Em 2023, hackers extraíram US$ 1,8 bilhão em ataques realizados a aplicações do ecossistema de finanças descentralizadas (DeFi), apontam dados do relatório “Hack3d: The Web3 Security Report”, publicado pela CertiK. O valor é 51% inferior ao total roubado de vítimas em 2022, apesar do crescimento de 25% no número de ocorrências, totalizando 751 casos no ano passado.

O relatório traz relações entre o valor total alocado (TVL, na sigla em inglês) e a ocorrência de hacks, os prejuízos significativos causados por meio de ataques que comprometeram chaves privadas de protocolos e como as falhas de segurança impactam a visão dos investidores institucionais.

O Cointelegraph Brasil conversou com Ronghui Gu, co-fundador e CEO da CertiK, sobre o que os números do ano passado podem dizer sobre 2024.

Cointelegraph Brasil – O relatório “Hack3d: The Web3 Security Report” aponta que o crescimento do TVL em DeFi tem uma correlação de 31% com o aumento dos valores roubados. Então, se vivenciarmos uma alta em 2024, podemos esperar um aumento no número de ocorrências e prejuízos causados?

Ronghui Gu – A relação entre TVL e perdas implica que um aumento na atividade on-chain e nos preços dos tokens também causará um aumento no valor perdido em incidentes de segurança. Isso se concretizou durante a última alta do mercado, em 2021, quando ocorreram as maiores perdas desde o início do DeFi no acumulado anual, totalizando US$ 5,2 bilhões.

No entanto, como o relatório destaca, flutuações no TVL – e, em menor grau, no valor total do mercado cripto – respondem por menos de um terço da variação nas perdas por incidentes de segurança. Embora a tese ainda precise ser devidamente testada, esperamos ver a tendência de queda nas perdas continuar em um próximo ciclo de alta, indicando que a indústria está dando à segurança a importância que ela merece.

Cointelegraph Brasil – Chaves comprometidas foram a razão por trás de perdas que se aproximaram de US$ 900 milhões em 2023. Embora o relatório compartilhe 10 melhores práticas para evitar ataques baseados nessas vulnerabilidades, podemos esperar um número significativo dessas ocorrências em 2024, já que os projetos podem demorar um pouco para se adequar?

Gu – É verdade que a implementação de melhores práticas para prevenir comprometimentos de chaves pode levar tempo, e os projetos podem não ser capazes de se adaptar imediatamente. Portanto, é realista antecipar que explorações relacionadas a chaves ainda ocorrerão em 2024. 

No entanto, a conscientização está aumentando, e a disseminação de melhores práticas significa que os projetos realmente não têm desculpa para não implementar soluções seguras de gestão de chaves privadas.

Cointelegraph Brasil – Alguns projetos estão focados em oferecer 'implantação de blockchains de segunda camada sem código como serviço', e alguns exemplos podem ser vistos com o surgimento da Celestia. Assim, sem conhecimento técnico, qualquer pessoa pode implantar uma blockchain de segunda camada. É possível dizer que esses serviços podem desencadear ataques a essas redes com códigos básicos e, portanto, mais fáceis de explorar?

Gu – Serviços "sem código" reduzem significativamente as barreiras de entrada, permitindo implantações sem conhecimento técnico profundo. Essa democratização do acesso é louvável. 

Porém, esse esforço pode vir com riscos de segurança, já que processos simplificados podem levar a configurações básicas que são mais vulneráveis a explorações. 

Além disso, a centralização inerente a esses serviços, em comparação com o desenvolvimento diversificado e descentralizado por inúmeros indivíduos, pode limitar a variedade e robustez no código, potencialmente aumentando a uniformidade nas vulnerabilidades.

Cointelegraph Brasil – Em um mercado de alta, o risco de um investimento não dar retorno é substituído pelo aumento das chances de um "rug pull". Você tem dicas para ajudar os ‘degens’?

Gu – Para mitigar o risco de rug pulls, especialmente em um mercado em alta, os investidores devem:

1. Conduzir uma pesquisa aprofundada sobre as equipes dos projetos e seus históricos;
2. Analisar o tokenomics do projeto quanto à sustentabilidade e plausabilidade;
3. Procurar projetos com auditorias de código realizadas por empresas renomadas;
4. Ficar atualizado com os feedbacks da comunidade e desenvolvimentos;
5. Ter cautela com projetos que prometem retornos anormalmente altos.

É crucial permanecer vigilante e informado, pois a empolgação de um mercado em alta pode, muitas vezes, ofuscar a necessidade de cautela.

Cointelegraph Brasil – Existem vulnerabilidades nas quais a CertiK está de olho e que podem prejudicar o mercado em 2024?

Gu – Vamos ficar de olho nas muitas maneiras pelas quais a centralização pode se infiltrar nos sistemas Web3, muitas vezes com efeitos desastrosos. Também continuaremos nosso trabalho contínuo em segurança de dispositivos móveis, que no ano passado viu nossa equipe Skyfall receber múltiplos reconhecimentos da Apple e da Samsung por suas descobertas de vulnerabilidades. 

Além disso, a interoperabilidade entre blockchains provavelmente continuará sendo um ponto crítico para a indústria, já que pontes inseguras foram a causa de algumas das maiores perdas na Web3.