🇧🇷
Ethereum Developer Pack - PT
  • Ethereum Developer Pack - PT
  • Módulo 1
    • Introdução a Smart Contracts
      • Fundamentos de Blockchain
        • Histórico
        • Bitcoin
        • O que é Blockchain
        • Conceitos-chave em Blockchain
        • Como funciona a Blockchain
        • Tipos de Blockchain
        • Modelos de Consenso
      • A nova Internet
        • Web 3
        • Elementos Fundamentais
        • Impacto do Ethereum em Diversos Setores
      • Wallets
        • Componentes de uma wallet
        • Tipos de Wallet
        • Códigos Mnemônicos
      • Ethereum 101
        • Smart Contracts
        • Contas
          • Tipos de contas
          • Conteúdo das contas
        • Transações
          • Componentes
          • Ciclo de vida
        • Gás
        • Solidity
        • EVM
          • A máquina de estados
          • Opcodes
          • Como funciona a EVM
          • Clientes de execução
          • DApps
      • Blockchain Explorer
        • Funções de um blockchain explorer
        • Beneficios de utilizar um blockchain explorer
      • Remix
        • Características do Remix
        • Workspaces ou espaços de trabalho
        • Carregar e compilar um contrato
        • Implantar na máquina virtual do Remix (Remix VM)
        • Interagindo com funções
        • Deployar em uma rede pública
      • Crie seu primeiro Smart Contract
  • Módulo 2
    • Fundamentos de Solidity
      • Hello World
      • Tipos de Dados
      • Funções
      • Variáveis
        • Exercício 1
      • Operadores
        • Ejercicio 2
      • Constructor
        • Exercício 3
      • Convenções de nomenclatura
      • Tipos de armazenamento para variáveis
      • Estruturas de Controle
        • Exercício 4
      • Modificadores
      • Eventos
        • Exercício 5
      • Tipos de Referencia
        • Arrays
          • Exercício 6
        • Mappings
          • Exercício 7
        • Structs
          • Exercício 8
      • Address Payable
      • Como os contratos e funções recebem Ether.
      • Transferências de Ether
      • Conceitos Avançados
        • Codificação de ABI
        • Hashing
        • This
        • Herança
        • Abstract
        • Interface
        • Chamada entre contratos
        • EVM
        • ABI
        • Bytecode
        • Opcodes
  • Módulo 3
    • ERCs, Bibliotecas e Padrões de Desenvolvimento
      • Boas Práticas de Desenvolvimento
      • Padrões de Desenvolvimento
      • EIP & ERC
      • ERC-20
      • ERC-721
      • Open Zeppelin
      • Crie um Token ERC-20
      • Almacenamiento Descentralizado: IPFS
      • Crea un Token ERC-721
      • DeFi
  • Módulo 4
    • Kit de ferramentas para desenvolvimento na Ethereum
      • Requisitos para o módulo 4
        • Terminal
        • Git e Github
        • Node.js e npm
        • Visual Studio Code para Solidity
      • Toolkit
        • JSON-RPC
        • Ethers.js
          • Exercício
        • Hardhat
          • Implantação de um contrato no Hardhat
          • Implantação de um contrato em uma rede pública
        • Scaffold-ETH
          • Características do Scaffold-ETHCaracterísticas
          • Como instalar o Scaffold-ETH
  • Módulo 5
    • Segurança, Testes e Auditorias
      • Testes
        • Importância de realizar testes
        • Métodos para testar contratos inteligentes
          • Testes automatizados
          • Testes manuais
        • Conceitos importantes em testes
        • Ferramentas para testes
        • Testes com Hardhat
        • Recursos adicionais
      • Segurança
        • Uma mentalidade diferente de design
        • Principais vulnerabilidades em contratos inteligentes
          • Reentrancy attack (ataque de reentrada)
          • Replay attack (ataque de repetición)
          • Price Oracle Manipulation (Manipulación de Oráculos de Precios)
          • Missing Access Control (Pérdida de Control de Acceso)
          • Reward Manipulation (Manipulación de Recompensas)
          • Failure to Initialize (Falla al Inicializar)
          • Front-running
          • Invariant Breaks (Quebra de Invariantes)
          • Mishandling of ETH (Má gestão de ETH)
          • Denial of Service (DoS - Negação de Serviço)
          • Integer overflow and underflow (Overflow e Underflow de inteiros)
          • Phishing y Typosquatting
        • Recursos adicionais
      • Auditoria de smart contracts
        • Processo de Auditoria
        • Ferramentas
        • Como se preparar para uma auditoria
        • O teste Rekt
        • Desafios
        • Recursos adicionais
  • Contribuye
    • Kipu Explorer
Powered by GitBook
On this page
  1. Módulo 5
  2. Segurança, Testes e Auditorias
  3. Segurança
  4. Principais vulnerabilidades em contratos inteligentes

Missing Access Control (Pérdida de Control de Acceso)

Ocurre cuando las funciones críticas dentro del contrato no están protegidas adecuadamente con restricciones de acceso. Esto permite que cualquier usuario, incluso aquellos no autorizados, pueda ejecutar esas funciones, lo que puede llevar a la manipulación de los datos del contrato, la apropiación de fondos, o la interrupción de su funcionamiento.

Ejemplo:

Imagina un contrato inteligente que gestiona un fondo común, donde varias personas pueden depositar y retirar fondos. El contrato tiene una función withdrawAllFunds que permite retirar todos los fondos del contrato y transferirlos a una dirección específica.

Si esta función no está protegida por un mecanismo de control de acceso, cualquier usuario podría llamar a withdrawAllFunds y especificar su propia dirección, retirando todos los fondos del contrato sin restricciones. Esto resultaría en la pérdida de todos los fondos depositados por otros usuarios.

contract VulnerableContract {
    address public owner;
    uint public totalFunds;

    constructor() {
        owner = msg.sender;
    }

    function deposit() external payable {
        totalFunds += msg.value;
    }

    function withdrawAllFunds(address payable _to) external {
        require(totalFunds > 0, "No funds available");
        _to.transfer(totalFunds);
        totalFunds = 0;
    }
}

En este ejemplo, la función withdrawAllFunds no tiene ningún control de acceso, por lo que cualquier persona podría ejecutarla, incluso si no es el propietario del contrato.

Mitigación:

  1. Implementar Modificadores de Acceso: La solución más directa es implementar modificadores que restrinjan el acceso a las funciones críticas solo a usuarios específicos, como el propietario del contrato o una lista de administradores. En Solidity, esto se puede hacer con un modificador onlyOwner, que permite que solo el propietario del contrato ejecute ciertas funciones.

    modifier onlyOwner() {
    require(msg.sender == owner, "Not the contract owner");
    _;
}

function withdrawAllFunds(address payable _to) external onlyOwner {
    require(totalFunds > 0, "No funds available");
    _to.transfer(totalFunds);
    totalFunds = 0;
}

    Con este modificador, solo el propietario del contrato puede llamar a la función withdrawAllFunds.

  3. Pruebas y simulaciones: Implementar pruebas rigurosas que simulen ataques potenciales, donde usuarios no autorizados intenten acceder a funciones críticas. Estas pruebas ayudan a garantizar que todas las funciones importantes estén adecuadamente protegidas.

PreviousPrice Oracle Manipulation (Manipulación de Oráculos de Precios)NextReward Manipulation (Manipulación de Recompensas)

Usar bibliotecas de control de acceso: Utilizar bibliotecas probadas y bien auditadas, como , para manejar los permisos de manera segura y estructurada. Estas bibliotecas permiten la creación de roles específicos y la asignación de permisos a funciones concretas.

OpenZeppelin AccessControl