𝗣𝗿𝗲𝗰𝗶𝘀𝗶𝗼𝗻 𝗟𝗼𝘀𝘀 𝗮𝗻𝗱 𝗥𝗼𝘂𝗻𝗱𝗶𝗻𝗴 𝗘𝘅𝗽𝗹𝗼𝗶𝘁𝘀

Translated for your language. Ler o original.

AI-assisted draft.

GyaanSetu Editorialhá 20 horas2min de leitura

Perda de Precisão e Exploits de Arredondamento

Contratos inteligentes não precisam de um bug em controle de acesso para perder dinheiro.

Às vezes, o exploit está escondido em uma simples divisão.

Contratos inteligentes financeiros utilizam aritmética de inteiros. Frações são descartadas. Essa direção de arredondamento altera quem recebe o valor. Um erro de uma unidade pode se repetir em milhares de transações.

Em um protocolo financeiro, o arredondamento é uma política de transferência de valor.

Toda divisão deve responder a três perguntas:

Em qual direção o cálculo arredonda?
Qual parte se beneficia dessa direção?
Um atacante pode repetir ou amplificar essa vantagem?

Erros matemáticos comuns incluem:

Dividir cedo demais Se você dividir antes de multiplicar, perderá precisão. Exemplo: (amount / 1e18) * rate. A divisão intermediária descarta dados antes que a multiplicação ocorra. Regra: Sempre multiplique antes de dividir.
Overflows intermediários Multiplicar primeiro pode causar um overflow mesmo que o resultado final caiba em um uint256. Use uma biblioteca como OpenZeppelin Math para realizar multiplicação e divisão de precisão total em uma única etapa.
Arredondamento na direção errada Arredondamento não é uma sugestão. É uma regra de segurança. Um protocolo conservador segue estes princípios:

Arredonde a dívida para cima.
Arredonde os pagamentos exigidos para cima.
Arredonde o valor do colateral para baixo.
Arredonde os ativos pagos aos usuários para baixo.
Arredonde as cotas cobradas dos usuários para cima.

Quando um resultado exato for impossível, arredonde contra a parte que tenta extrair valor.

Ataques de inflação Em cofres com baixa liquidez, atacantes podem usar doações para manipular taxas de câmbio. Eles doam ativos para aumentar a contagem total de ativos sem aumentar a contagem de cotas. Isso faz com que novos depósitos arredondem para baixo, resultando em zero cotas. Mitigação: Use ativos ou cotas virtuais para estabelecer uma taxa inicial estável.
Ataques de frequência Se os juros acumularem a cada bloco e arredondarem para baixo, um atacante pode disparar o acúmulo constantemente para manter os juros em zero. Mitigação: Use um índice de alta precisão ou carregue o resto para frente.

A engenharia financeira segura requer:

Unidades e escalas decimais explícitas.
Multiplicação e divisão de precisão total.
Arredondamento específico para a operação.
Rastreamento de restos.
Testes de invariantes e fuzz testing.

Não pergunte apenas se um cálculo é próximo o suficiente. Pergunte para onde vai o valor descartado e quem o recebe.

Fonte: https://dev.to/stablenaira/precision-loss-and-rounding-exploits-in-financial-smart-contracts-4c93

𝗣𝗿𝗲𝗰𝗶𝘀𝗶𝗼𝗻 𝗟𝗼𝘀𝘀 𝗮𝗻𝗱 𝗥𝗼𝘂𝗻𝗱𝗶𝗻𝗴 𝗘𝘅𝗽𝗹𝗼𝗶𝘁𝘀

Continuar lendo

𝗧𝗵𝗲 𝗦𝗶𝗹𝗲𝗻𝘁 𝗣𝗿𝗼𝗳𝗶𝘁 𝗟𝗲𝗮𝗸

𝗕𝘂𝘀𝗶𝗻𝗲𝘀𝘀 𝗟𝗼𝗴𝗶𝗰 𝗔𝘁𝘁𝗮𝗰𝗸𝘀 𝗘𝘅𝗽𝗹𝗮𝗶𝗻𝗲𝗱

Duplicação de Código é Mais Barata do que Abstrações Erradas

𝗖𝗼𝗱𝗲 𝗗𝘂𝗽𝗹𝗶𝗰𝗮𝘁𝗶𝗼𝗻 𝗜𝘀 𝗖𝗵𝗲𝗮𝗽𝗲𝗿 𝗧𝗵𝗮𝗻 𝗪𝗿𝗼𝗻𝗴 𝗔𝗯𝘀𝘁𝗿𝗮𝗰𝘁𝗶𝗼𝗻𝘀

Your SaaS Is Leaking Money