maneira direcionada e não circular, com novas formas de chegar a um consenso. Esta inovação promete velocidades de transação mais rápidas e maior descentralização, tornando-as uma escolha atraente para os entusiastas da criptografia. No entanto, eles podem apresentar seu próprio conjunto de desafios de segurança. Afinal, existem programas de recompensa por bugs por um motivo. Os cibercriminosos terão como alvo os pontos mais vulneráveis, e isso geralmente fica fora do próprio DAG, mas visando seus usuários de qualquer maneira. Porém, até o momento, podemos dizer que nenhuma estrutura do DAG foi hackeada. Por outro lado, os serviços relacionados, desde redes sociais e até contratos inteligentes, são outra história. Iremos nos aprofundar em alguns ataques envolvendo plataformas DAG, relatando cinco casos em que seus serviços relacionados foram vítimas de tentativas de hacking. Além disso, exploraremos estratégias e práticas recomendadas para se proteger dessas ameaças. Quer você seja um investidor experiente ou um novato, entender é essencial para proteger seus ativos digitais em um ecossistema criptográfico cada vez mais complexo. esses desafios Nano + Bit Grail Em 2018, o mundo das criptomoedas testemunhou uma grande violação de segurança envolvendo a bolsa italiana de criptomoedas BitGrail e a moeda digital Nano (anteriormente conhecida como Raiblocks). Essa moeda usa um livro-razão estruturado como um DAG (mais precisamente, estrutura de blocos) e seu sistema de consenso é bastante semelhante a um blockchain de Prova de Participação (PoS). começou quando o BitGrail relatou uma quantidade substancial de tokens Nano faltando em sua plataforma. O fundador da exchange, Francesco Firano, afirmou que o hack resultou O incidente no roubo de aproximadamente 17 milhões de tokens Nano, equivalentes a cerca de US$ 170 milhões na época. O rescaldo do hack do BitGrail foi marcado por uma disputa contenciosa entre a administração da bolsa e a equipe de desenvolvimento do Nano. Firano inicialmente sugeriu que o código do Nano era o responsável pela vulnerabilidade, culpando os desenvolvedores pelo roubo. Ele exigiu que um fork (atualização) controverso fosse mantido pela equipe Nano (para apagar o hack), o que eles recusaram. Na verdade, o hack aconteceu bem a tempo de ver um aumento de preço no Nano, e Firano escondeu que as violações vinham acontecendo desde 2017. BitGrail e Firano receberam pelo menos e, em última análise, Firano foi considerado diretamente responsável pelo ataque. Posteriormente, mais investigações revelaram que as medidas de segurança e os controles internos do BitGrail eram inadequados, levando ao comprometimento dos fundos dos usuários. duas ações judiciais coletivas Neste caso, o DAG não foi atacado, mas os usuários confiaram na empresa errada. Nas exchanges centralizadas, você não possui chaves privadas para seus fundos. Em vez disso, apenas uma conta com senha é fornecida e os fundos ficam sob total custódia (controle) dessa empresa. Se eles perderem (hacks, falência, etc.), você também perderá. É por isso que é importante não usar as exchanges como carteiras permanentes. IOTA + Moonpay IOTA é uma plataforma de criptomoeda que utiliza tecnologia Directed Acíclica Graph (DAG) para permitir transações mais rápidas e está focada no setor de Internet das Coisas (IoT). Ao contrário dos blockchains, o Tangle DAG da IOTA permite que os usuários validem transações confirmando outras, mas há um nó coordenador final para alcançar o consenso. Pretendem (desde 2016) livrar-se dela, mas entretanto o coordenador é controlado pela Fundação IOTA e a rede é centralizada. Isso foi amplamente comprovado em Fevereiro de 2020, quando toda a rede foi congelada pelo coordenador após uma violação grave. A IOTA sofreu uma violação de segurança devido a uma dependência de terceiros do Moonpay (um serviço de pagamento criptográfico), que comprometeu as sementes da carteira dos usuários ao carregar versões ilícitas do SDK do Moonpay dos servidores do Moonpay. Naquela época, os hackers roubaram 8,5 milhões de tokens nativos da IOTA, MIOTA, diretamente dos usuários – aproximadamente US$ 2 milhões na época. Carteira Trindade O cibercriminoso aguardava uma nova versão do Trinity para substituir arquivos em cache e eliminar rastros. Ações imediatas foram tomadas pela Fundação IOTA, incluindo a suspensão do coordenador e a criação de um plano de gestão de incidentes com atualizações públicas do estado. O ataque envolveu interceptação de DNS, modificação de código e uso indevido de chave de API. A IOTA respondeu desenvolvendo ferramentas de migração para os utilizadores afetados, melhorando as ferramentas analíticas e colaborando com especialistas em segurança e autoridades policiais. Trinity não é mais usado e MoonPay com eles para resolver o problema. Então, novamente, não foi um DAG violado, mas um serviço externo relacionado a ele. colaborou Hedera Hashgraph Hedera Hashgraph é um sistema de contabilidade distribuído que utiliza gráficos acíclicos direcionados (DAGs) para consenso. Em Hedera , os nós compartilham novas informações entre si, alcançando gradualmente um consenso por meio de múltiplas rodadas de compartilhamento. Esse histórico de eventos de compartilhamento de informações é representado como um hashgraph — um tipo de DAG. protocolo de fofoca Este sistema é patenteado, mas não está isento de erros. Em 9 de março de 2023, a rede Hedera Hashgraph a uma exploração de contrato inteligente, resultando no roubo de vários tokens de bolsas descentralizadas (DEXs), como Pangolin, SaucerSwap e HeliSwap. As contas de usuários de varejo e as carteiras Hedera não foram afetadas, mas foi vítima o invasor conseguiu roubar tokens avaliados em quase US$ 600.000. Eles incluíam DAI Stablecoin, Tether USD, USD Coin e Wrapped HBAR. Ações rápidas foram tomadas para mitigar o ataque. DEXs e pontes colaboraram para interromper o fluxo de tokens pela ponte uma hora após serem alertados sobre a violação. A equipe da Hedera desativou o acesso proxy à rede principal da Hedera (graças à rede ser centralizada, como o IOTA), impedindo maior acesso por parte dos usuários e do invasor. Uma correção foi rapidamente desenvolvida, testada e implementada 41 horas após a descoberta da vulnerabilidade. Ao contrário dos ataques anteriores em outros DAGs, desta vez, o sistema nativo foi realmente comprometido, especificamente, sua camada de contrato inteligente. A equipe agiu rapidamente para mitigá-lo. Rede Sui + Discord Sui Network é um livro-razão distribuído lançado em maio de 2023. Ele divide as transações em simples (como envio de dinheiro) e complexas (como leilões online). Transações simples não exigem consenso, mas use validadores Proof-of-Stake (PoS) e um protocolo de consenso baseado em DAG de alto rendimento chamado Bullshark. transações complexas Esta rede provou que a prevenção é importante, especialmente quando se trata de novas tecnologias. Pouco antes do lançamento da mainnet, a empresa de segurança CertiK encontrou um bug crítico no sistema. A falha era um bug de loop infinito no código de Sui que poderia ser acionado por um contrato inteligente malicioso. Esse tipo de ataque, conhecido como “ataque HamsterWheel”, não trava os nós, mas os mantém em execução indefinidamente, sem processar novas transações, tornando a rede inoperante. Uma vez que o bug , os desenvolvedores do Sui implementaram rapidamente correções para mitigar seu impacto, e a CertiK confirmou que essas correções já foram implantadas. A Fundação Sui concedeu US$ 500.000 à CertiK como recompensa por bugs. No entanto, não foi a única ameaça enfrentada por esta plataforma. foi identificado Mesmo antes do possível bug, em agosto de 2022, O anúncio foi compartilhado , onde vários usuários reclamaram de terem perdido fundos devido ao evento. O incidente envolveu hackers compartilhando um link para um suposto lançamento aéreo no canal de anúncios do servidor. Desde então, reforçaram seus processos de segurança e verificação no chat. o servidor Discord do Mysten Labs (criadores do Sui) foi hackeado. no Twitter Avalanche + DeFi Avalanche é outro protocolo criptográfico que usa estruturas DAG em vez de blockchains. Compreende : a Cadeia de Contrato (C-Chain) para contratos inteligentes, a Cadeia de Troca (X-Chain) para transferências rápidas de fundos com taxas baixas e a Cadeia de Plataforma (P-Chain) para apostas e recompensas. O X-Chain, em particular, aproveita a tecnologia DAG para alcançar alto rendimento e rápida finalização de transações. cadeias diferentes Vários protocolos DeFi baseados no Avalanche enfrentaram ataques importantes ao longo dos anos. O primeiro hack de alto perfil foi contra a plataforma de empréstimo em setembro de 2021. O ataque aconteceu porque eles dependiam de uma única fonte para obter informações de preços (oráculo), e essa fonte não tratava os pontos decimais corretamente. Isso permitiu ao invasor manipular preços e executar negociações em pares que não deveriam ser negociados. Vee Finanças Os tokens foram posteriormente transferidos para Ethereum e permanecem na posse do invasor. A Vee Finance suspendeu contratos de plataforma e funções relacionadas (o que demonstrou que a plataforma não era tão descentralizada como o termo DeFi implica), prosseguindo ativamente os esforços de recuperação de ativos. No entanto, isso não foi tudo para o Avalanche. Mais ataques viriam com o tempo. Isso resultou na retirada não autorizada de 8.804,7 ETH e 213,93 BTC (cerca de US$ 36 milhões na época). Em fevereiro de 2023, mais dois protocolos DeFi foram hackeados novamente: o agregador multi-chain Dexible e o DEX Platypus. , o invasor aproveitou a função selfSwap do aplicativo para movimentar mais de US$ 2 milhões em criptografia de usuários que autorizaram o aplicativo a acessar seus tokens. Dexible pausou seus contratos e aconselhou os usuários a revogar as autorizações de token. No primeiro caso O hacker explorou os contratos de ativos do protocolo usando um contrato inteligente malicioso com código-fonte não verificado. Agora, sobre os três casos, podemos dizer que alguns bugs escaparam dos desenvolvedores do DeFi desde o início, resultando na perda de fundos. No segundo caso, Ornitorrinco perdido US$ 8,5 milhões em um ataque relâmpago de empréstimo. Proteja-se dos riscos do DAG Para usuários médios de plataformas Directed Acycline Graph (DAG), diversas medidas e proteções importantes de segurança podem ser aplicadas para mitigar riscos: antes de usar qualquer serviço de terceiros, como carteiras ou bolsas, faça uma pesquisa para garantir que eles tenham uma boa reputação de segurança. Além disso, evite deixar grandes quantidades de criptografia nas exchanges por longos períodos. Use serviços confiáveis: Se você possui carteiras que lhe dão controle sobre suas chaves privadas, use-as. Isso significa que você tem controle direto sobre seus fundos. As carteiras frias oferecem uma camada extra de segurança. Proteja suas chaves privadas: Ao lidar com contas relacionadas a criptomoedas, use senhas fortes e exclusivas. Considere usar um gerenciador de senhas confiável para mantê-los seguros. Sempre que possível, habilite a autenticação de dois fatores (2FA) em suas contas. Use senhas fortes e habilite 2FA: mantenha-se atualizado com as últimas notícias e desenvolvimentos relacionados à plataforma DAG que você está usando. Compreender as vulnerabilidades potenciais pode ajudá-lo a tomar medidas preventivas. Mantenha-se informado: tenha cuidado com e-mails, mensagens ou sites de phishing que visam roubar suas informações de login ou chaves privadas. Sempre verifique URLs e fontes. Cuidado com golpes de phishing: para aplicativos ou serviços que solicitam permissão para acessar sua carteira ou tokens, revise e revogue essas permissões quando elas não forem mais necessárias. Revise regularmente as permissões: Evite colocar todos os seus ativos em uma única criptomoeda ou plataforma. A diversificação pode ajudar a distribuir o risco. Diversifique seus investimentos: Até agora, Obyte (também uma plataforma cripto-DAG) não sofreu um hack de alto perfil em seu sistema ou serviços relacionados. Isso não significa que eles sejam imunes a ataques. está ativo no Immunefi, com altas recompensas para desenvolvedores qualificados. No entanto, é sempre importante aplicar o em sua própria carteira e faça sua própria pesquisa para cada plataforma! Um programa de recompensa por bugs melhores medidas de segurança Imagem vetorial em destaque por Grátis
