🇧🇷
Ethereum Developer Pack - PT
  • Ethereum Developer Pack - PT
  • Módulo 1
    • Introdução a Smart Contracts
      • Fundamentos de Blockchain
        • Histórico
        • Bitcoin
        • O que é Blockchain
        • Conceitos-chave em Blockchain
        • Como funciona a Blockchain
        • Tipos de Blockchain
        • Modelos de Consenso
      • A nova Internet
        • Web 3
        • Elementos Fundamentais
        • Impacto do Ethereum em Diversos Setores
      • Wallets
        • Componentes de uma wallet
        • Tipos de Wallet
        • Códigos Mnemônicos
      • Ethereum 101
        • Smart Contracts
        • Contas
          • Tipos de contas
          • Conteúdo das contas
        • Transações
          • Componentes
          • Ciclo de vida
        • Gás
        • Solidity
        • EVM
          • A máquina de estados
          • Opcodes
          • Como funciona a EVM
          • Clientes de execução
          • DApps
      • Blockchain Explorer
        • Funções de um blockchain explorer
        • Beneficios de utilizar um blockchain explorer
      • Remix
        • Características do Remix
        • Workspaces ou espaços de trabalho
        • Carregar e compilar um contrato
        • Implantar na máquina virtual do Remix (Remix VM)
        • Interagindo com funções
        • Deployar em uma rede pública
      • Crie seu primeiro Smart Contract
  • Módulo 2
    • Fundamentos de Solidity
      • Hello World
      • Tipos de Dados
      • Funções
      • Variáveis
        • Exercício 1
      • Operadores
        • Ejercicio 2
      • Constructor
        • Exercício 3
      • Convenções de nomenclatura
      • Tipos de armazenamento para variáveis
      • Estruturas de Controle
        • Exercício 4
      • Modificadores
      • Eventos
        • Exercício 5
      • Tipos de Referencia
        • Arrays
          • Exercício 6
        • Mappings
          • Exercício 7
        • Structs
          • Exercício 8
      • Address Payable
      • Como os contratos e funções recebem Ether.
      • Transferências de Ether
      • Conceitos Avançados
        • Codificação de ABI
        • Hashing
        • This
        • Herança
        • Abstract
        • Interface
        • Chamada entre contratos
        • EVM
        • ABI
        • Bytecode
        • Opcodes
  • Módulo 3
    • ERCs, Bibliotecas e Padrões de Desenvolvimento
      • Boas Práticas de Desenvolvimento
      • Padrões de Desenvolvimento
      • EIP & ERC
      • ERC-20
      • ERC-721
      • Open Zeppelin
      • Crie um Token ERC-20
      • Almacenamiento Descentralizado: IPFS
      • Crea un Token ERC-721
      • DeFi
  • Módulo 4
    • Kit de ferramentas para desenvolvimento na Ethereum
      • Requisitos para o módulo 4
        • Terminal
        • Git e Github
        • Node.js e npm
        • Visual Studio Code para Solidity
      • Toolkit
        • JSON-RPC
        • Ethers.js
          • Exercício
        • Hardhat
          • Implantação de um contrato no Hardhat
          • Implantação de um contrato em uma rede pública
        • Scaffold-ETH
          • Características do Scaffold-ETHCaracterísticas
          • Como instalar o Scaffold-ETH
  • Módulo 5
    • Segurança, Testes e Auditorias
      • Testes
        • Importância de realizar testes
        • Métodos para testar contratos inteligentes
          • Testes automatizados
          • Testes manuais
        • Conceitos importantes em testes
        • Ferramentas para testes
        • Testes com Hardhat
        • Recursos adicionais
      • Segurança
        • Uma mentalidade diferente de design
        • Principais vulnerabilidades em contratos inteligentes
          • Reentrancy attack (ataque de reentrada)
          • Replay attack (ataque de repetición)
          • Price Oracle Manipulation (Manipulación de Oráculos de Precios)
          • Missing Access Control (Pérdida de Control de Acceso)
          • Reward Manipulation (Manipulación de Recompensas)
          • Failure to Initialize (Falla al Inicializar)
          • Front-running
          • Invariant Breaks (Quebra de Invariantes)
          • Mishandling of ETH (Má gestão de ETH)
          • Denial of Service (DoS - Negação de Serviço)
          • Integer overflow and underflow (Overflow e Underflow de inteiros)
          • Phishing y Typosquatting
        • Recursos adicionais
      • Auditoria de smart contracts
        • Processo de Auditoria
        • Ferramentas
        • Como se preparar para uma auditoria
        • O teste Rekt
        • Desafios
        • Recursos adicionais
  • Contribuye
    • Kipu Explorer
Powered by GitBook
On this page
  1. Módulo 5
  2. Segurança, Testes e Auditorias
  3. Segurança
  4. Principais vulnerabilidades em contratos inteligentes

Invariant Breaks (Quebra de Invariantes)

Ocorre quando as condições ou “invariantes” que deveriam permanecer sempre verdadeiras dentro de um contrato inteligente são violadas. As invariantes são propriedades ou regras fundamentais que não devem mudar durante a execução do contrato. Se um atacante — ou até mesmo um usuário legítimo — encontrar uma forma de quebrar essas invariantes, podem ocorrer comportamentos inesperados, erros críticos ou perdas financeiras.

Exemplo: Considere um contrato inteligente de uma stablecoin que deve manter uma relação de 1:1 entre os tokens emitidos e os colaterais em reserva. Se por alguma falha na lógica do contrato ou manipulação externa essa relação for rompida — por exemplo, emitindo mais tokens do que colateral disponível — isso representaria uma quebra de invariante. Tal situação comprometeria a estabilidade e confiança na stablecoin, podendo causar perdas para os usuários:

contract Stablecoin {
    mapping(address => uint) public balances;
    uint public totalSupply;
    uint public totalCollateral;

    function mint(uint amount) external payable {
        require(msg.value == amount, "Must send exact collateral");
        balances[msg.sender] += amount;
        totalSupply += amount;
        totalCollateral += msg.value;
    }

    function burn(uint amount) external {
        require(balances[msg.sender] >= amount, "Insufficient balance");
        balances[msg.sender] -= amount;
        totalSupply -= amount;
        payable(msg.sender).transfer(amount);
        totalCollateral -= amount;
    }
}

Neste contrato, a invariante crítica é que totalSupply deve ser sempre igual a totalCollateral, garantindo que cada token emitido esteja lastreado por um valor equivalente em colateral.

Suponha que o contrato permita realizar operações de mint e burn dentro de uma mesma transação, mas não verifica corretamente o estado intermediário entre essas operações:

function mintAndBurn(uint mintAmount, uint burnAmount) external payable {
    mint(mintAmount);
    burn(burnAmount);
}

Se um atacante conseguir encontrar uma sequência específica de chamadas em que essa invariante seja quebrada temporariamente, ele poderá manipular o estado do contrato em benefício próprio. Por exemplo, poderia mintar mais tokens do que estão lastreados pelo colateral disponível ou queimar tokens sem reduzir o colateral equivalente, o que levaria a um desequilíbrio na reserva.

Mitigação:

  1. Validação de invariantes: Após cada operação crítica (como mint ou burn), o contrato deve validar explicitamente que as invariantes fundamentais foram mantidas. Isso pode ser feito por meio de funções de verificação, que asseguram que as relações entre variáveis importantes não foram violadas durante a execução da transação.

    function checkInvariants() internal view {
    require(totalSupply == totalCollateral, "Invariant violation: totalSupply must equal totalCollateral");
}

function mint(uint amount) external payable {
    require(msg.value == amount, "Must send exact collateral");
    balances[msg.sender] += amount;
    totalSupply += amount;
    totalCollateral += msg.value;
    checkInvariants();
}

function burn(uint amount) external {
    require(balances[msg.sender] >= amount, "Insufficient balance");
    balances[msg.sender] -= amount;
    totalSupply -= amount;
    payable(msg.sender).transfer(amount);
    totalCollateral -= amount;
    checkInvariants();
}

  2. Uso de modelos formais: Aplicar técnicas de verificação formal para modelar e testar o comportamento do contrato em diferentes cenários, garantindo que as invariantes sejam mantidas em todas as execuções possíveis. Ferramentas como Certora, K Framework, KEVM, ou métodos baseados em SMT solvers permitem analisar logicamente o código e detectar violações de invariantes antes da implementação real na blockchain.

  3. Restrição de operações compostas: Evitar que múltiplas operações críticas sejam realizadas dentro da mesma transação sem validação adequada do estado após cada uma delas. Se for necessário permitir tais operações compostas, isso deve ser feito com máximo cuidado, garantindo que as invariantes sejam preservadas em todos os pontos intermediários da execução.

PreviousFront-runningNextMishandling of ETH (Má gestão de ETH)

Last updated 21 days ago