Ataques de hackers a projetos DeFi e corretoras em blockchain – como se proteger

Atenção com sites e aplicativos impostores, pesquisas sobre o projeto e proteção da carteira são as melhores ferramentas
Imagem da matéria: Ataques de hackers a projetos DeFi e corretoras em blockchain – como se proteger

Foto: Shutterstock

As corretoras e aplicativos descentralizados (dApps e Dexes) são parte de uma tecnologia nova e de alto interesse financeiro, o que atrai olhos não somente de investidores, mas também de oportunistas desonestos. Somente em 2021, houveram mais de 20 ataques nos quais hackers tiraram mais de US$ 10 milhões de protocolos blockchain. Desses, seis roubaram quantias superiores a US$ 100 milhões.

A vulnerabilidade desses aplicativos é grande. Isso porque eles têm o código aberto exposto nas blockchains, podem ser criados e disponibilizados por quaisquer desenvolvedores e startups e fazem parte de uma categoria tecnológica nova, que ainda está amadurecendo e sendo testada. O valor total perdido para hackers, em 2021, está próximo dos US$ 11 bilhões.

Publicidade

Contudo, existem mecanismos de prevenção que todos nós podemos – e devemos – adotar, não sendo necessário abrirmos mão das oportunidades trazidas pelas blockchains. A seguir, veremos como esses ataques ocorrem e como se proteger.

Os maiores casos de roubos e ataques recentes

Os três casos mais recentes ocorreram em uma onda, no início de dezembro.

A startup de blockchain MonoX Finance sofreu, no início do mês, um ataque que resultou na perda de US$ 31 milhões. O hacker se aproveitou de um bug no software relacionado à liberação de contratos inteligentes.

A empresa é uma fintech que permite que os usuários façam câmbio de criptomoedas de forma mais dinâmica, através de seu dApp DeFi. Não é preciso se preocupar com algumas das obrigações tradicionalmente requeridas por corretoras descentralizadas, como capital e fornecimento de liquidez.

A falha explorada pelo hacker se baseava no uso do mesmo token como tokenIn e tokenOut, ou seja, o câmbio de uma moeda por ela mesma, algo que o algoritmo não previa. O protocolo MonoX atualiza o preço dos tokens, após cada transação, diminuindo a cotação do tokenIn e depois aumentando a do tokenOut. Nesse caso, a nova cotação do tokenOut estava sendo sobrescrita à do tokenIn após cada operação. Fazendo sucessivas iterações, o hacker conseguiu inflar absurdamente o valor do token MONO e trocar o que tinha por US$31 milhões, nas redes Ethereum e Polygon.

Publicidade

O código do programa MonoX havia passado por uma auditoria da Halborn e Perckshield, que identificou vários problemas, mas a falha explorada pelo hacker não havia sido identificada. Isso é, em parte, responsabilidade dos desenvolvedores, que não forneceram um código limpo e de fácil leitura e não executaram suficientes testes de funcionalidade.

Na mesma semana, a corretora de criptos BitMart anunciou que hackers haviam roubado US$ 196 milhões. Essa falha foi atribuída ao roubo de uma chave privada, o que comprometeu a segurança de duas carteiras “quentes” online da corretora.

Os hackers levaram mais de 20 tokens da rede Ethereum e BSC. Esses foram, então, trocados por ETH e misturados por Tornado Cash, um processo de lavagem de criptomoedas que torna mais difícil o rastreamento posterior

O terceiro caso de grande porte deste mês foi o da BadgerDAO, que perdeu US$ 120 milhões. Esse ataque fez com que o preço do token BADGER despencasse 21% em menos de 24 horas.

Publicidade

Outros casos recentes foram os da Liquid e Poly Network, em agosto. A Liquid, uma corretora japonesa, foi vítima do roubo de cerca de US$ 97 milhões, enquanto da Poly Network foram roubados US$ 600 milhões.

O caso da Poly Network, contudo, teve uma reviravolta curiosa. O hacker abriu uma negociação e devolveu praticamente todo o valor roubado. A empresa, por outro lado, ofereceu a ele o cargo de assessor chefe de segurança e uma recompensa de US$ 500 mil.

Como se proteger

A maioria dos roubos de maior porte é direcionada a grandes corretoras e protocolos, mas os usuários de pequeno porte saem quase sempre lesados. No caso da MonoX Finance, por exemplo, o hacker levou uma grande quantia em MONO, mas quem pagou o preço foram os provedores de liquidez. Esses usuários ficaram com tokens inúteis durante a troca de MONO superfaturada por Ether. Outros ataques são mais diretos: 6000 usuários da Coinbase tiveram tokens retirados de suas contas entre março e maio deste ano, através de e-mails, senhas e números de telefones roubados. Veja algumas atitudes simples que podem te ajudar a se proteger melhor desses ataques:

Pesquisa. Qualquer ativo digital de interesse deve, primeiramente, ser pesquisado e investigado a fundo pelo investidor. Mesmo projetos confiáveis podem vir a ser alvo de hackers, mas uma pesquisa inicial pode ser suficiente para se livrar de impostores disfarçados como DeFi. Verifique a equipe, o site e os relatórios de auditoria.

Sites de impostores. São comuns os sites falsos que imitam os verdadeiros e os e-mails de phishing que direcionam os usuários até eles. Na dúvida, vale a pena pedir ajuda a usuários mais experientes.

Publicidade

Aplicativos falsos para celular. Assim como os sites falsos, também existem apps falsos para celular. É preciso se atentar a detalhes como o nome do app, o logotipo e a página na plataforma de downloads.

Contratos inteligentes. Os contratos inteligentes são a espinha dorsal dos projetos DeFi. Esse aspecto é mais técnico, mas deve ser levado em conta e analisado pelos investidores que desejam apoiar um novo protocolo.

Proteção da carteira. Sua carteira é sua maior barreira contra fraudes. Mantenha suas chaves privadas protegidas e, sempre que possível, dê preferência às carteiras “frias”.

Sobre o autor

Fares Alkudmani é formado em Administração pela Universidade Tishreen, na Síria, com MBA pela Edinburgh Business School, da Escócia. Naturalizado Brasileiro. Atua como Business Development Manager Brasil na Kucoin.