Comprar Cripto
Pagar com
USD
USD
Comprar e vender
HOT
Compre e venda criptomoedas através da Apple Pay, cartões, Google Pay, transferências bancárias e muito mais
P2P
0 Fees
Taxas zero, mais de 400 opções de pagamento e compra e venda fácil de criptomoedas
Cartão Gate
Cartão de pagamento de criptomoedas, que permite transações globais sem falhas.
Mercados
Negociar
Tipo de negociação
Ferramentas de negociação
Futuros
Futuros
Centenas de contratos liquidados em USDT ou BTC
Opções
HOT
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Arranque dos futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para ganhar recompensas generosas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Earn
Launch
CandyDrop
tag
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Launchpad
Chegue cedo ao próximo grande projeto de tokens
Pontos Alpha
NEW
Negoceie ativos on-chain e desfrute de recompensas de airdrop!
Pontos de futuros
NEW
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Comunidade
Square
Gate Fun
Partilhe a sua publicação e mantenha-se informado sobre as criptomoedas e não só
Live
moments live
Análise de mercado cripto em tempo real
Conversar
Converse com os operadores cripto
Notícias
O que está a acontecer na criptografia
web3
Web3
Mais
Promoções
Guia para iniciantes
giveaways
Centro de Recompensas
Gate Learn
Cursos
Artigos
GlossárioPesquisa
Gate Learn
Glossário
Ataque de Replay

Ataque de Replay

SegurançaBlockchain
Nas aplicações de blockchain e criptomoeda, um ataque de replay consiste em um incidente em que um atacante volta a submeter uma transação, mensagem ou assinatura de autorização já aprovada, seja no mesmo ambiente blockchain ou noutro distinto, obrigando o sistema a executá-la novamente. Estes ataques tendem a ocorrer devido à inexistência de nonces únicos, à ausência de vinculação do chainId, a autorizações sem prazo de validade ou sem associação a um domínio. Entre as consequências possíveis encontram-se o duplo gasto de ativos, transferências repetidas de NFTs ou a reutilização indevida de credenciais de acesso.
Resumo
1.
Um ataque de repetição ocorre quando um atacante interceta e retransmite dados válidos para enganar um sistema e executar operações não autorizadas.
2.
Na blockchain, ataques de repetição podem fazer com que a mesma transação seja executada em diferentes cadeias, levando à perda de ativos.
3.
Um exemplo notável é o hard fork da Ethereum, onde atacantes repetiram transações em ambas as cadeias ETH e ETC.
4.
As medidas de proteção incluem identificadores únicos de transação, verificação de timestamps e diferenciação de ID de cadeia.
5.
Os utilizadores devem escolher carteiras com proteção contra ataques de repetição e ter cuidado ao transferir ativos após hard forks.
Ataque de Replay

O que é um Replay Attack?

Um replay attack consiste em submeter novamente uma transação ou autorização previamente válida ao sistema, levando à sua execução repetida. Imagine copiar um documento assinado e apresentá-lo em diferentes balcões para obter múltiplos carimbos.

No universo blockchain, as assinaturas são geradas por chaves privadas—atuando como selos digitais que confirmam: “Aprovo esta ação.” Se uma transação assinada for reconhecida noutros contextos, fica exposta ao risco de replay.

Para evitar duplicações, as blockchains recorrem a um identificador único denominado nonce. O nonce atua como um número de série exclusivo para cada operação—nunca se repete. O sistema apenas aceita nonces que ainda não tenham sido utilizados.

Em ambientes cross-chain ou resultantes de forks, é também indispensável um chainId. O chainId funciona como identificador de rede, associando a transação a uma cadeia específica e impedindo a sua repetição noutra cadeia.

Porque Ocorrem Replay Attacks?

Os replay attacks surgem, tipicamente, quando o sistema não define claramente o “contexto” de uma ação. Esse contexto inclui a que blockchain pertence a ação, se possui um identificador único, se tem data de expiração ou se está associada a um domínio ou smart contract específico.

Se uma assinatura apenas atestar consentimento para uma ação—sem identificar a cadeia, aplicação ou período de validade—qualquer pessoa que tenha acesso a essa assinatura pode reutilizá-la noutro local.

Se uma aplicação regista o estado “usado ou não usado” apenas localmente ou em cache, em vez de o fazer on-chain, os replay attacks tornam-se mais fáceis de executar. De igual modo, após um fork, se ambas as cadeias partilharem formatos de transação e nonces, o replay cross-chain é possível.

Como São Executados Replay Attacks em Blockchain?

Nos replays na mesma cadeia, os atacantes intercetam uma mensagem de autorização ou uma transação especial e submetem-na novamente na mesma cadeia. Isto ocorre frequentemente quando “autorizações de assinatura offline” não incluem nonces exclusivos ou timestamps de expiração.

No caso dos replays cross-chain, as transações ou mensagens não estão vinculadas ao chainId, ou, após um fork, ambas as cadeias aceitam o mesmo formato de assinatura. Um atacante pode executar uma transação válida da cadeia A novamente na cadeia B.

Ao nível dos smart contracts, se estes não registarem os IDs das mensagens processadas ou não forem idempotentes (permitindo que chamadas repetidas tenham efeitos acumulativos), um atacante pode invocar operações múltiplas vezes quando apenas uma execução era pretendida.

Exemplos Reais de Replay Attacks

Em 2016, o Ethereum sofreu uma divisão de cadeia, originando ETH e ETC. Como as transações iniciais não distinguiam entre cadeias, surgiram riscos de replay cross-chain. O EIP-155 foi introduzido em 2016 para adicionar o chainId às transações, reduzindo drasticamente este tipo de ataques (referência: histórico do Ethereum Improvement Proposal).

Em cenários de autorização, se as aprovações por assinatura para transferências ou limites de gastos não tiverem expiração e nonces únicos, as assinaturas podem ser reapresentadas. O EIP-2612 foi introduzido em 2020 para padronizar a autorização baseada em assinaturas para ERC-20 tokens, exigindo nonce e expiração (referência: Ethereum Improvement Proposal).

Se pontes cross-chain e protocolos de mensagens não atribuírem identificadores únicos nem registarem mensagens consumidas, os replay attacks podem provocar emissões ou libertações repetidas de ativos. Atualmente, o setor mitiga estes riscos recorrendo a IDs de mensagem e registo de estados on-chain.

Como Detetar Sinais de Replay Attack

Em primeiro lugar, analise o conteúdo de qualquer pedido de assinatura. Se a sua wallet apresentar uma “assinatura cega” (sem detalhes claros de transação, domínio ou cadeia), o risco de replay é superior.

Depois, confirme se a autorização inclui data de expiração e nonce único. A ausência de qualquer destes elementos aumenta a exposição ao risco.

Verifique se existe contexto explícito de cadeia. A ausência de chainId ou separação de domínio (como nos domínios EIP-712) eleva o risco de replay em diferentes ambientes.

Por fim, esteja atento a sinais de execuções repetidas anómalas—como a mesma autorização a ser usada múltiplas vezes, ativos transferidos repetidamente num curto espaço de tempo ou mensagens idênticas a produzirem efeitos em várias cadeias.

Medidas Técnicas para Defender Contra Replay Attacks

Passo 1: Vincule as transações ao contexto da respetiva cadeia. Utilize o chainId do EIP-155 para restringir cada transação à cadeia pretendida e evitar replays cross-chain.

Passo 2: Atribua a cada autorização um nonce exclusivo e um tempo de expiração. Normas como o EIP-2612 e Permit2 exigem que cada assinatura inclua nonce e prazo; autorizações expiradas tornam-se inválidas.

Passo 3: Registe mensagens ou nonces “usados” em smart contracts. Cada mensagem deverá ter um ID não reutilizável e o respetivo estado de consumo guardado on-chain para garantir processamento idempotente.

Passo 4: Utilize assinaturas estruturadas de acordo com o EIP-712. As assinaturas devem incluir nome de domínio (verifyingContract, nome, versão), chainId e conteúdo claro e legível, minimizando potenciais usos indevidos e vetores de replay.

Passo 5: Implemente validação bidirecional em pontes cross-chain e canais de mensagens. Valide não só as cadeias de origem e destino, mas também a unicidade das mensagens, números de lote e estado de processamento, prevenindo execuções repetidas por rotas diferentes.

Como Podem os Utilizadores Evitar Replay Attacks nas Operações Diárias?

Passo 1: Assine apenas em interfaces que apresentem detalhes textuais claros. Rejeite assinaturas cegas—confirme que o pedido inclui domínio, informação da cadeia e descrição do propósito.

Passo 2: Defina limites para as autorizações. Prefira aprovações com prazo e valor limitado; revogue regularmente permissões não utilizadas através de exploradores de blockchain ou ferramentas de gestão. Ao levantar fundos em plataformas como a Gate, confirme sempre que selecionou a rede e o endereço corretos para evitar incidentes cross-environment.

Passo 3: Separe fundos de wallets operacionais. Guarde os ativos principais em hardware wallets ou wallets apenas de leitura; interaja com DApps utilizando hot wallets de menor valor para minimizar perdas resultantes de autorizações repetidas.

Passo 4: Utilize livros de endereços e whitelists. Guarde endereços de destinatários frequentes com notas no livro de endereços da Gate e ative whitelists de levantamentos para reduzir riscos de operações incorretas ou assinaturas de phishing que conduzam a submissões repetidas.

Passo 5: Monitorize atividade anómala. Se detetar transações duplicadas ou autorizações repetidas num curto espaço de tempo, interrompa imediatamente as operações, revogue autorizações e verifique a segurança do dispositivo e das extensões.

Em que se Distingue um Replay Attack de um Double-Spend ou Sybil Attack?

Um replay attack consiste em submeter novamente a mesma transação ou autorização válida—o problema central é a repetição da execução. O double-spending visa gastar o mesmo ativo duas vezes, envolvendo geralmente mecanismos de consenso e reorganização de blocos—são situações distintas ao nível do protocolo.

Um Sybil attack recorre a múltiplas identidades para simular vários utilizadores e manipular votações ou distribuições; não está relacionado com a repetição de transações e incide sobre a camada de identidade. Os replay attacks ocorrem ao nível da transação ou mensagem.

Adicionalmente, os ataques man-in-the-middle costumam alterar dados ou o encaminhamento; já os replay attacks podem não modificar o conteúdo, limitando-se a reenviar dados idênticos.

Como Estão a Evoluir os Replay Attacks no Web3?

Desde que o EIP-155 introduziu o chainId em 2016, os replay attacks cross-chain diminuíram drasticamente; o EIP-2612 (2020) e o Permit2 padronizaram ainda mais os mecanismos de nonce e expiração para aprovações por assinatura. Em 2025, com a proliferação de redes multi-chain e Layer 2, canais de mensagens, IDs anti-replay e design idempotente tornam-se infraestruturas essenciais.

A account abstraction (por exemplo, ERC-4337) incentiva a gestão de nonces por domínio e estratégias—usar nonces distintos para operações diferentes reduz o risco de replay dentro do mesmo domínio. As pontes cross-chain dão agora prioridade à verificação da origem e ao rastreio único de mensagens para limitar oportunidades de execução repetida.

A essência de um replay attack é “conteúdo válido ser reexecutado no contexto errado.” A solução passa por clarificar o contexto: chain IDs, nonces exclusivos, datas de expiração, vinculação a domínios—e registar sempre estados consumidos on-chain. Para developers: adotar os standards EIP-155, EIP-712, EIP-2612/Permit2 e design idempotente. Para utilizadores: evitar assinaturas cegas, usar autorizações limitadas no tempo, separar wallets por função e ativar whitelists nas exchanges para mitigar riscos. Se detetar qualquer repetição anómala envolvendo fundos, interrompa imediatamente as operações e revogue autorizações.

FAQ

Replay Attacks Podem Provocar Perda dos Meus Ativos?

Os replay attacks não roubam diretamente os seus ativos, mas podem originar transações repetidas de forma maliciosa. Por exemplo, se transferir 100 tokens na cadeia A e um atacante repetir essa transação na cadeia B, pode perder fundos em ambas as cadeias. A principal defesa é utilizar wallets que suportem verificação de chain ID e ter especial atenção em operações cross-chain.

Devo Preocupar-me com Replay Attacks ao Negociar na Gate?

Exchanges centralizadas como a Gate dispõem de múltiplas camadas de segurança; os utilizadores regulares enfrentam risco mínimo de replay attacks ao negociar na plataforma. O principal risco surge em transferências cross-chain com wallets de autocustódia. Para trading spot ou de derivados na Gate, os controlos de risco da plataforma salvaguardam a sua conta.

Grandes Eventos como Fusões na Binance Podem Originar Replay Attacks em Larga Escala?

Mudanças significativas no ecossistema (como fusões ou forks de cadeias) aumentam efetivamente o risco de replay attacks. Contudo, os projetos implementam normalmente medidas de proteção, como a atualização prévia dos chain IDs. Como utilizador, aguarde sempre os anúncios oficiais antes de realizar operações cross-chain durante períodos de transição para evitar ser alvo de ataques.

Se a Minha Private Key for Comprometida, o Replay Attack Agrava as Perdas?

Uma private key comprometida já é um incidente de segurança grave. Os replay attacks agravam o cenário, permitindo ao atacante não só movimentar ativos numa cadeia, mas também repetir transações em várias cadeias—podendo esgotar todos os ativos semelhantes em qualquer lado. Transfira imediatamente os seus fundos para uma nova wallet, pois é a única solução.

Como o EIP-155 Ajuda a Prevenir Replay Attacks?

O EIP-155 introduziu o mecanismo de chain ID, fazendo com que cada transação transporte um identificador de rede único—impedindo a sua execução noutras cadeias. As redes Ethereum modernas e cadeias compatíveis adotaram este standard, tornando a maioria dos replay attacks inviáveis. Escolher uma wallet compatível com EIP-155 é a forma mais simples de proteção para os utilizadores.

Um simples "gosto" faz muito

Partilhar

Conteúdos

O que é um Replay Attack?

Porque Ocorrem Replay Attacks?

Como São Executados Replay Attacks em Blockchain?

Exemplos Reais de Replay Attacks

Como Detetar Sinais de Replay Attack

Medidas Técnicas para Defender Contra Replay Attacks

Como Podem os Utilizadores Evitar Replay Attacks nas Operações Diárias?

Em que se Distingue um Replay Attack de um Double-Spend ou Sybil Attack?

Como Estão a Evoluir os Replay Attacks no Web3?

FAQ

Glossários relacionados
Venda massiva
Dumping designa a venda acelerada de volumes substanciais de ativos de criptomoeda num curto período. Esta ação conduz habitualmente a quedas expressivas de preço, manifestadas através de aumentos súbitos do volume de negociação, descidas acentuadas das cotações e mudanças abruptas no sentimento do mercado. Este fenómeno pode ocorrer por pânico generalizado, notícias negativas, fatores macroeconómicos ou vendas estratégicas por grandes investidores (“baleias”). Representa uma fase disruptiva, mas recorrente
Definição de TRON
Positron (símbolo: TRON) é uma criptomoeda lançada numa fase inicial, distinta do token público da blockchain conhecido como "Tron/TRX". Positron está classificada como uma coin, sendo o ativo nativo de uma blockchain independente. Contudo, existe pouca informação pública disponível sobre a Positron, e os registos históricos indicam que o projeto permanece inativo há bastante tempo. Dados recentes de preço e pares de negociação são difíceis de encontrar. O nome e o código podem ser facilmente confundidos com "Tron/TRX", por isso os investidores devem confirmar cuidadosamente o ativo pretendido e as fontes de informação antes de tomar qualquer decisão. Os últimos dados acessíveis sobre a Positron datam de 2016, o que dificulta a análise da liquidez e da capitalização de mercado. Ao negociar ou armazenar Positron, é essencial seguir rigorosamente as regras da plataforma e as melhores práticas de segurança de carteira.
época
No contexto de Web3, o termo "ciclo" designa processos recorrentes ou janelas temporais em protocolos ou aplicações blockchain, que se repetem em intervalos fixos de tempo ou de blocos. Entre os exemplos contam-se os eventos de halving do Bitcoin, as rondas de consenso da Ethereum, os planos de vesting de tokens, os períodos de contestação de levantamentos em Layer 2, as liquidações de funding rate e de yield, as atualizações de oráculos e os períodos de votação de governance. A duração, as condições de disparo e a flexibilidade destes ciclos diferem conforme o sistema. Dominar o funcionamento destes ciclos permite gerir melhor a liquidez, otimizar o momento das suas operações e delimitar fronteiras de risco.
Desencriptar
A descodificação consiste em transformar dados cifrados no seu formato original legível. No âmbito das criptomoedas e da tecnologia blockchain, esta operação criptográfica é essencial e, em geral, requer uma chave específica — como uma chave privada — para que apenas utilizadores autorizados possam aceder a informações protegidas, assegurando a segurança do sistema. Existem dois tipos principais de descodificação: simétrica e assimétrica, cada uma relacionada com diferentes mecanismos de cifragem.
Commingling
O termo commingling designa a prática através da qual plataformas de negociação de criptomoedas ou serviços de custódia agregam e gerem os ativos digitais de vários clientes numa única conta ou carteira. Embora mantenham registos internos que distinguem a titularidade individual, estes ativos são depositados em carteiras centralizadas sob o controlo direto da instituição, e não diretamente pelos clientes na blockchain.

Artigos relacionados

Utilização de Bitcoin (BTC) em El Salvador - Análise do Estado Atual
Principiante

Utilização de Bitcoin (BTC) em El Salvador - Análise do Estado Atual

Em 7 de setembro de 2021, El Salvador tornou-se o primeiro país a adotar o Bitcoin (BTC) como moeda legal. Várias razões levaram El Salvador a embarcar nesta reforma monetária. Embora o impacto a longo prazo desta decisão ainda esteja por ser observado, o governo salvadorenho acredita que os benefícios da adoção da Bitcoin superam os riscos e desafios potenciais. Passaram-se dois anos desde a reforma, durante os quais houve muitas vozes de apoio e ceticismo em relação a esta reforma. Então, qual é o estado atual da sua implementação real? O seguinte fornecerá uma análise detalhada.
2023-12-18 15:29:33
O que é o Gate Pay?
Principiante

O que é o Gate Pay?

O Gate Pay é uma tecnologia de pagamento segura com criptomoeda sem contacto, sem fronteiras, totalmente desenvolvida pela Gate.com. Apoia o pagamento rápido com criptomoedas e é de uso gratuito. Os utilizadores podem aceder ao Gate Pay simplesmente registando uma conta de porta.io para receber uma variedade de serviços, como compras online, bilhetes de avião e reserva de hotéis e serviços de entretenimento de parceiros comerciais terceiros.
2023-01-10 07:51:00
O que é o BNB?
Intermediário

O que é o BNB?

A Binance Coin (BNB) é um símbolo de troca emitido por Binance e também é o símbolo utilitário da Binance Smart Chain. À medida que a Binance se desenvolve para as três principais bolsas de cripto do mundo em termos de volume de negociação, juntamente com as infindáveis aplicações ecológicas da sua cadeia inteligente, a BNB tornou-se a terceira maior criptomoeda depois da Bitcoin e da Ethereum. Este artigo terá uma introdução detalhada da história do BNB e o enorme ecossistema de Binance que está por trás.
2022-11-21 09:37:32