As corretoras e aplicativos descentralizados (dApps e Dexes) são parte de uma tecnologia nova e de alto interesse financeiro, o que atrai olhos não somente de investidores, mas também de oportunistas desonestos. Somente em 2021, houveram mais de 20 ataques nos quais hackers tiraram mais de US$ 10 milhões de protocolos blockchain. Desses, seis roubaram quantias superiores a US$ 100 milhões.
A vulnerabilidade desses aplicativos é grande. Isso porque eles têm o código aberto exposto nas blockchains, podem ser criados e disponibilizados por quaisquer desenvolvedores e startups e fazem parte de uma categoria tecnológica nova, que ainda está amadurecendo e sendo testada. O valor total perdido para hackers, em 2021, está próximo dos US$ 11 bilhões.
Contudo, existem mecanismos de prevenção que todos nós podemos – e devemos – adotar, não sendo necessário abrirmos mão das oportunidades trazidas pelas blockchains. A seguir, veremos como esses ataques ocorrem e como se proteger.
Os maiores casos de roubos e ataques recentes
Os três casos mais recentes ocorreram em uma onda, no início de dezembro.
A startup de blockchain MonoX Finance sofreu, no início do mês, um ataque que resultou na perda de US$ 31 milhões. O hacker se aproveitou de um bug no software relacionado à liberação de contratos inteligentes.
A empresa é uma fintech que permite que os usuários façam câmbio de criptomoedas de forma mais dinâmica, através de seu dApp DeFi. Não é preciso se preocupar com algumas das obrigações tradicionalmente requeridas por corretoras descentralizadas, como capital e fornecimento de liquidez.
A falha explorada pelo hacker se baseava no uso do mesmo token como tokenIn e tokenOut, ou seja, o câmbio de uma moeda por ela mesma, algo que o algoritmo não previa. O protocolo MonoX atualiza o preço dos tokens, após cada transação, diminuindo a cotação do tokenIn e depois aumentando a do tokenOut. Nesse caso, a nova cotação do tokenOut estava sendo sobrescrita à do tokenIn após cada operação. Fazendo sucessivas iterações, o hacker conseguiu inflar absurdamente o valor do token MONO e trocar o que tinha por US$31 milhões, nas redes Ethereum e Polygon.
O código do programa MonoX havia passado por uma auditoria da Halborn e Perckshield, que identificou vários problemas, mas a falha explorada pelo hacker não havia sido identificada. Isso é, em parte, responsabilidade dos desenvolvedores, que não forneceram um código limpo e de fácil leitura e não executaram suficientes testes de funcionalidade.
Na mesma semana, a corretora de criptos BitMart anunciou que hackers haviam roubado US$ 196 milhões. Essa falha foi atribuída ao roubo de uma chave privada, o que comprometeu a segurança de duas carteiras “quentes” online da corretora.
Os hackers levaram mais de 20 tokens da rede Ethereum e BSC. Esses foram, então, trocados por ETH e misturados por Tornado Cash, um processo de lavagem de criptomoedas que torna mais difícil o rastreamento posterior
O terceiro caso de grande porte deste mês foi o da BadgerDAO, que perdeu US$ 120 milhões. Esse ataque fez com que o preço do token BADGER despencasse 21% em menos de 24 horas.
Outros casos recentes foram os da Liquid e Poly Network, em agosto. A Liquid, uma corretora japonesa, foi vítima do roubo de cerca de US$ 97 milhões, enquanto da Poly Network foram roubados US$ 600 milhões.
O caso da Poly Network, contudo, teve uma reviravolta curiosa. O hacker abriu uma negociação e devolveu praticamente todo o valor roubado. A empresa, por outro lado, ofereceu a ele o cargo de assessor chefe de segurança e uma recompensa de US$ 500 mil.
Como se proteger
A maioria dos roubos de maior porte é direcionada a grandes corretoras e protocolos, mas os usuários de pequeno porte saem quase sempre lesados. No caso da MonoX Finance, por exemplo, o hacker levou uma grande quantia em MONO, mas quem pagou o preço foram os provedores de liquidez. Esses usuários ficaram com tokens inúteis durante a troca de MONO superfaturada por Ether. Outros ataques são mais diretos: 6000 usuários da Coinbase tiveram tokens retirados de suas contas entre março e maio deste ano, através de e-mails, senhas e números de telefones roubados. Veja algumas atitudes simples que podem te ajudar a se proteger melhor desses ataques:
Pesquisa. Qualquer ativo digital de interesse deve, primeiramente, ser pesquisado e investigado a fundo pelo investidor. Mesmo projetos confiáveis podem vir a ser alvo de hackers, mas uma pesquisa inicial pode ser suficiente para se livrar de impostores disfarçados como DeFi. Verifique a equipe, o site e os relatórios de auditoria.
Sites de impostores. São comuns os sites falsos que imitam os verdadeiros e os e-mails de phishing que direcionam os usuários até eles. Na dúvida, vale a pena pedir ajuda a usuários mais experientes.
Aplicativos falsos para celular. Assim como os sites falsos, também existem apps falsos para celular. É preciso se atentar a detalhes como o nome do app, o logotipo e a página na plataforma de downloads.
Contratos inteligentes. Os contratos inteligentes são a espinha dorsal dos projetos DeFi. Esse aspecto é mais técnico, mas deve ser levado em conta e analisado pelos investidores que desejam apoiar um novo protocolo.
Proteção da carteira. Sua carteira é sua maior barreira contra fraudes. Mantenha suas chaves privadas protegidas e, sempre que possível, dê preferência às carteiras “frias”.
Sobre o autor
Fares Alkudmani é formado em Administração pela Universidade Tishreen, na Síria, com MBA pela Edinburgh Business School, da Escócia. Naturalizado Brasileiro. Atua como Business Development Manager Brasil na Kucoin.