O financiamento descentralizado (DeFi) veio para ficar com mais de US $ 100 bilhões em valor total bloqueado (TVL), Destacando a evidência de fé nessas novas ferramentas financeiras. Este investimento vai continuar a aumentar, mas parece que a cada novo registro na TVL, há outro ataque à rede sendo relatado com perdas astronômicas.
Criptografia caiu 57% em 2020, mas os hacks de DeFi surgiram, custando a empresas e investidores bilhões de dólares americanos. Só em março, houve vários ataques em apenas um período de cinco dias, com Rede paga perdendo US $ 180 milhões. Mais tarde, em maio, PancakeBunny perdeu mais de $ 200 milhões em um exploit de empréstimo instantâneo.
É claro que existem muitas brechas e hacks nos atuais protocolos de segurança do blockchain. De tapetes a golpes de phishing, a segurança e a tecnologia desse espaço não são tão maduras quanto os números indicam. Mas existem práticas críticas que os desenvolvedores e usuários podem implementar para preencher essa lacuna.
A tecnologia descentralizada ainda é centralizada
Não importa o quão descentralizado um protocolo afirme ser, a estrutura subjacente ainda é centralizada. Olhando para um de nossos principais recursos da Internet, os registros DNS, todo nome de domínio ainda é centralizado - pertencente a um governo, estado ou empresa que detém a autoridade final sobre o domínio e pode desligá-lo se assim desejar.
Um exemplo de centralização dentro da descentralização são os contratos inteligentes. Aqueles que escrevem contratos inteligentes Ethereum ou Binance têm a palavra final sobre o que está no código, e há maneiras de codificar programas nefastos, como tap pulls, em contratos inteligentes.
Durante o boom da agricultura produtiva do verão de 2020, vimos muitos protocolos surgirem para lucrar com o dinheiro despejado no DeFi, e isso continuou neste ano. Em março, TurtleDex executou um puxão de tapete, que foi efetivamente uma porta dos fundos do contrato inteligente que resultou em US $ 2.5 milhões roubados de investidores. Esse recurso intencional permite que os desenvolvedores programem golpes que são executados dependendo de outros eventos no código, e o TurtleDex é um dos muitos projetos deste ano que programou um tapete pull.
Relacionado: A agricultura produtiva é uma moda passageira, mas DeFi promete mudar a forma como interagimos com o dinheiro
As auditorias de contrato inteligentes são uma boa maneira de evitar puxões de tapete, mas mesmo assim vemos casos em que os desenvolvedores trocarão o contrato inteligente auditado por um não auditado. O caso de Compounder demonstra como é fácil para um projeto fraudulento obter influência de nomes conhecidos e respeitáveis no espaço. Eles foram capazes de capitalizar rapidamente no Harvest Finance e no Yearn.finance antes de puxar o tapete sobre seus usuários e sair com milhões de dólares em criptografia.
Relacionado: A auditoria padrão para projetos DeFi é uma obrigação para o crescimento da indústria
Tendências recentes em hacks
Além dos puxões de tapete, existem muitos ataques populares que podem fazer com que uma empresa inteira desmorone se não estiverem preparados. Um ataque de 51% - que ocorre quando um grupo de mineradores controla mais de 50% da taxa de hash de mineração da rede, permitindo que eles excluam ou manipulem registros de transações para executar gastos duplos ou interromper um blockchain - ainda é frequente. Firo e Grin ambos recentemente sofreram ataques de 51%.
Mesmo alguns projetos de criptomoeda com os principais tamanhos de capitalização de mercado ainda não são seguros. Em fevereiro, foi relatou que 200 dias de transações XVG na rede Verge foram apagados, sendo efetivamente a "reorganização mais profunda que já ocorreu em uma criptografia top 100".
Aceitamos esses erros como parte da experiência do blockchain, mas qual seria a reação se a mesma coisa acontecesse com um grande banco, por exemplo? Provavelmente haveria muito mais manchetes na mídia e alvoroço de usuários e clientes. Esses eventos passam despercebidos na criptografia porque há menos usuários, mas com a recente alta do mercado, isso está mudando. Inevitavelmente, mais escrutínio será colocado na segurança de blockchains públicos.
Práticas para evitar hacks, como puxar tapetes
Infelizmente para os desenvolvedores, hacks são sempre uma possibilidade ao trabalhar em criptografia. A questão não é como prevenir hacks, mas como prevenir suas chances de ser hackeado. Alguns avanços em carteiras de hardware - como Carteira multisignature da Gnosis Safe, por exemplo - são elementos-chave para melhorar a segurança geral.
O uso de uma carteira multisig permite que vários usuários tenham as chaves da mesma carteira e requer a participação mútua para executar ações na conta. Como uma carteira como essa requer a entrada de vários usuários para fazer negócios, é quase impossível executar tap pulls com esse tipo de cofre.
Outra prática de segurança para evitar puxões de tapete são os timelocks. Muitos aplicativos descentralizados usam timelocks para que se um desenvolvedor tentar puxar seus usuários, você receba um aviso de cerca de 12 a 24 horas para remover os fundos.
Esses tipos de práticas de segurança estimularão uma confiança mais ampla no DeFi e criarão uma cultura em torno da segurança que avançará nosso setor.
Melhorando a segurança da carteira em criptografia
Em última análise, a segurança da carteira depende de desenvolvedores e usuários que implementam práticas mais inteligentes. Auditorias de segurança regulares e práticas de segurança interna podem contribuir para carteiras mais seguras.
Embora as auditorias de segurança sejam uma boa solução, Uniswap e outros baseado em criador de mercado automatizado as trocas descentralizadas (DEXs) não têm permissão, portanto, é impossível realizar auditorias regulares. A melhor prática é entender os detalhes em torno das moedas de “lançamento justo” - projetos que são lançados a partir de um DEX. Embora muitos desses projetos sejam de alta qualidade, muitos são conhecidos por terem grandes explorações. O código-fonte aberto torna mais fácil para qualquer um auditar por si mesmo e verificar se o contrato inteligente é seguro, dando aos usuários mais ferramentas para praticar uma boa segurança.
Pode parecer uma grande façanha pedir a um usuário que pratique uma boa segurança, mas isso é necessário para acessar os muitos benefícios das criptomoedas e, especialmente, do DeFi. Com os bancos tradicionais, o banco é responsável pela segurança, mas na criptografia, a segurança se resume às práticas dos desenvolvedores e usuários.
Se você esquecer a senha do seu banco ou enviar fundos para a pessoa errada, você pode entrar em contato com o seu banco para mitigar a transação até que seja resolvida. Mas na criptografia, se você perder suas chaves ou enviar dinheiro para o endereço errado, não há opção de backup. Uma das muitas vantagens, é claro, é que você não precisa se preocupar se seus fundos estão disponíveis em criptografia, enquanto os bancos podem fechar suas portas e impor controles de capital, como o que aconteceu na crise bancária de 2015 na Grécia.
Conclusão
Como desenvolvedores, precisamos implementar validação cruzada e auditorias de segurança, além de responsabilizarmos uns aos outros pelo desenvolvimento de práticas de segurança cada vez mais aprimoradas.
Os usuários devem considerar a execução de seus próprios protocolos de segurança e compreender as nuances no armazenamento e em cenários de hacking em potencial. Uma boa prática para portadores de criptografia passivos é ter uma carteira de hardware desconectada da Internet ou uma carteira de papel que esteja 100% offline e não exija sincronização online para atualizações de firmware.
Os ataques de phishing, um dos tipos originais de hacks da Internet, ainda são comuns e frequentes. A maneira de combater as tentativas de phishing é verificar se o remetente é genuíno.
Não insira suas chaves privadas ou frases-semente em qualquer site da Web nem as envie para qualquer pessoa em canais públicos ou DMs. Geralmente, você só deve inserir sua frase-semente ao configurar inicialmente sua carteira. Além disso, você só deve inserir sua frase-semente se precisar recuperar sua carteira depois de esquecer sua senha, precisar importar uma carteira existente para um novo dispositivo ou usar o software de carteira compatível. Em geral, é recomendável usar dispositivos de carteira de hardware que nunca vazarão sua semente para qualquer tipo de software - nem mesmo um aplicativo ou software de carteira confiável pode ser recomendado em muitos casos.
À medida que continuamos a construir nossa nova economia global (principalmente) DeFi, é crucial que a segurança seja melhorada para que a adoção dominante e o capital possam continuar a fluir para o espaço, para que a próxima geração possa acessar novas fronteiras de independência financeira.
Este artigo não contém conselhos ou recomendações de investimento. Cada movimento de investimento e negociação envolve risco, e os leitores devem conduzir suas próprias pesquisas ao tomar uma decisão.
As visões, pensamentos e opiniões expressas aqui são apenas do autor e não refletem nem representam necessariamente as visões e opiniões da Cointelegraph.
Kadan Stadelmann é desenvolvedor de blockchain, especialista em segurança de operações e diretor de tecnologia da plataforma Komodo. Sua experiência vai desde o trabalho em segurança de operações no setor governamental e o lançamento de startups de tecnologia até o desenvolvimento de aplicativos e criptografia. Kadan começou sua jornada na tecnologia de blockchain em 2011 e se juntou à equipe Komodo em 2016.
Fonte: https://cointelegraph.com/news/the-radical-need-for-updating-blockchain-security-protocols
- 100
- 11
- 2016
- 2020
- 51% ataque
- Acesso
- Conta
- Adoção
- conselho
- Todos os Produtos
- Permitindo
- Aplicação
- Aplicativos
- por aí
- artigo
- auditor
- Porta dos fundos
- backup
- Bank
- Bancário
- bancos
- MELHOR
- bilhão
- binário
- blockchain
- Segurança blockchain
- tecnologia blockchain
- estrondo
- construir
- capital
- transporte
- casos
- Causar
- chances
- alterar
- canais
- chefe
- Chief Technology Officer
- reivindicações
- CNN
- código
- Moedas
- Cointelegraph
- comum
- Empresas
- Empresa
- continuar
- contract
- contratos
- Crime
- crise
- cripto
- criptomoedas
- criptomoedas
- criptografia
- Cultura
- Atual
- Descentralização
- Descentralizada
- DeFi
- Developer
- desenvolvedores
- Desenvolvimento
- Dispositivos/Instrumentos
- Dex
- perturbe
- dns
- dólares
- Nome de domínio
- desistiu
- economia
- ethereum
- eventos
- Trocas
- Explorar
- agricultura
- Característica
- Funcionalidades
- financiar
- financeiro
- Flash
- fluxo
- fundos
- lacuna
- Dando
- Global
- Bom estado, com sinais de uso
- Governo
- Grécia
- Grupo
- Crescente
- hacker
- hacks
- Hardware
- Hardware Wallet
- Carteiras de Hardware
- colheita
- hash
- taxa de hash
- headlines
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- Alta
- segurar
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- Crescimento
- indústria
- Internet
- investimento
- Investidores
- IT
- Chave
- chaves
- principal
- vazar
- Corrente principal
- adoção mainstream
- principal
- Fazendo
- Março
- mercado
- Capitalização de mercado
- Mídia
- milhão
- Mineradores
- Mineração
- dinheiro
- mover
- Multisig
- nomes
- rede
- números
- Oficial
- online
- código-fonte aberto
- Operações
- Opiniões
- Opção
- ordem
- Outros
- Papel
- Senha
- Phishing
- Frases
- Popular
- privado
- Chaves Privadas
- Lucro
- Agenda
- Programas
- projeto
- projetos
- público
- puxando
- qualidade
- reação
- leitores
- registros
- Recuperar
- pesquisa
- Risco
- seguro
- Golpe
- scams
- segurança
- semente
- seed phrase
- conjunto
- smart
- smart contract
- Smart Contracts
- So
- Software
- Espaço
- começado
- Startups
- Estado
- ficar
- roubado
- armazenamento
- verão
- Interruptor
- Tecnologia
- topo
- trades
- Trading
- transação
- Tendências
- Confiança
- nos
- Uniswap
- Atualizações
- usuários
- valor
- Cofre
- caminhada
- Wallet
- Carteiras
- Site
- QUEM
- dentro
- ano
- Produção