Auditado, mas hackeado: o papel crítico do monitoramento em tempo real na Web3

Oi galera, prontos para mergulhar no mundo louco das notícias de cripto? Junte-se ao nosso canal do Telegram onde deciframos os mistérios da blockchain e rimos das mudanças de humor imprevisíveis do Bitcoin. É como uma novela, mas com mais drama descentralizado! Não fique de fora, venha com a gente agora e vamos aproveitar a montanha-russa das criptos juntos! 💰🎢

Junte-se ao Telegram


Como pesquisador experiente com mais de uma década de experiência no domínio da segurança cibernética, testemunhei a evolução de ameaças e vulnerabilidades em vários cenários tecnológicos. No domínio da Web3, o discurso contínuo em torno da segurança de contratos inteligentes ressoa profundamente em minha jornada profissional.

No cenário em evolução da Web3, a segurança continua sendo uma preocupação primordial para as empresas de criptografia. A maioria dessas empresas depende fortemente de auditorias de contratos inteligentes pré-implantação, acreditando que tais auditorias protegerão seus projetos e fundos de clientes contra hacks. No entanto, dados recentes revelam uma verdade absoluta: 90% dos contratos inteligentes que foram hackeados foram submetidos a auditorias pré-implantação. Esta estatística destaca uma lacuna crítica na abordagem atual à segurança da Web3.

O seguinte editorial de opinião foi escrito por Michael Pearl, VP Go-To-Market, Cyvers.ai.

O papel das auditorias de contratos inteligentes

As auditorias de contratos inteligentes são, sem dúvida, um elemento crucial na arquitetura de segurança de qualquer projeto criptográfico. Essas auditorias ajudam a identificar vulnerabilidades típicas e bugs relacionados à segurança antes da implantação do contrato. A realização de múltiplas auditorias por diferentes empresas é uma prática comum, destinada a garantir que qualquer problema potencial seja detectado e resolvido.

Embora as auditorias diminuam os potenciais pontos de entrada e a probabilidade de um ataque cibernético, elas não garantem um sistema totalmente seguro. As auditorias representam apenas uma peça do quebra-cabeça geral da segurança. Eles podem identificar pontos fracos comuns, mas não podem prever métodos de ataque avançados que possam surgir após a implantação. Assim, depender apenas de auditorias não significa tomar todas as medidas necessárias para a segurança do sistema.

Estudos de caso: auditados e depois hackeados

A lista de projetos que foram hackeados, apesar de terem seus contratos inteligentes auditados – muitas vezes mais de uma vez e por mais de um provedor de auditoria – é infelizmente muito longa. Vários exemplos recentes ilustram a discrepância entre as expectativas e os resultados reais.

  • A Dough Finance foi hackeada em 12 de julho deste ano e perdeu US$ 1,8 milhão. Os contratos do projeto foram auditados por pelo menos uma empresa de auditoria em novembro de 2023 e foram até rotulados como de “baixo risco” pelo auditor.
  • O UwU Lend foi hackeado duas vezes, em 10 e 13 de junho deste ano, e perdeu US$ 19,3 milhões. Os contratos inteligentes da empresa foram auditados por pelo menos uma empresa de auditoria.
  • A Radiant Capital foi hackeada em 3 de janeiro deste ano e perdeu US$ 4,5 milhões. A empresa alegou que os seus contratos foram submetidos a auditorias por quatro empresas de auditoria diferentes, descritas como “as melhores do mundo” na documentação da empresa.
  • Os contratos inteligentes da Euler Finance foram explorados em 13 de maio do ano passado, resultando em uma perda de US$ 197 milhões. Segundo a empresa, seus contratos foram auditados por quatro importantes empresas de auditoria.
  • O protocolo DeFi LI.FI foi explorado em 16 de julho deste ano e perdeu cerca de US$ 11 milhões. Dois anos antes do hack, a empresa publicou uma postagem no blog apresentando com orgulho o fato de ter sido auditada por dois fornecedores de auditoria.

O elemento que falta: monitoramento em tempo real e triagem pré-transação

Como investidor em criptomoedas, não consigo enfatizar o suficiente a importância do monitoramento em tempo real e da triagem pré-transação em minha estratégia de investimento. Estes elementos são cruciais para estabelecer um quadro de segurança robusto e eficaz para mitigar riscos potenciais.

O monitoramento em tempo real fornece supervisão contínua de contratos inteligentes implantados, detectando e respondendo a problemas de segurança, golpes, fraudes e outros incidentes maliciosos à medida que ocorrem. Esta abordagem proativa reduz significativamente a janela de oportunidade para hackers e permite ações imediatas para mitigar danos potenciais.

Antes de qualquer transação ocorrer, a Avaliação de Risco garante a segurança da operação. Esta etapa ajuda a identificar e impedir que entidades prejudiciais executem as suas ações, impedindo assim atividades fraudulentas. Ao incorporar esta avaliação de risco no seu sistema, as empresas podem garantir que apenas são processadas transações genuínas, fortalecendo assim a sua postura geral de segurança.

A necessidade de mecanismos de gestão de crises

Além do rastreamento e verificação contínuos antes das transações, é essencial instalar sistemas de resposta a emergências, incluindo botões de parada e outras medidas de segurança. Estes podem ser operados automática ou manualmente e desempenham um papel crucial na reação imediata aos avisos emitidos pelas ferramentas de vigilância e deteção de ameaças.

Conclusão

As auditorias de contratos inteligentes são uma parte essencial da segurança da Web3, mas não são suficientes por si só. Para proteger verdadeiramente os projetos de criptomoedas, as empresas devem adotar uma abordagem holística que inclua monitoramento em tempo real, triagem pré-transação e mecanismos robustos de gestão de crises. Ao integrar estas medidas de segurança avançadas, as empresas criptográficas podem melhorar significativamente a sua postura de segurança, protegendo os seus projectos e fundos dos clientes das ameaças em constante evolução no espaço Web3.

2024-08-27 07:57