Em 2016, a indústria de blockchain viu um caso de segurança sensacional que chocou toda a internet: um atacante gastou menos de 1 dólar em taxas de transação e, com uma linha de código escrita na ordem inversa, retirou 60 milhões de dólares em ativos digitais do contrato on-chain do principal projeto The DAO. Não houve força bruta, nem invasão ilegal; toda a operação foi realizada explorando uma falha lógica do próprio código.


O princípio desta vulnerabilidade é absurdamente simples: a lógica normal de saque deveria primeiro zerar o saldo da conta do usuário e depois executar a transferência. Mas o contrato da época inverteu a ordem — primeiro enviou o dinheiro, depois limpou o saldo. O atacante, no mecanismo de callback acionado pela transferência, iniciou pedidos de saque em loop, aproveitando que o sistema ainda não tinha atualizado o estado do saldo, retirando fundos rodada após rodada, num ciclo recursivo até esvaziar completamente as reservas do contrato. E a correção exigia apenas trocar a ordem de duas linhas de código.
The DAO não era um projeto insignificante; era o projeto de referência mais notável do ecossistema Ethereum na época, com uma campanha de crowdfunding de 150 milhões de dólares. O código passou por múltiplas revisões da comunidade e verificações de equipas de segurança profissionais, mas ninguém identificou este erro lógico tão básico.
O evento acabou por forçar a comunidade Ethereum a realizar um hard fork, revertendo as transações para recuperar os ativos roubados, e resultou diretamente na divisão da blockchain Ethereum Classic. A crença de longa data na indústria de que 'código é lei' foi duramente desmentida pela realidade pela primeira vez, e o debate sobre se explorar uma vulnerabilidade é uma operação legítima ou roubo ainda continua aceso.
Mais ironicamente, mais de uma década depois, este tipo de vulnerabilidade básica não só não desapareceu, como continua a reaparecer disfarçada. Em 2021, o conhecido protocolo de empréstimo CREAM Finance perdeu 130 milhões de dólares com o mesmo método. Devido à complexidade e aninhamento profundo da cadeia de chamadas, mesmo após uma auditoria profissional completa, o risco não foi detetado.
Além disso, ataques de manipulação de empréstimo relâmpago sem capital inicial, erros de baixo nível como permissões de funções mal escritas, e até mesmo um grande caso de ponte cross-chain que causou uma perda de 625 milhões de dólares apenas com um e-mail de phishing, aconteceram repetidamente na indústria. Muitos projetos, para cumprir prazos de lançamento e reduzir custos de desenvolvimento, comprometeram repetidamente a segurança, e cada detalhe negligenciado acabou por resultar em perdas astronómicas irreversíveis.$ETH
{spot}(ETHUSDT)
ETH1,76%
Ver original
post-image
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
  • Recompensa
  • Comentar
  • Republicar
  • Partilhar
Comentar
Adicionar um comentário
Adicionar um comentário
Nenhum comentário
  • Fixado