As Finanças Descentralizadas (DeFi) vieram para viver com um Valor Total Bloqueado (TVL) de mais de 100 mil milhões de dólares, o que sublinha o voto de confiança nestes novos instrumentos financeiros. Esse investimento continuará a crescer, mas parece que para cada novo recorde na TVL, é relatado outro ataque cibernético com danos horríveis.

A criptomoeda diminuiu 57% em 2020, mas os ataques DeFi aumentaram dramaticamente, custando bilhões em perdas às empresas e investidores. Só em março, ocorreram vários ataques em apenas 5 dias, com a Rede Paga perdendo US$ 180 milhões. No final de maio, PancakeBunny perdeu mais de US$ 200 milhões em uma exploração de crédito flash.

É claro que existem muitas lacunas e lacunas nos atuais protocolos de segurança blockchain. Desde puxar carpetes até fraudes fraudulentas, a segurança e a tecnologia deste espaço não são tão perfeitas quanto os números sugerem. No entanto, existem práticas importantes que tanto os desenvolvedores quanto os usuários podem adotar para preencher essa lacuna.

A tecnologia descentralizada ainda é centralizada

Não importa quão descentralizado um protocolo seja declarado, a estrutura básica ainda é centralizada. Dê uma olhada em um dos nossos recursos mais importantes da Internet, os registros DNS. Cada nome de domínio ainda é de propriedade central – propriedade do governo, estado ou empresa que tem autoridade final sobre o domínio e pode desativá-lo, se desejar.

Um exemplo de centralização na descentralização são os contratos inteligentes. Os redatores de contratos inteligentes da Ethereum ou da Binance têm a palavra final sobre o que está no código, e há maneiras de codificar esquemas nefastos, como puxar tapete, em contratos inteligentes.

Durante o boom de produtividade agrícola no verão de 2020, vimos muitos registros surgirem para aproveitar o dinheiro que flui para o DeFi, e isso continua este ano. Em março, TurtleDex conduziu uma puxada de tapete, que na verdade é uma porta dos fundos em um contrato inteligente, que resultou no roubo de US$ 2.5 milhões aos investidores. Esse suposto recurso permite que os desenvolvedores programem cheats que são executados em resposta a outros eventos no código, e TurtleDex é um dos vários projetos deste ano que quebraram o tapete programaticamente.

Conectado: O lucro está na boca de todos, mas DeFi promete mudar a forma como lidamos com o dinheiro

A auditoria de contratos inteligentes é uma ótima maneira de evitar carpetes, mas mesmo assim vemos casos em que os desenvolvedores estão transferindo um contrato inteligente testado para outro não testado. O caso Compounder mostra um projeto fraudulento que captura facilmente a reputação de nomes conhecidos e respeitáveis ​​na sala. Eles conseguiram aproveitar as vantagens do Harvest Finance e do Yearn.finance rapidamente antes de puxarem o tapete sobre seus usuários e saírem com milhões de dólares em criptografia.

Conectado: A auditoria padrão para projetos DeFi é essencial para o desenvolvimento da indústria

Tendências atuais de hackers

Além de puxar carpetes, existem muitos ataques comuns que podem derrubar uma empresa inteira se não estiverem preparados. Um ataque de 51% – isto é, quando um grupo de mineradores controla mais de 50% da taxa de hash de mineração da rede e lhes permite executar ou manipular registros de transações para duplicar gastos ou quebrar o bloco da cadeia – ainda ocorre com frequência antes. Firo e Grin sofreram 51% de ataques ultimamente.

Mesmo alguns projetos de criptografia de alto nível não são seguros. Em fevereiro, foi relatado que 200 dias de negociação de XVG na rede Verge foram excluídos, no que é literalmente “o evento mais profundo de todos os tempos entre as 100 principais criptomoedas”.

Aceitamos esses erros como parte da experiência blockchain, mas qual seria a reação se a mesma coisa acontecesse com um grande banco, por exemplo? É provável que haja muitas manchetes na mídia e um alvoroço entre usuários e clientes. Esses eventos passam despercebidos na criptografia, pois há menos usuários, mas com o recente mercado altista isso está mudando. Inevitavelmente, a segurança das blockchains públicas está sendo examinada de forma mais rigorosa.

Métodos de prevenção de hackers, como puxar carpete kéo

Infelizmente, hackear é sempre uma opção para desenvolvedores quando trabalham no espaço criptográfico. A questão não é como evitar hackers, mas como evitar ser hackeado. Vários avanços em carteiras de hardware – como a carteira com múltiplas assinaturas do Gnosis Safe – são fatores-chave para melhorar a segurança geral.

O uso de uma carteira multisig permite que vários usuários possuam chaves da mesma carteira e requer a participação de ambos para realizar ações na conta. Como uma carteira como esta requer a entrada de vários usuários para realizar uma transação, é virtualmente impossível puxar tapetes com este tipo de cofre.

Outro método de segurança para evitar que os tapetes sejam puxados são os bloqueios de tempo. Muitos aplicativos descentralizados usam tempos limite, portanto, se um desenvolvedor tentar atrair seus usuários, você receberá um alerta em cerca de 12 a 24 horas para liberar as moedas.

Este tipo de práticas de segurança promoverá uma confiança mais ampla no DeFi e criará uma cultura de segurança que fará avançar a nossa indústria.

Segurança aprimorada da carteira criptografada

A segurança da carteira depende, em última análise, dos desenvolvedores e usuários que usam métodos mais inteligentes. Revisões regulares de segurança e práticas de segurança interna podem ajudar a tornar as carteiras mais seguras.

Embora as revisões de segurança sejam uma boa solução, o Uniswap e outras bolsas descentralizadas (DEXs) baseadas em criadores de mercado automatizados não são permitidas, portanto, revisões periódicas não podem ser realizadas. A melhor prática é compreender as especificidades das moedas de “lançamento justo” – projetos lançados a partir de uma DEX. Embora muitos desses projetos sejam de alta qualidade, muitos são conhecidos por terem ótimo desempenho. O código-fonte aberto torna mais fácil para qualquer pessoa testar e verificar se um contrato inteligente é seguro para si e oferece aos usuários mais ferramentas para praticar uma boa segurança.

Pedir aos usuários que implementem uma boa segurança pode parecer um grande feito, mas é necessário para acessar os muitos benefícios das criptomoedas e do DeFi em particular. Com os bancos tradicionais, o banco é responsável pela segurança, mas com a criptomoeda, a segurança depende das práticas dos desenvolvedores e usuários.

Caso você esqueça a senha do seu banco ou envie dinheiro para a pessoa errada, você pode entrar em contato com o seu banco para atenuar a transação até que ela seja resolvida. Mas na criptografia não há opção de backup se você perder sua chave ou enviar dinheiro para o endereço errado. Uma das vantagens, claro, é que você não precisa se preocupar com a disponibilidade de seus fundos em criptografia, enquanto os bancos podem fechar e impor controles de capital, como aconteceu durante a crise bancária grega de 2015.

Conclusão

Como desenvolvedores, precisamos realizar testes de segurança e validação cruzada e responsabilizar-nos mutuamente pelo desenvolvimento de práticas de segurança aprimoradas.

Os usuários devem considerar a implementação de seus próprios protocolos de segurança e a compreensão das nuances do armazenamento e dos possíveis cenários de ataque. Uma boa prática para detentores passivos de criptografia é desconectar carteiras de hardware da Internet ou carteiras de papel que estejam 100% offline e não exijam sincronização online para atualizações de firmware.

Os ataques de phishing, uma das primeiras formas de ataque pela Internet, ainda são generalizados e comuns. Uma forma de combater as tentativas de phishing é verificar a autenticidade do remetente.

Não insira suas chaves privadas ou frases-semente em nenhum site, nem as envie a ninguém em canais públicos ou DMs. Em geral, você só deve inserir sua frase-semente na primeira vez que configurar a carteira. Além disso, você só deve inserir sua frase inicial se precisar restaurar sua carteira após esquecer sua senha, importar uma carteira existente para um novo dispositivo ou usar um software de carteira compatível. Em geral, você deve usar dispositivos de carteira de hardware que nunca darão sua semente a qualquer tipo de software – nem mesmo um aplicativo ou software de carteira confiável pode ser hackeado.

À medida que continuamos a construir a nossa nova economia DeFi (principalmente) global, será importante melhorar a segurança para que a aceitação geral e o capital possam continuar a fluir para o espaço, para que a próxima geração possa alcançar novas fronteiras de independência financeira.