Diante de um cenário de pandemia cibernética, onde nem mesmo as grandes empresas conseguem sair ilesas, é necessário buscar cada vez mais alternativas para melhorar a segurança dos ativos digitais
Por muito tempo, imaginava-se que a tentativa de ataque cibernético às criptomoedas fosse praticamente impossível. Afinal, a informação viajava pela web em cadeias de blocos (os blockchains), cada um com código matemático e encriptação. Entretanto, não é bem assim.
Os hackers se notabilizam justamente por conseguirem encontrar brechas em diversos sistemas e soluções. Apenas em 2020, dados da plataforma Slowmist Hacked, que contabiliza ataques a projetos vinculados a blockchain, calculam uma perda de US$ 3 bilhões em carteiras digitais por conta desses ataques. Por isso, é preciso buscar alternativas para melhorar a segurança de seus ativos digitais. Confira:
1 – Proteja sua navegação
Toda a movimentação referente às criptomoedas acontece total ou parcialmente pela internet, seja para transferir as moedas digitais ou simplesmente armazená-las. Assim, o primeiro passo é proteger a navegação de seus dispositivos, dificultando a ação de cibercriminosos e a identificação de dados de acesso à wallet. A melhor alternativa nesse caso é adquirir um serviço de VPN, que consegue encriptar o tráfego e garantir que as informações naveguem com privacidade e segurança, além de estender a proteção aos demais equipamentos e sistemas operacionais que eventualmente são utilizados para esse fim.
2 – Utilize várias camadas de segurança
Toda transação de criptomoeda envolve um processo de autenticação. Por meio dele, é possível ver se é o usuário certo que está acessando a informação e/ou a quantia naquela corrente de blocos. As principais exchanges digitais oferecem diversos procedimentos de segurança para evitar riscos de ataques a transações. Mas o próprio usuário pode criar seus métodos, colocando senhas para autorizar cada movimentação em sua rede e sistema operacional – dificultando ainda mais a vida de quem tenta acessar remotamente.
3 – Escolha uma exchange digital adequada
O segundo tópico automaticamente leva ao terceiro: a necessidade de encontrar uma exchange digital que seja confiável e capaz de proteger todos os ativos. Seu funcionamento é bastante similar à bolsa de valores: são nelas que as pessoas negociam suas moedas digitais – portanto, o volume financeiro é gigantesco. Antes de negociar, recomenda-se observar as regras e boas práticas de segurança, a tecnologia utilizada e até se houve algum incidente de vazamento de informações e/ou roubos cibernéticos. É uma medida simples que evita dores de cabeça no futuro.
4 – Tenha cuidado com as wallets
Da mesma forma que existe algo simular com a bolsa de valores no universo das criptomoedas, é preciso ter uma conta para conseguir negociar no ambiente virtual. No caso, são as wallets. Elas servem para armazenar e transferir as moedas digitais. Além de escolher serviços de empresas sérias, é preciso ficar atento às características. Afinal, existe a hot wallet, que atua de forma on-line, e a cold wallet, que é off-line. A primeira é indicada para transações, mas é mais visada por cibercriminosos; a segunda é destinada a armazenamento, mas pode ser comprometida por falhas de segurança no dispositivo. Portanto, ambas têm peculiaridades de segurança que precisam ser levadas em consideração pelo usuário.
5 – Faça cópias sempre que possível
Não importa a função, o setor ou a necessidade. Quando o assunto é proteção digital, o bom e velho backup segue como excelente alternativa para mitigar prejuízos causados pelos ataques cibernéticos. No caso das moedas digitais, ele possibilita que o usuário tenha cópias de suas informações/valores inseridas na wallet. Não há um prazo recomendado, mas o ideal é que seja uma prática rotineira e frequente, até mesmo com a impressão física das chaves de autenticação e acesso no caso de perda do arquivo virtual.
Ataques de hackers a projetos DeFi e corretoras em blockchain – como se proteger
As corretoras e aplicativos descentralizados (dApps e Dex's) são parte de uma tecnologia nova e de alto interesse financeiro, o que atrai olhos não somente de investidores, mas também de oportunistas desonestos. Somente em 2021, houveram mais de 20 ataques nos quais hackers tiraram mais de US$ 10 milhões de protocolos blockchain. Desses, seis roubaram quantias superiores a US$ 100 milhões.
A vulnerabilidade desses aplicativos é grande. Isso porque eles têm o código aberto exposto nas blockchains, podem ser criados e disponibilizados por quaisquer desenvolvedores e startups e fazem parte de uma categoria tecnológica nova, que ainda está amadurecendo e sendo testada. O valor total perdido para hackers, em 2021, está próximo dos US$ 11 bilhões.
Contudo, existem mecanismos de prevenção que todos nós podemos – e devemos – adotar, não sendo necessário abrirmos mão das oportunidades trazidas pelas blockchains. A seguir, veremos como esses ataques ocorrem e como se proteger.
Os maiores casos de roubos e ataques recentes
Os três casos mais recentes ocorreram em uma onda, no início de dezembro.
A startup de blockchain MonoX Finance sofreu, no início do mês, um ataque que resultou na perda de US$ 31 milhões. O hacker se aproveitou de um bug no software relacionado à liberação de contratos inteligentes.
A empresa é uma fintech que permite que os usuários façam câmbio de criptomoedas de forma mais dinâmica, através de seu dApp DeFi. Não é preciso se preocupar com algumas das obrigações tradicionalmente requeridas por corretoras descentralizadas, como capital e fornecimento de liquidez.
A falha explorada pelo hacker se baseava no uso do mesmo token como tokenIn e tokenOut, ou seja, o câmbio de uma moeda por ela mesma, algo que o algoritmo não previa. O protocolo MonoX atualiza o preço dos tokens, após cada transação, diminuindo a cotação do tokenIn e depois aumentando a do tokenOut. Nesse caso, a nova cotação do tokenOut estava sendo sobrescrita à do tokenIn após cada operação. Fazendo sucessivas iterações, o hacker conseguiu inflar absurdamente o valor do token MONO e trocar o que tinha por US$31 milhões, nas redes Ethereum e Polygon.
O código do programa MonoX havia passado por uma auditoria da Halborn e Perckshield, que identificou vários problemas, mas a falha explorada pelo hacker não havia sido identificada. Isso é, em parte, responsabilidade dos desenvolvedores, que não forneceram um código limpo e de fácil leitura e não executaram suficientes testes de funcionalidade.
Na mesma semana, a corretora de criptos BitMart anunciou que hackers haviam roubado US$ 196 milhões. Essa falha foi atribuída ao roubo de uma chave privada, o que comprometeu a segurança de duas carteiras “quentes” online da corretora.
Os hackers levaram mais de 20 tokens da rede Ethereum e BSC. Esses foram, então, trocados por ETH e misturados por Tornado Cash, um processo de lavagem de criptomoedas que torna mais difícil o rastreamento posterior
O terceiro caso de grande porte deste mês foi o da BadgerDAO, que perdeu US$ 120 milhões. Esse ataque fez com que o preço do token BADGER despencasse 21% em menos de 24 horas.
Outros casos recentes foram os da Liquid e Poly Network, em agosto. A Liquid, uma corretora japonesa, foi vítima do roubo de cerca de US$ 97 milhões, enquanto da Poly Network foram roubados US$ 600 milhões.
O caso da Poly Network, contudo, teve uma reviravolta curiosa. O hacker abriu uma negociação e devolveu praticamente todo o valor roubado. A empresa, por outro lado, ofereceu a ele o cargo de assessor chefe de segurança e uma recompensa de US$ 500 mil.
Como se proteger
A maioria dos roubos de maior porte é direcionada a grandes corretoras e protocolos, mas os usuários de pequeno porte saem quase sempre lesados. No caso da MonoX Finance, por exemplo, o hacker levou uma grande quantia em MONO, mas quem pagou o preço foram os provedores de liquidez. Esses usuários ficaram com tokens inúteis durante a troca de MONO superfaturada por Ether. Outros ataques são mais diretos: 6000 usuários da Coinbase tiveram tokens retirados de suas contas entre março e maio deste ano, através de e-mails, senhas e números de telefones roubados. Veja algumas atitudes simples que podem te ajudar a se proteger melhor desses ataques:
Pesquisa. Qualquer ativo digital de interesse deve, primeiramente, ser pesquisado e investigado a fundo pelo investidor. Mesmo projetos confiáveis podem vir a ser alvo de hackers, mas uma pesquisa inicial pode ser suficiente para se livrar de impostores disfarçados como DeFi. Verifique a equipe, o site e os relatórios de auditoria.
Sites de impostores. São comuns os sites falsos que imitam os verdadeiros e os e-mails de phishing que direcionam os usuários até eles. Na dúvida, vale a pena pedir ajuda a usuários mais experientes.
Aplicativos falsos para celular. Assim como os sites falsos, também existem apps falsos para celular. É preciso se atentar a detalhes como o nome do app, o logotipo e a página na plataforma de downloads.
Contratos inteligentes. Os contratos inteligentes são a espinha dorsal dos projetos DeFi. Esse aspecto é mais técnico, mas deve ser levado em conta e analisado pelos investidores que desejam apoiar um novo protocolo.
Proteção da carteira. Sua carteira é sua maior barreira contra fraudes. Mantenha suas chaves privadas protegidas e, sempre que possível, dê preferência às carteiras “frias”.
Artigos transcritos e mesclados disponíveis em:
KuCoin Community Chain Academy Brasil
Projeto para Educação em Criptomoedas e suas aplicações
Conheça mais sobre a KCC
http://www.kcc.io
Telegram: https://t.me/KCCOfficialBrazil
Twitter: https://twitter.com/kccoficialBR