🇧🇷
Ethereum Developer Pack - PT
  • Ethereum Developer Pack - PT
  • Módulo 1
    • Introdução a Smart Contracts
      • Fundamentos de Blockchain
        • Histórico
        • Bitcoin
        • O que é Blockchain
        • Conceitos-chave em Blockchain
        • Como funciona a Blockchain
        • Tipos de Blockchain
        • Modelos de Consenso
      • A nova Internet
        • Web 3
        • Elementos Fundamentais
        • Impacto do Ethereum em Diversos Setores
      • Wallets
        • Componentes de uma wallet
        • Tipos de Wallet
        • Códigos Mnemônicos
      • Ethereum 101
        • Smart Contracts
        • Contas
          • Tipos de contas
          • Conteúdo das contas
        • Transações
          • Componentes
          • Ciclo de vida
        • Gás
        • Solidity
        • EVM
          • A máquina de estados
          • Opcodes
          • Como funciona a EVM
          • Clientes de execução
          • DApps
      • Blockchain Explorer
        • Funções de um blockchain explorer
        • Beneficios de utilizar um blockchain explorer
      • Remix
        • Características do Remix
        • Workspaces ou espaços de trabalho
        • Carregar e compilar um contrato
        • Implantar na máquina virtual do Remix (Remix VM)
        • Interagindo com funções
        • Deployar em uma rede pública
      • Crie seu primeiro Smart Contract
  • Módulo 2
    • Fundamentos de Solidity
      • Hello World
      • Tipos de Dados
      • Funções
      • Variáveis
        • Exercício 1
      • Operadores
        • Ejercicio 2
      • Constructor
        • Exercício 3
      • Convenções de nomenclatura
      • Tipos de armazenamento para variáveis
      • Estruturas de Controle
        • Exercício 4
      • Modificadores
      • Eventos
        • Exercício 5
      • Tipos de Referencia
        • Arrays
          • Exercício 6
        • Mappings
          • Exercício 7
        • Structs
          • Exercício 8
      • Address Payable
      • Como os contratos e funções recebem Ether.
      • Transferências de Ether
      • Conceitos Avançados
        • Codificação de ABI
        • Hashing
        • This
        • Herança
        • Abstract
        • Interface
        • Chamada entre contratos
        • EVM
        • ABI
        • Bytecode
        • Opcodes
  • Módulo 3
    • ERCs, Bibliotecas e Padrões de Desenvolvimento
      • Boas Práticas de Desenvolvimento
      • Padrões de Desenvolvimento
      • EIP & ERC
      • ERC-20
      • ERC-721
      • Open Zeppelin
      • Crie um Token ERC-20
      • Almacenamiento Descentralizado: IPFS
      • Crea un Token ERC-721
      • DeFi
  • Módulo 4
    • Kit de ferramentas para desenvolvimento na Ethereum
      • Requisitos para o módulo 4
        • Terminal
        • Git e Github
        • Node.js e npm
        • Visual Studio Code para Solidity
      • Toolkit
        • JSON-RPC
        • Ethers.js
          • Exercício
        • Hardhat
          • Implantação de um contrato no Hardhat
          • Implantação de um contrato em uma rede pública
        • Scaffold-ETH
          • Características do Scaffold-ETHCaracterísticas
          • Como instalar o Scaffold-ETH
  • Módulo 5
    • Segurança, Testes e Auditorias
      • Testes
        • Importância de realizar testes
        • Métodos para testar contratos inteligentes
          • Testes automatizados
          • Testes manuais
        • Conceitos importantes em testes
        • Ferramentas para testes
        • Testes com Hardhat
        • Recursos adicionais
      • Segurança
        • Uma mentalidade diferente de design
        • Principais vulnerabilidades em contratos inteligentes
          • Reentrancy attack (ataque de reentrada)
          • Replay attack (ataque de repetición)
          • Price Oracle Manipulation (Manipulación de Oráculos de Precios)
          • Missing Access Control (Pérdida de Control de Acceso)
          • Reward Manipulation (Manipulación de Recompensas)
          • Failure to Initialize (Falla al Inicializar)
          • Front-running
          • Invariant Breaks (Quebra de Invariantes)
          • Mishandling of ETH (Má gestão de ETH)
          • Denial of Service (DoS - Negação de Serviço)
          • Integer overflow and underflow (Overflow e Underflow de inteiros)
          • Phishing y Typosquatting
        • Recursos adicionais
      • Auditoria de smart contracts
        • Processo de Auditoria
        • Ferramentas
        • Como se preparar para uma auditoria
        • O teste Rekt
        • Desafios
        • Recursos adicionais
  • Contribuye
    • Kipu Explorer
Powered by GitBook
On this page
  1. Módulo 5
  2. Segurança, Testes e Auditorias
  3. Segurança
  4. Principais vulnerabilidades em contratos inteligentes

Price Oracle Manipulation (Manipulación de Oráculos de Precios)

Es un riesgo común en los contratos inteligentes que dependen de oráculos externos para obtener datos sobre precios, como los precios de criptomonedas o activos del mundo real. Esta vulnerabilidad ocurre cuando un atacante manipula los datos proporcionados por el oráculo para influir en el comportamiento del contrato inteligente, causando pérdidas financieras o comportamientos inesperados.

Ejemplo:

Supongamos que un contrato inteligente de préstamos descentralizados (DeFi) utiliza un oráculo para determinar el precio de un token específico (por ejemplo, un token X) para calcular el colateral necesario para un préstamo. Si un atacante encuentra una forma de manipular el precio del token X proporcionado por el oráculo, podría inflar artificialmente el precio de X en el oráculo.

Con el precio inflado, el atacante podría pedir prestado una gran cantidad de otro activo (por ejemplo, ETH) utilizando una cantidad relativamente pequeña de X como colateral. Posteriormente, el atacante podría volver a manipular el precio hacia abajo y liquidar la posición a un precio mucho menor, causando pérdidas para el protocolo y otros usuarios.

Mitigación:

  • Uso de Oráculos Descentralizados: En lugar de depender de un único oráculo centralizado, se pueden utilizar oráculos descentralizados que obtienen datos de múltiples fuentes confiables. Esto reduce el riesgo de manipulación, ya que un atacante necesitaría influir en múltiples fuentes independientes para alterar el precio.

  • Promediar Precios de Múltiples Fuentes: Para evitar la manipulación en un solo punto, el contrato inteligente puede tomar el promedio de precios de varias fuentes diferentes. Esto hace que sea más difícil para un atacante manipular el precio de manera efectiva, ya que tendría que alterar todas las fuentes.

  • Implementar Time-Weighted Average Price (TWAP): Una técnica común para mitigar manipulaciones de corto plazo es el uso de un precio promedio ponderado en el tiempo (TWAP). En lugar de usar un precio instantáneo, el contrato calcula un precio promedio a lo largo de un período de tiempo, lo que suaviza las fluctuaciones abruptas y reduce la efectividad de un ataque de manipulación a corto plazo.

  • Chequeos de Coherencia: Los contratos inteligentes pueden implementar chequeos adicionales para validar que los precios obtenidos del oráculo están dentro de un rango razonable, basado en precios históricos u otros mercados. Si el precio cae fuera de estos límites, el contrato puede rechazar la operación o buscar datos adicionales.

  • Auditorías y Pruebas Rigurosas: Auditar y probar rigurosamente los contratos inteligentes para detectar posibles vectores de ataque relacionados con oráculos es fundamental. Las pruebas deben simular diferentes escenarios de manipulación para asegurar que el contrato pueda manejar situaciones adversas.

PreviousReplay attack (ataque de repetición)NextMissing Access Control (Pérdida de Control de Acceso)