Por que a Ásia é o epicentro das invasões a corretoras de cripto?
Enquanto as corretoras na Europa e nos EUA não estiveram imunes a ciberataques, a maioria das invasões às maiores corretoras de criptoativos aconteceram nos mercados asiáticos, com Coreia do Sul e Japão liderando o placar. A pergunta é: por quê?
Em 2018, mais de US$ 673 milhões foram perdidos por conta de hacks. Desde a criação do bitcoin e dos mercados de criptoativos, o número totaliza bilhões.
Enquanto corretoras ocidentais não estiveram imunes aos hackers, são as corretoras asiáticas que são vítimas rotineiras. Por exemplo, Coincheck, Coinrail, Bitfinex, Bithumb, Mt.Gox e Zaif sofreram alguns dos maiores ataques, tendo uma perda combinada de US$ 1,044 bilhões.
Apesar de, inicialmente, as brechas das corretoras poderem ser atribuídas à indústria nascente que ainda está aprendendo lições na marra, ataques bem-sucedidos na Ásia ainda são frequentes, com a prevalência de ataques a corretoras de larga escala na região querendo uma resposta para a seguinte pergunta: “Por que isso acontece?”.
Uma atitude negligente em relação à cibersegurança?
Um motivo aparente para os hacks a corretoras de criptoativos poderia ser a abordagem negligente à cibersegurança, que levou as empresas asiáticas a serem deixadas para trás de seus adversários internacionais quando se trata de segurança digital.
Um estudo de 2016 da Mandiant, empresa de segurança de informação dos EUA, descobriu que as empresas asiáticas tem a pior cibersegurança do mundo. O tempo médio entre uma brecha na cibersegurança e a descoberta foi de 520 dias, que é três vezes mais do que a média internacional, de acordo com o relatório.
Além disso, de acordo com Barnaby Grosvenor, chefe dos Serviços de Cibersegurança da Adura, “a falta de uma rede robusta de regulações de cibersegurança a níveis nacionais e internacionais pela Ásia é uma grande lacuna no contexto de cibersegurança aqui”.
“Como mostraram acontecimentos passados, algumas empresas não corrigem os erros de segurança disponíveis em tempo útil. Por exemplo, nosso trabalho sobre a Ásia mostrou que 99% dos servidores web não possuem pelo menos oito correções de segurança fundamentais por conta de processos fracos de cibersegurança interna. Empresas não podem se dar ao luxo de serem lentas ao darem esses passos básicos de volta, já que o risco de uma possível brecha é simplesmente alto demais”, afirmou Grosvenor à Network Asia.
Uma abordagem liberal às listagens de moedas?
Outro possível motivo para o alto número de hacks na Ásia poderia ser por conta da abordagem liberal das corretoras ao listarem novas moedas. Se você olhar para corretoras como Bitfinex, Bithumb e Coinrail, por exemplo, elas possuem uma grande lista de altcoins — algumas que não possam nem fornecer uma rede suficientemente segura para prevenir ataques, como os de 51%.
Pode-se dizer que quanto mais altcoins “menores” forem listadas por corretoras, maior a chance de um agente malicioso explorar suas fraquezas em redes de blockchain menores, resultando em hacks.
Em contrapartida, grandes corretoras dos EUA, como Coinbase, Gemini e Kraken, tiveram uma abordagem mais defensiva ao acrescentar novos ativos a suas plataformas.
Em vez de listar um grande número de criptoativos e tokens, essas corretoras optaram por dar suporte a apenas poucos ativos, os mais líquidos e bem-estabelecidos. Além disso, novos ativos precisam passar por um processo de seleção rigoroso antes de serem listados.
Por exemplo, Coinbase anunciou uma nova estrutura de listagem de criptoativos, que claramente destaca todos os obstáculos que os projetos de criptoativos precisam enfrentar antes de receber aprovação para listagem.
A qualidade do código de um criptoativo é um dos pontos principais em que a Coinbase observa, além do modelo de governança do projeto para certificar que apenas os criptoativos de alta qualidade entrem na sua plataforma.
Esse tipo de diligência cuidadosa não é realizada por todas as corretoras. Em vez disso, muitas apenas requerem que projetos de criptoativos paguem uma taxa para terem todos os seus tokens listados. Binance, por exemplo, cobra em média US$ 200 mil para listar uma nova moeda.
Quando perguntado, no podcast Unchained, sobre o preço para listagem, o fundador da Binance, Changpeng Zhao, , disse que era um bom valor para as moedas.
“Fornecemos esse valor para moedas, dando a elas liquidez, a nossa grande base de usuários e credibilidade, porque agora eles passaram pela análise da Binance. Vale bem mais… Nenhum dos projetos que foram listados por nós reclamou sobre isso.”
Coreia do Norte e China estão almejando países vizinhos?
A proximidade da China e da Coreia do Norte — que supostamente exercitam seu “ciberpoder” através de campanhas promovidas pelo estado — também podem ser um motivo para o grande número de ciberataques às corretoras asiáticas.
Durante um fórum (Asia Transnational Threats Forum), Chris Painter, antigo coordenador de assuntos cibernéticos do Departamento de Estado americano, afirmou que a China usa seus talentos de invasão principalmente para espionagem e roubo de propriedade intelectual, enquanto a Coreia do Norte basicamente executa ciberataques para geração de receita e desenvolvimento de habilidades destrutivas para possíveis conflitos fora de sua fronteira.
O segundo item pode explicar o número alto de ataques a corretoras da Coreia do Sul. Dado o relacionamento frágil entre as duas Coreias, existe motivo para hackers financiados pelo governo terem a Coreia do Sul como alvo.
Estima-se que o governo chinês têm mais de 50 mil hackers em sua base militar e não esconde suas ambições na corrida ciberespacial contra os EUA para adquirir poder computacional quântico.
Juntamente com esse poder de fogo, o Banco Popular da China está investindo intensamente na pesquisa em criptoativos e blockchain para criar uma criptomoeda nacional sob o alcance do Digital Currency Lab do banco central.
Os reguladores podem realmente proteger os investidores de invasões a corretoras?
De maneira interessante, a Coreia do Sul e o Japão possuem as regulações mais restritas para criptoativos, o que poderia significar que os usuários de corretoras desses países poderiam estar recebendo um maior nível de proteção de consumidor do que em outras jurisdições. No entanto, esse não foi o caso.
Governos e reguladores financeiros querem certificar que investidores estejam apropriadamente protegidos. Esse é o principal direcionador por trás da introdução das regulações de criptoativos.
No entanto, observando os hacks na Ásia, parece que as regulações não conseguiram proteger, com sucesso, os investidores das armadilhas do cibercrime.
Além disso, até mesmo corretoras de criptoativos reguladas, como a BitLicense nos EUA, não têm protocolos de segurança suficientes para assegurar o fundo de seus clientes e monitorar a possível manipulação de mercado.
Como o governo poderia aumentar a proteção aos investidores de cripto?
Observar atentamente em como corretoras de criptoativos operam e monitoram que tipos de protocolos de segurança existem para proteger os fundos de investimento já é um excelente começo.
Vários países tomaram medidas para regular suas corretoras locais de criptoativos enquanto outras abriram o diálogo com corretoras a fim de entender como operam e descobrir como melhor regular essa nova e crescente classe de ativos de investimento.
Se os governos quiserem abraçar os criptoativos mas também certificar que investidores são protegidos de possíveis perdas por conta de ciberataques em corretoras, eles poderiam, no máximo, oferecer um Depósito de Segurança parecido com o da FDIC (Empresa Federal de Seguros de Depósito) para investidores em criptoativos.
Dito isso, é improvável que governos vão ao alto e além para proteger os investidores dada a natureza controversa dessa nova e germinante classe de ativos.
O contexto mais provável seria os governos exigirem que corretoras de criptoativos assegurassem, integralmente, os fundos de seus clientes, no caso de perda por conta de uma invasão.
Essa é a estratégia adotada voluntariamente pela corretora Gemini, que assegurou todos os seus criptoativos custodiados por meio de um consórcio global de seguradoras pela Aon.
Agora, para corretoras que não oferecem segurança, isso é algo que pode ser implementado rapidamente e que, com certeza, ofereceria vantagens de mercado em um ambiente competitivo.
Finalmente, é necessária mais educação para investidores que estão analisando criptoativos.
Enquanto o setor privado já está muito envolvido nisso, os governos poderiam encorajar empresas educacionais como universidades e órgãos de qualificação profissional, como a CFA, para fornecer mais informações sobre como investir em criptoativos com segurança.