Desde o hack na Bitfinex, as exchanges começaram a chamar a atenção para seus problemas de segurança cibernética e fizeram com que eles reconsiderassem profundamente a importância de melhorar seus serviços.
Quem poderia imaginar, quando mais de US$ 60 milhões em bitcoins foram roubados, deve-se começar a pensar em como eliminar as falhas que permitem aos hackers obter acesso tão fácil a essa quantia de dinheiro. Então, vamos dar uma olhada no que exatamente torna as exchanges de criptomoedas vulneráveis e quais práticas podem ser aplicadas para evitar futuros problemas.
1. Quente ou Fria? O que você escolhe?
É um fato bem conhecido que as carteiras frias (cold wallet) são bastante seguras para proteger suas moedas digitais. No entanto, para usar criptomoedas (porque é para isso que foi criado), é preciso ter uma carteira quente (hot wallet) também. E isso é o que os hackers pretendem: obter dinheiro que pode ser acessado no modo on-line, cujas exchanges de criptomoedas não garantem 100% de proteção, por enquanto.
E aqui estão os perigos que eles podem representar:
- As chaves devem estar ativas para automatizar este tipo de carteiras;
- Os fundos são armazenados nos servidores on-line, portanto, se houver uma violação de segurança dessa exchange, sua conta também será esvaziada;
- Se você é quem controla seus fundos, ainda há uma chance de que hackers acessem seu computador e roubem seus fundos de qualquer maneira.
2. Ataques DoS e DDoS
Negação de Serviço (DoS) e Negação de Serviço Distribuída (DDoS) são os principais métodos de disrupção hoje em dia quando se trata de segurança cibernética e, especialmente, da arquitetura das exchanges de criptomoedas. Dizer que tais ataques acontecem raramente é como não dizer nada porque eles atingem as plataformas com tanta frequência que se tornou bastante comum tentar lidar com eles regularmente. Nesse caso, mercados descentralizados são mais protegidos, mas ainda assim, eles correm o risco de ataques como os clássicos centralizados.
Por exemplo, a Bittrex, uma das maiores exchanges de bitcoin, sofreu um ataque DDoS, mesmo durante a manutenção programada. Situações similares aconteceram em muitas outras plataformas, incluindo a Poloniex também. Isso só prova que as bolsas deveriam ter uma ideia de como mitigar esses ataques há muito tempo, mas, ironicamente, elas ainda não o fizeram.
3. Phishing ou não: essa é a questão
O phishing trouxe muitos danos às plataformas de criptomoedas, e muitas pessoas perderam suas moedas digitais simplesmente porque não tinham pistas de que hackers profissionais as enganaram.
Até mesmo as empresas mais populares foram violadas quando seus sites falsos foram criados e os hackers foram mais do que capazes de roubar o dinheiro das pessoas com facilidade. Inclusive a Foxbit recentemente sofreu esse problema.
É muito mais fácil perder clientes do que ganhá-los e isso é um fato bem conhecido. Se as corretoras não estiverem protegidas contra phishing, elas perderão a confiança aos olhos de seus usuários, tornando-se menos confiáveis. É o dever de cada uma cuidar de seus clientes, solicitando serviços anti-phishing.
4. Código de autenticação fraco
Isso é exatamente o que fez o Bitfinex travar mesmo que um protocolo de segurança multisig (múltiplas assinaturas) estivesse embutido em sua arquitetura.
No entanto, como se viu, não foi suficiente para impedir que esse sistema de criptografia fosse invadido e, em seguida, enfrentasse uma brecha de segurança.
Outra maneira de aumentar a segurança de qualquer plataforma de troca é implementar o CAPTCHA como uma das etapas de autenticação. É mais do que prático quando a senha dos usuários não é forte o suficiente.
A implementação de um CAPTCHA por uma exchange mostrará um cuidado profundo e dedicado de seus usuários.
5. Deficiência de contrato inteligente
Recentemente, descobriu-se uma vulnerabilidade em várias exchanges de criptomoedas centralizadas que permitiam que os invasores aumentassem seus saldos de contas e depois retirassem fundos antes que a fraude fosse detectada. Tais casos são numerosos e acontecem devido a falta de auditoria de contrato inteligente ou uma auditoria de baixa qualidade
É por isso que todos os contatos inteligentes de todas as corretoras devem ser inicialmente verificados quanto à sua lógica, já que é quase impossível implementar quaisquer alterações neles posteriormente. Felizmente para todos, já existem serviços de auditoria de qualidade para contratos inteligentes que ajudam a criptografar plataformas para eliminar tais falhas.
Falta de Dos, DDos e proteção antiphishing, não CAPTCHA e relutância em realizar a auditoria de contrato inteligente – qualquer uma dessas falhas ou uma combinação de várias delas foi usada por hackers para roubar milhões em fiat e criptomoedas. É por isso que, seja você um novato ou um pioneiro no investimento no mercado cripto, é importante poder escolher a exchange mais confiável e segura. Um produto totalmente exclusivo, o Crypto Exchange Ranks (que deve ser lançado em breve) promete fazer todo o laborioso processo de análise de dados para você escolher a melhor plataforma de trading.
