Em 2 de junho, o protocolo da Velocore na rede Ethereum de segunda camada Linea foi hackeado, resultando em perdas de US$ 6,8 milhões em ETH. O ataque, que alavancou um bug de estouro de taxa, resultou na interrupção das operações da Linea por uma hora em uma tentativa de mitigar as consequências e levou a uma extensa autópsia.
Embora o hack da Velocore seja considerado a primeira grande exploração on-chain de junho, não foi de forma alguma a última. Outros seis hacks de protocolo ocorreram no mês, conforme registrado pela DefiLlama, elevando as perdas totais de junho para mais de US$ 140 milhões, enquanto as perdas de julho totalizaram US$ 277 milhões. E maio foi ainda pior, com US$ 373 milhões embolsados por invasores que alavancaram tudo, desde explorações de empréstimos rápidos até chaves privadas comprometidas.
A indústria de criptomoedas se acostumou a hacks, que exfiltraram US$ 6 bilhões apenas dos protocolos DeFi. Isso pode ser normal em criptomoedas, mas não é na sociedade em geral. Enquanto esse problema permanecer sem controle, falar sobre a adoção em massa da Web3 continuará sendo um sonho.
Embora as especificidades de cada exploração variem, há um motivo comum que percorre os principais incidentes on-chain: a maioria desses protocolos foi auditado, e normalmente por diversos terceiros. O Velocore foi auditado pela Zokyo, Scalebit e Hacken, por exemplo, e também estava sendo monitorado no momento do hack.
Embora as auditorias e soluções de monitoramento tenham seu lugar, elas correm o risco de induzir usuários e projetos a expectativas irrealistas de segurança. Se várias auditorias e monitoramentos não conseguem impedir que hackers sofisticados invadam, então está claro que é necessário repensar.
Os hackers sempre vão hackear. Mas isso não significa que os projetos DeFi sejam impotentes para detê-los. O que significa é que eles precisam se armar com melhores ferramentas preventivas e implementar estratégias para mitigar os danos caso ocorra uma violação.
Aprendendo com hackers
Projetos DeFi podem aprender muito com hackers, principalmente em sua disposição de pensar fora da caixa adotando abordagens pouco ortodoxas de resolução de problemas.
O primeiro passo é aprender as táticas dos invasores. Um dos problemas com auditorias é que elas tendem a ser introspectivas, focando em fortalecer o código interno em vez de avaliar as capacidades do inimigo. Para citar apenas um exemplo, chaves privadas comprometidas são responsáveis por 20% de todos os vetores de ataque; em maio, a Alex Labs perdeu US$ 29 milhões dessa maneira.
Apesar de um conjunto de empresas de segurança cibernética promovendo ferramentas de monitoramento de criptomoedas, estas são amplamente limitadas a alertar operadores de protocolo sobre atividades suspeitas. Se um protocolo for hackeado, a equipe será alertada sobre as más notícias e pronto: nenhuma tentativa de mitigação, identificação do invasor ou estratégia contraofensiva.
As empresas de monitoramento notificaram a Velocore imediatamente quando ela foi hackeada, mas foi preciso que a Linea pausasse as operações na cadeia para que o ataque fosse interrompido.
Os projetos DeFi não devem simplesmente depender de terceiros para resolver todos os seus desafios de segurança. Em vez disso, eles devem educar proativamente os membros da equipe sobre métodos comuns de phishing e sinais de atividade suspeita. Os membros técnicos, enquanto isso, devem ser instruídos sobre os vetores de ataque mais recentes, incluindo explorações de controle de acesso e bugs do verificador de provas.
Em vez de expressar gratidão pelo fato de a exploração mais recente ter ocorrido em um protocolo rival, os projetos devem estudar de perto e aplicar o inevitável post-mortem ao seu próprio regime de segurança. Mantenha-se humilde e estude os hackers.
Reescrevendo o manual
Mas também há medidas mais práticas que os protocolos podem tomar para garantir que eles não sejam a última vítima. Assim como os humanos não podem controlar o clima, apenas sua preparação para ele, o mesmo vale para os hacks.
As equipes precisam ter melhores soluções em vigor para prevenção de ameaças e controle mais rígido de seus contratos inteligentes. As soluções de segurança entendem que é melhor reverter transações maliciosas na cadeia do que alertar sobre um ataque em andamento. Prevenção é uma solução que interrompe o ataque antes que a(s) transação(ões) sejam finalizadas na cadeia — e essas são as medidas preventivas de que precisamos no ecossistema.
Apesar de aparentemente fazer tudo certo de uma perspectiva de segurança, a Linea tinha apenas um recurso quando a Velocore não respondia aos alertas: pausar as operações. Ferramentas melhores são necessárias para impedir hacks antes que eles possam se transformar em explorações multimilionárias.
Isso está claro: a abordagem atual para a segurança do protocolo de criptografia não está funcionando, e uma reformulação radical é necessária. O mercado precisa de mais soluções de segurança que bloqueiem atividades maliciosas, mantendo a continuidade dos negócios, porque é hora de os protocolos terem melhores capacidades proativas, prevenção de ameaças aprimorada e disposição para aprender com a oposição.
Como Sun Tzu disse, “Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas”.
Sobre o autor
Eyal Meron é o cofundador e CEO da Spherex Technologies, um mecanismo on-chain incorporado para protocolos cripto que reverte transações suspeitas durante o tempo de execução, mantendo a continuidade dos negócios e a conformidade regulatória.
As opiniões expressas aqui são do autor e não representam necessariamente as do Decrypt.
*Traduzido com autorização do Decrypt.
- Quer investir em criptomoedas selecionadas por especialistas de forma 100% automatizada? Conheça a Cesta Inteligente! Você escolhe o portfólio que faz sentido para você, o valor que quer investir e o MB faz as negociações.