Em 2016, o mundo do blockchain testemunhou um caso de segurança sensacional: um invasor gastou menos de 1 dólar em taxas de transação e, com uma linha de código escrita na ordem errada, drenou ativos digitais no valor de 60 milhões de dólares do contrato on-chain do projeto principal The DAO. Não houve invasão por força bruta, nem acesso ilegal; foi inteiramente uma operação realizada explorando uma brecha lógica no próprio código.



O princípio dessa vulnerabilidade é absurdamente simples: a lógica normal de saque deveria primeiro zerar o saldo da conta do usuário e depois executar a transferência. Mas o contrato da época inverteu a ordem — primeiro enviou os fundos, depois zerou o saldo. O invasor, no mecanismo de callback acionado pela transferência, fez solicitações de saque em loop, aproveitando que o sistema ainda não havia atualizado o estado do saldo, extraindo fundos rodada após rodada em um loop recursivo até esvaziar completamente as reservas do contrato. A correção exigia apenas trocar a posição de duas linhas de código.

The DAO não era um projeto qualquer; era o projeto de destaque mais notável do ecossistema Ethereum na época, com uma captação de recursos de 150 milhões de dólares. O código passou por múltiplas rodadas de revisão pela comunidade e auditoria de equipes profissionais de segurança, mas ninguém identificou esse erro lógico tão básico.

O evento acabou forçando a comunidade Ethereum a realizar um hard fork, revertendo à força as transações para recuperar os ativos roubados, e diretamente dividiu a cadeia, criando o Ethereum Classic. A crença da indústria de longa data de que "código é lei" foi duramente desmentida pela realidade pela primeira vez, e o debate sobre se explorar uma vulnerabilidade é uma operação legítima ou roubo continua até hoje.

Mais irônico é que, mais de uma década depois, essas vulnerabilidades básicas não desapareceram; pelo contrário, elas se repetem sob diferentes disfarces. Em 2021, o conhecido protocolo de empréstimo CREAM Finance perdeu 130 milhões de dólares com a mesma técnica. Devido às camadas aninhadas e complexas de chamadas, mesmo após uma auditoria profissional completa, o risco não foi identificado.

Além disso, ataques de empréstimo relâmpago de capital zero, erros básicos de permissão de funções mal escritas, e até mesmo o grande caso de ponte cross-chain que resultou em uma perda de 625 milhões de dólares apenas por um e-mail de phishing, tudo isso se repete na indústria. Muitos projetos, para acelerar o lançamento e reduzir custos de desenvolvimento, comprometem repetidamente a segurança, e cada detalhe de preguiça acaba se transformando em perdas astronômicas irreversíveis. $ETH
{spot}(ETHUSDT)
ETH2,36%
Ver original
post-image
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
  • Recompensa
  • Comentário
  • Repostar
  • Compartilhar
Comentário
Adicionar um comentário
Adicionar um comentário
Sem comentários
  • Fixado