Falhas Comuns de Segurança em torno dos Projetos de NFT & Como se Proteger Contra Eles

Falhas Comuns de Segurança em torno dos Projetos de NFT & Como se Proteger Contra Eles

Visão Geral

Os projetos de NFT estão se tornando um ponto de partida no espaço das criptomoedas e é provável que fiquem aqui. À medida que mais criadores, colecionadores, marcas e indústrias exploram utilitários NFT e o mundo da arte digital, é fundamental construir e viabilizar plataformas seguras através dos ecossistemas NFT. Este guia abordará os recentes hacks no espaço NFT, riscos para as comunidades NFT e contratos inteligentes e melhores práticas de segurança para os projetos de NFT.

Hacks de NFT

Os NFTs não são diferentes de qualquer outro armazenamento de valor no que se refere a atrair um comportamento nefasto. Os mesmos atributos que atraem os criadores, coletores e projetos comunitários de NFTs também são atraentes para os hackers. A maioria dos hacks bem-sucedidos envolveu principalmente invasores capazes de tirar proveito de medidas de segurança frouxas. Vamos dar uma olhada:

Gateway Nifty

Os hackers roubaram milhares de obras de arte de contas de usuários. A Nifty informou que sua plataforma não tinha sido comprometida e que estes eram usuários que não tinham 2FA (autenticação por dois fatores) habilitados em suas contas.

Beeple

Os scammers (fraudadores) conseguiram invadir a conta no Twitter do famoso artista digital Beeple. Os invasores twitaram um link oficial de cunhagem para uma rifa prometendo uma cunhagem grátis para mais de 200 peças. Uma vez que as carteiras dos usuários foram conectadas, elas foram esvaziadas e os invasores conseguiram roubar aproximadamente 400 mil dólares de ativos criptográficos.

Bored Ape Yacht Club

O popular Instagram do projeto de NFT foi invadido e os invasores enviaram um post de phishing (técnica para enganar usuários) com um link para conectar as carteiras a um falso contrato inteligente. Uma vez conectadas, as carteiras foram esvaziadas de criptomoedas e NFTs. Quatro Bored Apes foram comprometidos, assim como outros ativos, num total de cerca de 3 milhões de dólares.

OpenSea

O mercado sofreu golpes de phishing, bem como uma invasão que explorou uma brecha que permitiu aos usuários comprar NFTs a preços muito mais baixos do que o valor real de mercado do NFT.

Adidas

As falhas nos contratos inteligentes foram exploradas contornando os limites do número máximo de tokens adquiridos para uma determinada carteira. Um atacante foi capaz de coletar 330 NFTs simplesmente removendo o limite que permitia que apenas dois NFTs fossem coletados por carteira.

Magic Eden

Um dos maiores mercados de NFT da Solana teve que fazer uma pausa em sua plataforma e serviços devido a duas grandes puxadas de tapete que resultaram em centenas de milhares perdidos. Dois projetos, King of Chess e Balloonsville, estavam por trás dos golpes. O Magic Eden reembolsou os cunhadores de ambos os projetos e está tomando medidas para evitar futuros puxões de tapetes.

Falhas de segurança em uma comunidade NFT

Você pode se surpreender ao saber que a segurança de NFT não ocorre inteiramente na blockchain. Muitos dos recentes hacks de NFT destacados acima foram resultados de credenciais comprometidas, má qualidade de segurança e tentativas de phishing.

Se você está administrando uma comunidade para um projeto de NFT, pode ser um desafio e tanto, especialmente quando você é responsável por múltiplas contas de mídia social como Twitter, Instagram, Discord, Telegram e outros. Todas as contas associadas ao seu projeto de NFT estão sujeitas a golpes e ataques de engenharia social e todos os usuários associados a cada conta (seguidores, grupos etc.) são alvos de vários golpes, tais como phishing, cópias de tokens, airdrops e puxadas de tapete.

Mecanismos comuns de fraude de NFTs que podem ser direcionados para uma comunidade NFT:

Cópias de Token

Os tokens maliciosos podem muitas vezes ser disfarçados de tokens populares e, devido à volatilidade dos preços, o valor pode flutuar drasticamente, resultando em perdas extremas.

Puxadas de Tapete

Estas são semelhantes a um esquema em pirâmide onde o criador de um token divulgará um projeto e rapidamente investirá muito dinheiro para criar um crescimento rápido. Uma vez alcançado o valor, eles puxarão os fundos, tornando o projeto/token sem valor.

Airdrops

Isso normalmente acontece em torno do lançamento do projeto e os tokens podem ser oferecidos aos usuários em vez de comprados. Uma configuração comum é que os tokens não serão trocados quando se tenta uma ação e o usuário será redirecionado para um site que pede informações pessoais, frases semente, chaves privadas etc.

Engenharia Social

Estes são ataques de phishing e spear phishing lançados contra a comunidade para clicar em links ou anexos maliciosos. Estes também podem ser lançados contra os proprietários/administradores de contas para que eles revelem informações confidenciais (senhas, frases semente etc.) para que possam assumir as contas.

Mesmo os usuários de criptomoedas e tecnologia avançada podem ser suscetíveis a ameaças, fraudes, malware, comprometimento de dispositivos, comprometimento de contas e perda de ativos e fundos.

Dicas para proteger seu projeto de NFT

A segurança é difícil, mas há uma série de melhores práticas que você pode implementar como administrador comunitário ou desenvolvedor de contrato inteligente para aumentar o nível de segurança de seu projeto de NFT.

Manter-se informado e consciente dos cenários digitais com os quais você interage na maioria das vezes lhe permitirá adaptar-se e evitar fraudes. Os fraudadores visarão plataformas criptográficas e mídias comuns como Twitter, Discord, Telegram, Metamask e OpenSea para tentar facilitar os golpes e as apropriações de contas. O e-mail é o vetor mais comum utilizado para campanhas de phishing. As contas oficiais de suporte nunca solicitarão frases semente/ de recuperação ou chaves privadas.

Gestão da comunidade

Senhas & Proteção 2FA

• Proteja suas senhas através de um gerenciador de senhas.
• Gere senhas complexas e únicas (isso também pode ser feito através de um gerenciador de senhas)
• Evite armazenar quaisquer senhas em um navegador da web, especialmente para carteiras baseadas em navegador.
• Habilite 2FA em cada conta, especialmente se você for um administrador da conta.
• Evite autenticação por SMS/E-mail se possível e use o 2FA baseado em aplicativos.
• Verifique os endereços de e-mail do remetente antes de responder, clicar, ou compartilhar qualquer informação.

Segurança da Carteira

• Proteja sua frase semente/de recuperação para quaisquer carteiras vinculadas a um projeto.
• Mantenha as frases semente/de recuperação off-line e faça mais de uma cópia.
• Divida a frase ao meio e armazene-a em dois locais separados.
• Use uma carteira de hardware segura e equilibre seus fundos entre quente e frio.
• Ative a listagem de permissão em carteiras e contas sempre que possível.

Mantendo Suas Ferramentas e Dispositivos Atualizados

Mantenha seus navegadores, dispositivos e OS (sistema operacional) tão atualizados quanto possível.

Certifique-se de estar usando as últimas versões de todas as ferramentas, bibliotecas de terceiros e pontos de integração.

Dicas de segurança para Contrato Inteligente

• Não pule as auditorias de segurança.
• Novos olhares são sempre úteis. Solicite a ajuda de outros fora de seu projeto para completar uma revisão.
• Seja cuidadoso e atento à funcionalidade extra, embora esta possa ser popular em plataformas como a Ethereum, a funcionalidade extra geralmente tem um trade-off (compromisso) em termos de segurança.
• Siga as melhores práticas para protocolos que suportam contratos inteligentes complexos e multifuncionais.
• Utilize ferramentas de validação automática sempre que possível para obter validação de segurança adicional.
• Sua escolha de linguagem de programação é importante. Se possível, escolha uma linguagem que tenha em mente a segurança. Muitas linguagens fornecerão imensa capacidade de criar contratos complexos e altamente funcionais, mas isto abre mais oportunidades para erros. Linguagens mais simples tornam o desenvolvimento mais fácil e menos suscetível a erros.
• Siga as melhores práticas para o desenvolvimento de contratos inteligentes específicos para sua rede de blockchain.
• Utilize estruturas específicas de rede para cada blockchain
• Os testes são cruciais, desde testes unitários para a funcionalidade do contrato até a utilização de redes de teste de blockchain antes do lançamento da produção.
• Bug bounties (programa de recompensas por bugs) são uma ótima maneira de acelerar o processo de revisão de segurança e fazer com que as partes externas verifiquem seu contrato inteligente.
• Use ferramentas de teste adicionais específicas para sua rede blockchain; verificação formal, execução simbólica, linters (ferramentas de análise estática de código) e analisadores de cobertura de teste são alguns tipos de ferramentas.
• Revise e verifique todos os aplicativos de terceiros, integrações e bibliotecas para seus projetos, tanto na camada de contrato inteligente/aplicativos quanto na sua comunidade. Embora as bibliotecas, ferramentas e aplicativos de terceiros sejam ótimos, eles podem abrir uma ampla porta para vulnerabilidades.
• É comum o uso de desenvolvedores terceirizados para a construção de contratos inteligentes. Controle esses times de forma diligente!
• A implementação de diretrizes da comunidade pode ajudar a manter seus usuários seguros. Aqui, você pode listar canais de comunicação verificados, diretrizes de uso de comunicação, diretrizes de participação, links verificados e recursos adicionais, tais como dicas e ajuda.

O que fazer se você acha que foi comprometido

Ninguém quer pensar no pior cenário, mas ter um plano no caso de algo dar errado ajudará a proteger sua comunidade e seus ativos. Aqui estão algumas coisas que você pode fazer se achar que está comprometido:

1. Tenha um plano! Saiba o que você vai fazer e quem você vai chamar se algo acontecer.

2. Tenha um expert em segurança em seu time ou um amigo que possa ajudar a guiá-lo através de sua resposta. Você provavelmente ficará estressado e eles poderão ajudá-lo.

3. Mude suas senhas e a 2FA imediatamente.

4. Notifique sua comunidade o mais rápido possível para que ela não clique em nenhum link malicioso ou responda a qualquer mensagem falsa que potencialmente contenha um malware.

5. Se a senha que foi comprometida estiver sendo usada em outras contas, mude-as imediatamente também.

6. Verifique se há transações suspeitas nas carteiras.

7. Desconecte quaisquer carteiras de sites, onde aplicável.

8. Transfira quaisquer fundos ou NFTs para uma nova carteira o mais rápido possível.

9. Mude imediatamente as senhas de sua carteira e qualquer 2FA.

10. Verifique se há algum malware que possa ter sido instalado.

11. Implante limites de gastos e aprovações de contratos inteligentes onde você possa evitar grandes perdas.

12. Ative a lista de permissão para um endereço seguro no caso do invasor tentar qualquer transferência.

Conclusão

Os NFTs oferecem oportunidades de investimento, colaboração de marca, coleção de arte digital e melhoria da economia do criador. Como qualquer outro ativo, os NFTs também podem ser explorados por meio de uma série de vulnerabilidades. Quer as falhas estejam no contrato inteligente, no mercado ou nas contas da mídia social, é importante que aqueles que estão construindo projetos de NFTs entendam os riscos e como reduzi-los para proteger as comunidades. As auditorias de segurança e o uso das melhores práticas de segurança em um projeto de NFT são essenciais para proteger esses ativos valiosos.

Inscreva-se em nossa newsletter para mais artigos e guias. Sinta-se à vontade para chegar até nós via Twitter se você tiver algum feedback. Você pode conversar conosco pelo Discord, com alguns dos desenvolvedores mais legais que você já conheceu :)

23 de setembro de 2022

Esse artigo foi traduzido por Fátima Lima.