Análise de incidentes de segurança Web3: um ataque significativo à carteira fria de uma plataforma de negociação
No dia 21 de fevereiro de 2025, uma conhecida plataforma de negociação teve sua Carteira fria de Ethereum atacada, com cerca de 401,346 ETH, 15,000 cmETH, 8,000 mETH, 90,375 stETH e 90 USDT transferidos para um endereço desconhecido, totalizando um valor de cerca de 14.6 bilhões de dólares.
O atacante induz os signatários da carteira multi-assinatura da plataforma a assinar transações maliciosas através de métodos de phishing. Os passos do ataque são os seguintes:
O atacante implanta antecipadamente um contrato malicioso contendo uma porta dos fundos para a transferência de fundos.
Alterar a interface de gestão de segurança, fazendo com que as informações da transação vistas pelo signatário não correspondam aos dados realmente enviados para a Carteira fria.
Obter três assinaturas válidas através de uma interface falsificada, substituir o contrato de implementação da carteira multi-assinatura por uma versão maliciosa, e assim controlar a carteira fria e transferir fundos.
A empresa de segurança encarregada de realizar a investigação forense atualmente descobriu:
No armazenamento em nuvem da plataforma de gestão de segurança, os recursos foram injetados com código JavaScript malicioso.
A análise do código mostra que o seu principal objetivo é manipular o conteúdo da transação durante o processo de assinatura.
O código malicioso tem condições de ativação, sendo acionado apenas em endereços de contrato específicos.
Após a execução de transações maliciosas, a versão atualizada dos recursos JavaScript foi carregada, removendo o código malicioso.
A avaliação inicial indica que o ataque se origina da infraestrutura em nuvem da plataforma de gestão de segurança.
Actualmente não foram encontrados sinais de invasão na infraestrutura da própria plataforma.
De acordo com as informações disponíveis, o front-end não é o principal problema; a chave está no fato de o serviço de armazenamento em nuvem ter sido invadido, levando à manipulação do JavaScript. Mas se a plataforma de gestão de segurança tivesse implementado uma verificação básica de integridade no front-end, mesmo que o JavaScript fosse alterado, não teria causado consequências tão graves. Claro, a plataforma de negociação também não pode escapar da culpa, pois confirmaram a transação sem que a carteira de hardware mostrasse informações específicas da transação, o que por si só já apresenta riscos na confiança no front-end da plataforma de gestão de segurança.
As carteiras de hardware têm limitações ao lidar com transações complexas, não conseguem analisar e exibir completamente os dados detalhados das transações de carteiras multi-assinatura, levando os signatários a realizar "assinaturas cegas" sem verificar completamente o conteúdo da transação.
Os hackers são especialistas em explorar falhas de design nos processos de interação para enganar os ativos dos usuários, como sequestro de UI, assinaturas fraudulentas, utilização de assinaturas cegas, abuso de assinaturas Permit, phishing TransferFrom de zero transferência, esquemas de airdrop com números finais iguais, phishing de NFT, entre outros.
Com o desenvolvimento da tecnologia Web3, a linha entre a segurança do front-end e a segurança da blockchain está cada vez mais borrada. As vulnerabilidades tradicionais do front-end ganham uma nova dimensão de ataque no cenário Web3, enquanto as vulnerabilidades de contratos inteligentes, falhas na gestão de chaves privadas e outros problemas ampliam ainda mais os riscos.
Parâmetro de transação adulterado: interface mostra a transferência, autorização realmente executada
O usuário vê a janela da Carteira exibindo "Transferir 1 ETH para 0xUser...", mas na verdade a execução na cadeia é "approve(atacante, ilimitado)", os ativos podem ser transferidos a qualquer momento.
Solução: Verificação de assinatura estruturada EIP-712
Geração de dados verificáveis na frente
Verificação de assinatura de contrato inteligente
Dessa forma, qualquer alteração nos parâmetros do front-end resultará em uma incompatibilidade da assinatura, fazendo com que a transação seja revertida automaticamente.
Sequestro de assinatura cega: razões pelas quais a carteira fria foi comprometida
Os atacantes podem sequestrar o código do front-end e enviar calldata falsificada para a carteira fria. A tela da carteira fria exibe informações de transação normais, mas o que realmente é executado é "approve(attacker, unlimited)".
Solução: Análise semântica da carteira de hardware + Verificação secundária na cadeia
Atualizar o firmware da Carteira fria para suportar EIP-712
Correspondência semântica forçada na cadeia
Conclusão
A fusão da segurança do front-end com a segurança do Web3 é tanto um desafio quanto uma oportunidade. Este incidente expôs problemas profundos na gestão de segurança e na arquitetura técnica da indústria de criptomoedas. A indústria precisa melhorar de forma abrangente suas capacidades de proteção em várias áreas, como segurança de dispositivos, validação de transações e mecanismos de controle de riscos, para enfrentar ameaças cada vez mais complexas. O desenvolvimento front-end deve realizar verificações repetidas em etapas como acesso a DApps, conexão de Carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação, passando de um "remendo passivo" para uma "imunização ativa". Somente assim será possível preservar o valor e a confiança de cada transação no mundo aberto do Web3.
Claro, a auditoria de segurança de contratos em cadeia é indispensável para cada Dapp. Ferramentas de escaneamento de segurança assistidas por IA podem garantir a correção do código através da verificação formal e gerar normas de segurança assistidas por inteligência artificial, fornecendo análise de similaridade de código e risco de propriedade intelectual para um grande número de contratos implantados, monitorizando 24 horas por dia e notificando imediatamente sobre possíveis vulnerabilidades zero-day e eventos de segurança que possam afetar o projeto. Algumas ferramentas também possuem modelos de IA otimizados com base em um banco de dados de vulnerabilidades em grande escala para detectar vários tipos de vulnerabilidades práticas em contratos inteligentes.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
13 Curtidas
Recompensa
13
6
Compartilhar
Comentário
0/400
GameFiCritic
· 16h atrás
Mais uma vez, ataque front-end. A validação da visibilidade dos dados ainda não está bem feita.
Ver originalResponder0
MidnightSeller
· 16h atrás
Outra coisa negra, é realmente interessante!
Ver originalResponder0
AirdropHuntress
· 16h atrás
Catorze assinaturas foram presas. Imposto sobre a inteligência, hein?
Ver originalResponder0
quiet_lurker
· 16h atrás
Problemas de segurança são sempre uma grande dificuldade!
Ver originalResponder0
BoredApeResistance
· 17h atrás
Outra vez fui enganado por idiotas, o que aconteceu com o Web3?
Ver originalResponder0
ChainWallflower
· 17h atrás
Isso foi muito duro, Queda de 50% de um grande número de pessoas.
A plataforma de negociação Web3 foi alvo de um ataque de Carteira fria de 1.460 milhões de dólares, com a segurança do front-end a tornar-se o foco.
Análise de incidentes de segurança Web3: um ataque significativo à carteira fria de uma plataforma de negociação
No dia 21 de fevereiro de 2025, uma conhecida plataforma de negociação teve sua Carteira fria de Ethereum atacada, com cerca de 401,346 ETH, 15,000 cmETH, 8,000 mETH, 90,375 stETH e 90 USDT transferidos para um endereço desconhecido, totalizando um valor de cerca de 14.6 bilhões de dólares.
O atacante induz os signatários da carteira multi-assinatura da plataforma a assinar transações maliciosas através de métodos de phishing. Os passos do ataque são os seguintes:
A empresa de segurança encarregada de realizar a investigação forense atualmente descobriu:
De acordo com as informações disponíveis, o front-end não é o principal problema; a chave está no fato de o serviço de armazenamento em nuvem ter sido invadido, levando à manipulação do JavaScript. Mas se a plataforma de gestão de segurança tivesse implementado uma verificação básica de integridade no front-end, mesmo que o JavaScript fosse alterado, não teria causado consequências tão graves. Claro, a plataforma de negociação também não pode escapar da culpa, pois confirmaram a transação sem que a carteira de hardware mostrasse informações específicas da transação, o que por si só já apresenta riscos na confiança no front-end da plataforma de gestão de segurança.
As carteiras de hardware têm limitações ao lidar com transações complexas, não conseguem analisar e exibir completamente os dados detalhados das transações de carteiras multi-assinatura, levando os signatários a realizar "assinaturas cegas" sem verificar completamente o conteúdo da transação.
Os hackers são especialistas em explorar falhas de design nos processos de interação para enganar os ativos dos usuários, como sequestro de UI, assinaturas fraudulentas, utilização de assinaturas cegas, abuso de assinaturas Permit, phishing TransferFrom de zero transferência, esquemas de airdrop com números finais iguais, phishing de NFT, entre outros.
Com o desenvolvimento da tecnologia Web3, a linha entre a segurança do front-end e a segurança da blockchain está cada vez mais borrada. As vulnerabilidades tradicionais do front-end ganham uma nova dimensão de ataque no cenário Web3, enquanto as vulnerabilidades de contratos inteligentes, falhas na gestão de chaves privadas e outros problemas ampliam ainda mais os riscos.
Parâmetro de transação adulterado: interface mostra a transferência, autorização realmente executada
O usuário vê a janela da Carteira exibindo "Transferir 1 ETH para 0xUser...", mas na verdade a execução na cadeia é "approve(atacante, ilimitado)", os ativos podem ser transferidos a qualquer momento.
Solução: Verificação de assinatura estruturada EIP-712
Dessa forma, qualquer alteração nos parâmetros do front-end resultará em uma incompatibilidade da assinatura, fazendo com que a transação seja revertida automaticamente.
Sequestro de assinatura cega: razões pelas quais a carteira fria foi comprometida
Os atacantes podem sequestrar o código do front-end e enviar calldata falsificada para a carteira fria. A tela da carteira fria exibe informações de transação normais, mas o que realmente é executado é "approve(attacker, unlimited)".
Solução: Análise semântica da carteira de hardware + Verificação secundária na cadeia
Conclusão
A fusão da segurança do front-end com a segurança do Web3 é tanto um desafio quanto uma oportunidade. Este incidente expôs problemas profundos na gestão de segurança e na arquitetura técnica da indústria de criptomoedas. A indústria precisa melhorar de forma abrangente suas capacidades de proteção em várias áreas, como segurança de dispositivos, validação de transações e mecanismos de controle de riscos, para enfrentar ameaças cada vez mais complexas. O desenvolvimento front-end deve realizar verificações repetidas em etapas como acesso a DApps, conexão de Carteira, assinatura de mensagens, assinatura de transações e processamento pós-transação, passando de um "remendo passivo" para uma "imunização ativa". Somente assim será possível preservar o valor e a confiança de cada transação no mundo aberto do Web3.
Claro, a auditoria de segurança de contratos em cadeia é indispensável para cada Dapp. Ferramentas de escaneamento de segurança assistidas por IA podem garantir a correção do código através da verificação formal e gerar normas de segurança assistidas por inteligência artificial, fornecendo análise de similaridade de código e risco de propriedade intelectual para um grande número de contratos implantados, monitorizando 24 horas por dia e notificando imediatamente sobre possíveis vulnerabilidades zero-day e eventos de segurança que possam afetar o projeto. Algumas ferramentas também possuem modelos de IA otimizados com base em um banco de dados de vulnerabilidades em grande escala para detectar vários tipos de vulnerabilidades práticas em contratos inteligentes.