Concentrar esforços em caçar responsáveis por ataques cibernéticos não vale a pena, segundo especialistas (Thomas Trutschel/Getty Images)
Coindesk
Publicado em 16 de agosto de 2021 às 12h17.
Na última terça-feira, 10, um hacker roubou o equivalente a 611 milhões de dólares em criptomoedas na Poly Network, protocolo de DeFi que conecta diferentes blockchains, aparentemente para ensinar uma lição à plataforma, conforme o próprio afirmou. Foi o maior roubo da história do mercado de criptoativos.
A identificação e exploração de um bug permitiu que o dinheiro fosse transferido para a carteira do hacker. Os desenvolvedores não tinham a intenção de colocar um botão escrito “dinheiro grátis”, mas ele estava bem ali pronto para ser explorado. E ainda bem que foi, pois é mais um erro que (esperançosamente) não será repetido.
“Eu não estou muito interessado em dinheiro! Eu sei que machuca quando as pessoas são atacadas, mas elas não deveriam aprender algo sobre esses ataques?” postou o infrator em dados do blockchain Ethereum na quarta-feira. Nos dias seguintes, ele acabou devolvendo os fundos desviados.
Não estou em posição para dizer se este é genuinamente um hacker “white hat” (como são chamados os hackers éticos, que expõem falhas e não causam prejuízo a nenhuma parte envolvida) ou um assaltante que percebeu que seria impossível sacar o dinheiro. Tor Ekeland, um advogado que construiu sua carreira defendendo criminosos cibernéticos, disse: “Geralmente, hackear é mais sobre o frio na barriga do que sobre qualquer objeto obtido na empreitada”.
Ataques cibernéticos não são incomuns no crescente ecossistema multibilionário das finanças descentralizadas (DeFi), do qual a Poly Network faz parte. Por vezes o resultado de roteiros precipitados ou falhas no protocolo, esses ataques são importantes para que a rede se torne mais segura, sem dúvidas.
Na verdade, alguns diriam que esses ataques levam à um código infalível. É um ponto controverso, especialmente porque hackers nem sempre retornam os fundos roubados, e certamente pessoas são prejudicadas no processo.
No mundo dos blockchains, quando alguém implementa um contrato inteligente – como na rede Ethereum – que tem uma vulnerabilidade, centenas de milhões de dólares desaparecem do dia pra noite e não há recurso”, diz Mark Miller, lendário ex-cientista computacional da Google e fundador da Agoric em uma conferência em 2018. “Existem esses prêmios gigantescos, efetivamente. E quando um deles é coletado, o software com essas vulnerabilidades morre”. Em outras palavras, sistemas baseados em blockchain enfrentam uma pressão evolutiva. Projetos fracos sofrem uma “morte prematura” e então todo o sistema se torna habitado por códigos seguros.
A tecnologia blockchain existe há apenas pouco mais de uma década. DeFi, conforme sabemos, é ainda mais jovem. Estamos apenas nos primeiros estágios da adoção, com muito mais erros pelo caminho.
Ataques cibernéticos não são a única forma de evolução para projetos ou protocolos. As pessoas podem construir coisas simples devagar, como o caso da rede Bitcoin, que só caiu duas vezes em seus mais de 12 anos de existência. Existem auditorias externas e um potencial papel para decisores políticos ou reguladores governamentais.
Mas procurar por falhas em uma base de código ou encontrar hackers depois do ocorrido é como “caçar os lobos”, diz Zooko Wilcox-O’Hearn, especialista em segurança computacional e o cérebro por trás da Zcash que tomou emprestada a expressão de Vitalik Buterin.
Em 2015, sua empresa de auditoria, a Least Authority, foi contratada por um grupo de desenvolvedores para uma auditoria de segurança na rede Ethereum, que ainda seria lançada. Muitas das vulnerabilidades encontradas foram consertadas, mas não a que tinha a ver com a “reentrada”, que permitiu que as pessoas implementassem contratos inteligentes que poderiam ser explorados.
Apenas alguns anos depois a mesma vulnerabilidade foi explorada no episódio conhecido como “o ataque DAO”, uma dor de cabeça que custou 55 milhões de dólares e levou à divisão no blockchain que separou Ethereum e Ethereum Classic. No momento em que enviou seu relatório, a Least Authority ainda demonstrou um exemplo hipotético de contrato inteligente que poderia ser explorado: um contrato inteligente de crowd-funding, como o DAO.
Conforme mais dinheiro entra nos contratos inteligentes, se tornará cada vez mais difícil “caçar os lobos”, ou os hackers individuais, no caso. Comunidades inteiras aprendem com os ataques cibernéticos quanto ao que pode e o que não pode se repetir. Com o tempo, isso levará à um código mais confiável. É uma forma de “armar as ovelhas”.
“Se nós como humanos iremos depender de computadores para realizar tarefas importantes para nós – e nós estamos fazendo isso! – então nós realmente precisamos que esses programas sejam infalíveis. E fora o cinismo e desesperança entre meus companheiros experts em segurança, isso é realmente alcançável!” disse Wilcox.
“Para cada programa como o DAO e a Poly Network que foram explorados porque tinham uma vulnerabilidade, você pode pontuar outro programa que fez a mesma coisa, mas não tinha essa vulnerabilidade. Então o processo é possível!”