A quantidade de dinheiro perdido devido a hacks e fraudes atingiu US$ 685 milhões no terceiro trimestre de 2023, elevando as perdas até agora neste ano para US$ 1,4 bilhão.
O relatório trimestral compilado pela plataforma de recompensas de bugs Web3, Immunefi, mostra que poucas áreas da criptografia são imunes a ataques e – embora a segurança da carteira pessoal seja uma coisa – é no nível da plataforma onde a maioria dos ataques acontece.
A maior parte da soma do terceiro trimestre foi perdida por dois projetos específicos: Mixin Network, uma rede transacional para ativos digitais, e Multichain, um cadeia cruzada protocolo do roteador.
Esses dois incidentes perderam US$ 200 milhões e US$ 126 milhões respectivamente, representando 47,5% de todas as perdas incorridas durante o terceiro trimestre.
As perdas do terceiro trimestre representam um aumento de 59,9% em relação aos US$ 428,7 milhões perdidos no segundo trimestre.
E o número de incidentes relatados também aumentou de 30 para 76 no terceiro trimestre do ano passado, representando um aumento de 153% ano após ano.
Entre Finanças Descentralizadas (DeFi) e Finanças Centralizadas (CeFi), o DeFi ainda era o principal alvo das explorações mais bem-sucedidas, com 72,9%, em comparação com o CeFi, com 27,1% das perdas totais.
A Immunefi também observou que os intervenientes apoiados pelo Estado desempenharam um papel crucial, uma vez que alegadamente estiveram por trás de vários casos neste trimestre. O seu foco particular na CeFi levou a um aumento acentuado nas perdas neste setor.
Ao longo do trimestre, Grupo Lázarofinanciado pelo estado norte-coreano, supostamente orquestrou ataques de alto perfil em várias plataformas, incluindo CoinEx, onde roubaram US$ 70 milhões, e Alphapo, onde US$ 60 milhões foram roubados.
O grupo também supostamente atacou a Stake por US$ 41,3 milhões e a CoinsPaid por US$ 37,3 milhões. No total, o grupo é acusado de US$ 208,6 milhões, ou 30% das perdas do terceiro trimestre.
O impacto dos hackers criptográficos na adoção do Web3
Apesar do número crescente de hacks e golpes de criptografia, Web3 e a criptografia são tecnologias intrinsecamente muito úteis destinadas a dar aos usuários controle sobre seus ativos, bem como acesso a transações seguras e ilimitadas.
Esta visão é positiva e tem atraído muitos utilizadores e investidores. No entanto, a taxa de adoção da Web3 pelo público é limitada e muito afetada pelos relatórios e temores bem fundados de hacks de criptografia.
Alguns desses vulnerabilidades incluir erros em contrato inteligente código, sistemas de armazenamento descentralizados comprometidos e ataques direcionados a usuários individuais e pessoas com acesso privilegiado por meio de phishing e Engenharia social, entre outros.
Na maioria dos casos, a segurança dos activos de um utilizador é abordada principalmente do ponto de vista do proprietário e do que este deve fazer para proteger os seus activos. No entanto, a maioria dos ataques ocorre na plataforma que gere fundos para muitos utilizadores e ocorre com menos frequência a nível individual.
Como tal, a segurança deve ser priorizada e abordada desde o início no nível da plataforma, antes que o proprietário faça esforços adicionais para proteger os ativos.
O que os projetos criptográficos podem fazer melhor?
As plataformas podem tomar diversas medidas para fornecer mais segurança aos ativos dos seus usuários. Isto, por sua vez, conquistará a confiança dos usuários e investidores e incentivará uma maior adoção da criptografia e da web3.
Auditorias
A base das auditorias geralmente é o contrato inteligente ou qualquer código que construa a infraestrutura da plataforma. Este código está sujeito a erros e brechas que podem ser exploradas para acessar os fundos dos usuários.
Projetos e plataformas criptográficas devem garantir que seu código esteja livre de erros e vulnerabilidades desde o início. Isto pode ser garantido através auditorias que pode examinar cada linha de código, sua função e possíveis formas de contorná-las, identificando assim vulnerabilidades.
Uma vez realizada uma auditoria aprofundada, é importante que os resultados transparentes sejam tornados públicos para avaliação dos utilizadores, da comunidade e dos investidores. Esses resultados também devem incluir quaisquer vulnerabilidades encontradas, bem como o que foi feito para corrigi-las. Isso aumenta a confiança entre a indústria e seus usuários.
No entanto, como demonstrado pelas diversas plataformas DeFi que foram auditadas e depois comprometidas, uma única auditoria de segurança é insuficiente. Portanto, novas auditorias deverão ser realizadas cada vez que o código for modificado.
Isso ajudará a garantir que não surjam novos problemas. À medida que as equipes criam e implementam contratos inteligentes, é crucial adotar uma abordagem mais centrada na segurança, porque mesmo uma pequena alteração no código pode ter consequências imprevistas.
Programas de recompensa por bugs
Recompensa de insetos pProgramas e divulgação responsável são cruciais para proteger o espaço Web3, com hackers éticos incentivados a encontrar vulnerabilidades para que os desenvolvedores possam corrigi-las proativamente.
No entanto, em cenários anteriores, as plataformas criptográficas recusaram oportunidades de pagar recompensas por bugs e mais tarde sofreram perdas com a exploração de vulnerabilidades que hackers éticos havia identificado.
Trabalhar com hackers de chapéu branco por meio de programas de recompensa de bugs é um movimento estratégico que revela quaisquer vulnerabilidades e mostra a dedicação do projeto em proteger os ativos de seus usuários a todo custo.
Monitoramento Operacional
Mesmo com auditorias frequentes e regulares, os projetos precisam manter segurança contínua e consciência operacional para detectar quaisquer atividades suspeitas em tempo hábil. Tais atividades podem incluir um aumento repentino no uso de uma determinada conta, a interação do sistema com na lista negra endereços, bem como propostas de governança apresentadas usando empréstimos rápidos.
Ao ficar de olho nas contas privilegiadas e na relação entre os sistemas da plataforma e o blockchain, o projeto será capaz de identificar os primeiros sinais de um ataque, incluindo transações anormalmente grandes ou muitas transações para um determinado endereço.
O projeto também será capaz de mitigar as perdas que poderiam ser sofridas, salvando os ativos restantes em caso de ataque.
Educação
Parte do aumento da confiança que a comunidade criptográfica e os investidores têm nas plataformas criptográficas e na sua capacidade de manter os seus activos seguros é garantir-lhes que as pessoas com acesso privilegiado aos seus fundos sabem como proteger os seus activos.
Isso exige que os indivíduos sejam educados sobre como identificar possíveis técnicas fraudulentas, como phishing e engenharia social para garantir que não sejam vítimas de tais armadilhas. As plataformas criptográficas também precisam garantir que seus funcionários estejam atualizados com as mais recentes técnicas de hack para garantir que também aumentem sua vigilância.
O resultado final
Se quisermos a adoção generalizada da Web3 e vermos a criptomoeda usada no varejo ou mantida como reserva de valor, os fundos devem ser garantidos como seguros.
Os defensores da criptografia apontam regularmente as vantagens da criptografia sobre, por exemplo, os bancos tradicionais, e é uma narrativa convincente com muita verdade.
Mas até que as carteiras, as bolsas e as plataformas de definição tenham o mesmo nível de segurança e confiança que poderíamos esperar de uma conta bancária, não podemos esperar que as pessoas na rua se apressem para estas novas formas de dinheiro. O argumento convincente para a adoção virá quando esses relatórios trimestrais de hacks começarem a perder importância.
Até então, os hacks continuarão nas manchetes.