Como os auditores detectam um golpe de tração de tapete DeFi: você pode fazer isso sozinho?

Os hackers roubaram mais criptomoedas de plataformas de finanças descentralizadas (DeFi) do que nunca em 2022. Quase 98% de todos os tokens lançados no DEX Uniswap, sinalizador de DeFi, foram identificados como puxões de tapete.

O mais recente, Defrost Finance, veio como um pesadelo de Natal para investidores em criptomoedas, gastando US$ 12 milhões de seu dinheiro. 

A maioria dos hacks em plataformas DeFi ocorre por meio de violações de segurança e exploits de código. Projetos que acabam sendo golpes de tapete apresentam sérios problemas de segurança que foram autorizados a passar despercebidos, ou talvez, despercebidos propositalmente. Para evitar riscos semelhantes, as auditorias de segurança DeFi são críticas.

Aqui descobriremos mais sobre essas auditorias, como elas são conduzidas e se é possível realizar uma auditoria DeFi sozinho. 

Os projetos DeFi são implementados como contratos inteligentes complexos e autoexecutáveis, muitas vezes transparentes e de código aberto. Eles atuam como acordos legais entre duas partes. E como nenhuma entidade centralizada está por trás deles, mesmo um pequeno bug nos contratos inteligentes pode levar a consequências irreversíveis.

Isso significa que não deve haver espaço para erros em contratos inteligentes. As auditorias de segurança de contrato inteligente DeFi destinam-se a garantir isso.

As auditorias de segurança examinam o código dos contratos inteligentes e como ele fundamenta os termos e condições dos contratos. A análise detalhada procura possíveis falhas de segurança, violações e bugs de sistema no código, para que não possa ser explorado. 

As auditorias de segurança, geralmente realizadas por terceiros, são vitais para garantir a segurança e credibilidade dos projetos e manter um ecossistema DeFi saudável.

Um tapete puxado é um tipo de golpe de saída que opera em um modelo simples: os desenvolvedores criam um protocolo DeFi de aparência legítima, executam-no e promovem-no até que o projeto atraia liquidez suficiente, depois retiram os fundos e desaparecem. 

Bem, nem sempre. Ocasionalmente, golpistas culpam os hackers por roubar liquidez e permanecem no negócio até a próxima vez.

Para implementar um ataque, os golpistas incorporam códigos maliciosos nos contratos inteligentes. Eles os modificam para impedir que os investidores vendam: defina a taxa de venda máxima (100%), coloque os proprietários de tokens na lista negra e bloqueie o dinheiro dos usuários em um contrato.

Alguns contratos inteligentes envolvem a codificação de uma “porta dos fundos” maliciosa neles, o que permite que os desenvolvedores retirem a liquidez.  

Na maioria das vezes, os contratos inteligentes modificados não são verificados pelos auditores de segurança e ficam ocultos aos olhos do público. Como a maioria dos contratos on-chain está disponível publicamente, a falta de transparência na GitHub pode ser uma bandeira vermelha. 

A indústria de blockchain e contratos inteligentes ainda é relativamente jovem, assim como o setor de auditoria de contratos inteligentes. Várias empresas se especializam em auditorias de segurança de contratos inteligentes, desenvolvem suas ferramentas e moldam seu know-how. 

Os padrões e as melhores práticas do setor de segurança de contratos inteligentes estão evoluindo. Apesar disso, alguns métodos de auditoria bastante padronizados são usados ​​pelos players da indústria de auditoria DeFi.

Normalmente, suas investigações começam com a avaliação do contrato inteligente. O auditor analisa o whitepaper, a lógica de negócios e a especificação técnica do protocolo DeFi para estimar riscos potenciais e recursos de segurança.

Em seguida, eles voltam sua atenção para o código do contrato inteligente. É quando a revisão e a análise do código começam. 

Os auditores inspecionam o código linha por linha, em busca de vulnerabilidades de diferentes níveis: críticas que podem resultar em vazamento de liquidez; nível médio, o que poderia prejudicar parcialmente o contrato inteligente; e questões de baixo nível, que menos afetam a segurança do contrato.

Eles implantam várias técnicas de auditoria, incluindo análises automatizadas e manuais. Ambos têm seus prós e contras.

Uma auditoria de segurança automatizada significa escanear o código com um software de análise automatizado, que procura bugs no banco de dados de vulnerabilidades conhecidas e identifica sua localização precisa no código.

A auditoria baseada em software normalmente é conduzida antes da análise manual para detectar erros que os humanos possam ignorar. É mais rápido e menos demorado, mas, ao mesmo tempo, pode nem sempre estar ciente do contexto e, assim, perder certas vulnerabilidades. 

A análise manual de código é fundamental na auditoria de contratos inteligentes e é a parte mais crítica de uma auditoria de segurança de código inteligente abrangente e precisa. É conduzido por pelo menos dois especialistas separados que inspecionam o código linha por linha.

O objetivo é verificar se todos os detalhes da especificação do projeto são implementados no contrato inteligente e se nada viola seu comportamento originalmente pretendido. 

Os auditores examinam o código em busca de comportamento não intencional e inesperado, questões cruciais de segurança e vulnerabilidades como reentrada, manipulação de dados, empréstimos instantâneos e outras manipulações que podem ser implementadas enquanto o contrato inteligente interage com outros.

Além disso, auditorias manuais realizam simulações para avaliar quão bem o contrato inteligente do projeto DeFi responde a ameaças não identificadas e quão capaz é de se defender contra elas. 

Na parte final da análise manual do código, o auditor compara a lógica do contrato inteligente com sua descrição no whitepaper do projeto. 

Depois que todas as vulnerabilidades forem identificadas e corrigidas, os auditores executam um processo de verificação dupla para garantir que o código inteligente seja executado conforme o esperado.

Por fim, após a conclusão da auditoria de segurança, os auditores preparam um relatório abrangente. É aqui que eles fornecem feedback detalhado sobre o que descobriram. Normalmente, o relatório deles vem com recomendações sobre como os pontos fracos do código detectados podem ser corrigidos para mitigar a segurança do projeto. 

Os contratos inteligentes são uma inovação relativamente nova. Seus padrões de segurança estão evoluindo de acordo. Isso significa que nenhuma regra de ouro garante a segurança total dos contratos inteligentes.

Além disso, nem todas as empresas de auditoria de contratos inteligentes são iguais e nem todas as auditorias garantem a segurança. Os auditores podem ter diferentes níveis de habilidade, diferentes objetivos e diferentes custos.

Sem falar que o mercado está cheio de desenvolvedores incompletos que forjam auditorias e ainda se beneficiam do nome de uma empresa respeitável. Foi o que aconteceu com a Peckshield, uma empresa de segurança blockchain e análise de dados, há mais de um ano.

Situações como essa são bastante comuns no espaço das criptomoedas. Eles pegam o nome de um auditor legítimo e respeitável e o colocam em seu whitepaper, dizendo que seu protocolo foi auditado.

A única maneira de evitar casos como esse é verificar a confirmação nos canais originais do auditor. Se não houver, é provável que o nome do auditor tenha sido roubado. 

Verifique sempre sua carteira de clientes para avaliar se o auditor é sólido e idôneo. Google os casos para verificar seus registros de experiência e verificar se algum dos projetos auditados sofreu uma puxada de tapete ou outros ataques.

Com tantos hacks e puxões de tapete no espaço criptográfico, é ingênuo imaginar que os projetos DeFi são seguros sem examiná-los com mais detalhes. Auditorias inteligentes de contratos fornecem uma camada crítica de segurança. 

Porém, mesmo os mais profissionais não garantem que um projeto DeFi esteja absolutamente livre de bugs. Os contratos inteligentes são complexos. Eles exigem análises detalhadas e abrangentes, experiência, ferramentas e, o mais importante, mais de um par de olhos.