“Hackers do bem” ajudam a rede de criptoativos?
Uma das questões mais persistentes do mercado de criptoativos é a falta de infraestruturas seguras.
Até esse problema ser resolvido, vai continuar difícil para os criptoativos atingirem o mesmo status que os valores mobiliários financeiros tradicionais “já estabelecidos” entre os investidores.
Este artigo vai tratar sobre as violações de segurança em criptoativos, além de alguns passos a serem considerados para que o setor forneça uma solução para essa situação.
Ataques à segurança
Em janeiro deste ano, Ethereum Classic, um dos principais projetos de criptoativos, sofreu um ataque de 51%.
Esse ataque acontece quando uma pessoa ou um grupo de pessoas que faz a mineração controla 51% (mais da metade) da rede, o que pode gerar dúvida sobre as informações compartilhadas, já que a maioria pode não ter boas intenções, além de quebrar a ideia de consenso (em que todos concordam com a veracidade das transações) da plataforma.
Um agente malicioso teve acesso à maioria das taxas de hash na rede da Ethereum e realizou double spends (“gastos duplos”, quando uma só moeda é gasta em mais de uma transação) em diversas plataformas de criptoativos, resultando em mais de US$ 1 milhão em prejuízo.
O ataque foi surpreendente porque, enquanto sabíamos da possibilidade de um ataque de 51% acontecer, era algo que só gerava preocupação em redes menores de altcoins.
Em contraste, a Ethereum Classic é uma das principais criptomoedas, com uma capitalização de mercado de quase US$ 500 milhões. No entanto, esse ataque bem-sucedido foi uma catálise para todos repensarem na segurança de até mesmo as maiores redes de criptoativos.
Também em janeiro, a Cryptopia, plataforma de negociação de criptomoedas da Nova Zelândia, revelou ter sido hackeada. A plataforma não especificou quanto teve de prejuízo.
Mesmo com muita especulação em relação à veracidade desse ataque, além de alusões de um esquema de saída, ainda é preciso considerar a infraestrutura de código inadequada que permitiu que esses ataques acontecessem. Cryptopia permanece com o site em manutenção.
Esses dois acontecimentos foram no início do ano, deixando os investidores e a grande comunidade de cripto se perguntando como tais violações ainda conseguiram acontecer em 2019.
Já se passaram cinco anos desde o ataque à Mt.Gox, empresa japonesa que teve 2,609 bitcoins liquidados por conta de um erro no código na hora da transação. Esse acontecimento em particular, de 2011, fez todos prestarem mais atenção na possibilidade de roubo de criptoativos.
Por que isso acontece?
Esses acontecimentos trazem muitas questões à tona. A principal delas é a falha na arquitetura do sistema. É óbvio que existe insegurança em relação à arquitetura de programação de muitos sistemas e projetos de criptoativos, além de outros sistemas subjacentes que sustentam o ecossistema.
Considerando o grande tamanho do código que os desenvolvedores devem programar, é compreensível que haja erros. Além disso, muito do trabalho é feito sob pressão por conta do pouco tempo, o que também pode contribuir na ignorância de fatores importantes relacionados à segurança;
Por fim, quando os desenvolvedores gastaram muito tempo olhando para o código, é possível que tenham deixado alguns erros passarem despercebidos. Ao trabalhar com tarefas de alto nível, nós, humanos, estamos suscetíveis a erros bobos. Isso é chamado de “efeito de generalização”.
Em documentos simples, é necessário um revisor para corrigir nossos erros de grafia e digitação. No entanto, no caso de programação, esses erros aparentemente simples podem representar a diferença entre fracasso e sucesso, em que o fracasso traz grandes repercussões financeiras.
Seu blockchain precisa de você: o papel dos “hackers do bem”
Com esses fatores em mente, parece óbvio que o setor de criptoativos pode se beneficiar de um tipo de revisão no sistema. É provável que algumas das brechas na segurança que abalaram a indústria poderiam ter sido prevenido com a inclusão ou adição de um novo par de olhos.
No setor de tecnologia como um todo, esse conceito se materializou como “bug bounties”. É um conceito que existe desde o fim dos anos 1990: empresas convidam desenvolvedores a revisar o código para encontrar alguma vulnerabilidade.
Em troca do tempo e do trabalho, se os “bounty hunters” encontrarem algum erro, eles são recompensados financeiramente. Os pagamentos são separados por níveis, de acordo com o nível de ameaça.
Várias grandes empresas do setor de tecnologia incorporaram esse conceito como a forma essencial de garantir a segurança de sua tecnologia.
Por exemplo, o Google pagou quase US$ 3 milhões em 2017 para “bounty hunters” que ajudou a se livrar de grande parte das vulnerabilidades. Se são tão eficazes no amplo setor de tecnologia, então é claro que os “bug bounties” também podem ser úteis no setor de criptoativos.
“Bug bounties” no universo cripto
Várias empresas do setor de criptoativos tiraram vantagem do grande universo tecnológico. A Ethereum, por exemplo, faz uso dos “bug bounties”.
A terceira maior rede de blockchain permanece segura por conta de sua dedicação em encontrar e consertar qualquer vulnerabilidade. Por exemplo, a Ethereum adiou a atualização da Constantinopla por conta de bugs encontrados.
Outra que faz uso dos “bug bounties” é dash. Os “hackers do bem” (chamados de “white hat hackers”) conseguiram resolver sérios problemas de segurança na versão da carteira Copay que listava dash. Kraken e a CoinExchange também têm programas parecidos.
A Decred também anunciou seu programa de “bug bounty”. A altcoin convida desenvolvedores com interesse e amplo conhecimento para se inscreverem no programa.
O cálculo de recompensas é baseado na metodologia de tomada de risco da OWASP (Projeto Aberto de Segurança em Aplicações Web), com pagamentos de US$ 300 para erros de baixo impacto e até US$ 25 mil para erros críticos.
Se iremos extrapolar o sucesso que os programas de “bug county” tiveram no amplo setor de tecnologia, então é claro que o conceito ganhe força se o setor de criptoativos quiser transcender, ou pelo menos diminuir seus problemas de segurança.
Levando em consideração as grandes quantidades de dinheiro detidas nessas redes, os desenvolvedores devem considerar todas as ferramentas disponíveis a eles, e “bug bounties” provaram sua eficácia.