Pontes são plataformas que permitem a transferência de ativos entre diferentes blockchains. Em um ambiente cada vez mais multi-chain, elas se tornaram uma dos componentes de infraestrutura mais importantes da indústria atualmente. Ao mesmo tempo, tornaram-se visadas por hackers devido a falhas críticas de segurança. Os dois maiores ataques hackers da indústria de criptomoedas em 2022 exploraram vulnerabilidades de pontes.

À medida que as altas taxas do Ethereum (ETH) obrigaram os usuários de protocolos DeFi (finanças descentralizadas), colecionadores de NFTs e jogadores de games play-to-earn a buscar blockchains alternativas, a interoperabilidade entre diferentes redes tornou-se uma demanda urgente da indústria de criptomoedas.

No final de março de 2022, o valor total bloqueado (TVL) em protocolos de finanças descentralizadas estava estimado em US$ 215 bilhões, registrando um crescimento de 156% em relação a março do ano anterior. 

O volume de criptoativos bloqueados e conectados através desses dApps atraiu a atenção de hackers que parecem ter encontrado brechas de segurança justamente nas pontes que promovem a conexão entre diferentes redes blockchain.

De acordo com o banco de dados da indústria de criptomoedas Rekt, US$ 1,2 bilhão em criptoativos foram roubados no primeiro trimestre de 2022. Ao menos 80% dos ataques se aproveitaram de vulnerabilidades de pontes para serem consumados, informa um relatório da plataforma de monitoramento de aplicativos descentralizados Dapp Radar publicado pelo site de The Defiant.

O mais recente e mais eminente foi o hack da Ronin, no qual foram desviados mais de US$ 600 milhões em ativos digitais travados no ecossistema do jogo Axie Infinity (AXS). Antes dele, no início de fevereiro, o hack do Wormhole, ponte que conectava a Solana (SOL) à rede Ethereum, causou um desfalque de aproximadamente US$ 325 milhões.

Recuando até 2021, chega-se ao maior hack da história. Uma falha de segurança em uma ponte da PolyNetwork permitiu o desvio de US$ 610 milhões. Mais tarde, no entanto, a quantia foi inteiramente devolvida pelo próprio perpetrador do ataque.

Entender o funcionamento das pontes é fundamental para entender por que esta solução de infraestrutura tornou-se alvo preferencial de criminosos.

Interoperabilidade

As pontes blockchain são plataformas que conectam redes diferentes, permitindo a transferência de ativos e o intercâmbio de informações entre elas. A interoperabilidade tornou-se uma demanda da indústria recentemente para permitir que determinados ativos não fiquem circunscritos exclusivamente às suas redes originais.

Assim, tokens e NFTs podem expandir seus casos de uso, explorando recursos de redes específicas. Um exemplo seminal é a possibilidade de utilizar ​​Bitcoins (BTC) em protocolos DeFi, por exemplo.

A forma como os ativos são transferidos entre diferentes redes variam. Pontes de travamento e mintagem são as mais populares na indústria, hoje. Elas funcionam a partir do bloqueio dos ativos em sua rede de origem em um contrato inteligente, ao passo que na rede de destino é criada uma versão sintética dos ativos originais. Ou seja, ao transferir um Bitcoin para a rede Ethereum, este Bitcoin torna-se uma versão sintetizada do original, que pode ser resgatado ao retornar à sua própria blockchain.

Outras formas de efetivar a transferência de ativos entre diferentes redes incluem a queima do ativo original e a emissão de um novo ativo na rede de destino. Ou os swaps atômicos executados através de contratos inteligentes, que convertem os ativos no processo de transferência.

Do ponto de vista da segurança, as pontes se dividem em dois grupos: um depende de validadores externos para confirmar as transações, como as da Binance, da Avalanche (AVAX), da Harmony (ONE), da Polygon (MATIC), e da Ronin (RON). 

Em oposição, existem pontes que funcionam exclusivamente a partir de parâmetros definidos em contratos inteligentes e algoritmos de custódia de ativos. Nesse tipo de ponte, a segurança baseia-se na própria rede onde os ativos estão bloqueados. Enquadram-se nesse modelo a Rainbow Bridge, do NEAR Protocol (NEAR), o Wormhole, da Solana, a Snow Bridge, da Polkadot (DOT), e a Cosmos IBC, por exemplo.

Vantagens e desvantagens

Ambos os modelos têm suas próprias vantagens e desvantagens e os casos da Ronin e do Wormhole são ilustrativos.

A segurança da Ronin baseava-se no controle de nove validadores. Ou seja, pelo menos cinco assinaturas eram necessárias para avalizar qualquer transação realizada na sidechain do Axie Infinity. No caso, o hacker conseguiu acesso a cinco chaves privadas: a dos quatro validadores da Sky Mavis e a quinta de um validador da DAO do Axie Infinity. 

De posse das cinco chaves privadas, ele realizou duas transações para desviar 173.600 ETH e 25,5 milhões em USDC para carteiras de sua propriedade. Mais tarde, investigações do FBI e da CSIA (Agência de Segurança Cibernética e Infraestrutura) associaram as carteiras ao grupo de hackers norte-coreano Lazarus.

Já o hack do Wormhole explorou uma falha nos contratos de custódia da Solana para simular os validadores cross-chain. O hacker enviou 0,1 ETH do Ethereum para a Solana para acionar um conjunto de “mensagens de transferência” que enganaram o programa para aprovar um suposto depósito de 120.000 ETH.

Assim, ele obteve 120.000 wETH na Solana e em seguida resgatou 93.750 unidades do Ether sintético pelo equivalente a US$ 254 milhões em ETH na rede Ethereum.

Como Melhorar a segurança das pontes

Em resumo, ambos os modelos de pontes têm suas próprias vulnerabilidades. No entanto, isso não significa que não se possam tomar medidas para mitigar os riscos e aumentar a segurança das transferências cross-chain.

No caso das pontes que utilizam validadores como guardiões do sistema, aumentar o número de assinaturas necessárias para validar uma transação é uma medida relativamente simples, além de manter as multi-assinaturas distribuídas em diferentes carteiras.

Por outro lado, embora as pontes que se baseiam exclusivamente em contratos inteligentes eliminem os riscos inerentes à centralização das pontes moederadas por validadores, ainda assim o componente humano não é totalmente excluído por causa de eventuais erros de programação. Porém, códigos imperfeitos e falhas técnicas podem ser minimizados através de medidas off-chain.

A certificação por meio de auditorias realizadas por empresas certificadas pela indústria, como Certik, Chainsafe, Blocksec, entre outras, contribuem para tornar operações cross-chain mais seguras.

No início do ano, antecipando-se aos ataques da Ronin e do Wormhole, o criador do Ethereum, Vitalik Buterin, publicou um texto alertando sobre a vulnerabilidade das pontes ao afirmar que existem “limites de segurança fundamentais" em plataformas dessa natureza, conforme noticiou o Cointelegraph Brasil na ocasião. 

LEIA MAIS