O inverno criptográfico de 2023 tem sido um desafio para muitos, principalmente para os ladrões que visam carteiras criptográficas, plataformas e protocolos de tokens. Até agora, neste ano, eles só conseguiram roubar US$ 1 bilhão em ativos criptográficos – uma queda acentuada em relação ao recorde de US$ 2022 bilhões de 3.8.
Infelizmente, o declínio parece ter mais a ver com uma redução do capital disponível do que com defesas mais fortes. E embora a escala dos ataques tenha diminuído, a sua frequência aumentou de facto acentuadamente: de 60 hacks em 2022 para 75 no final de Outubro. E o ano não acabou.
Se quisermos que o financiamento descentralizado seja amplamente aceite pelos investidores institucionais e de retalho, então terá de atingir o seu objectivo de democratizar o financiamento global.
Devemos, coletivamente, fazer melhor para fechar as brechas que os atores mal-intencionados estão sempre tentando escapar.
A chave para trancar a porta contra maus atores? Precisamos de melhorar enormemente a auditoria de segurança, que, actualmente, é, na melhor das hipóteses, inconsistente e, na pior, um exercício de carimbo de borracha.
Especificamente, a nossa indústria como um todo precisa de adoptar uma metodologia de auditoria consistente para tecnologia descentralizada que seja rigorosa, normalizada e repetível – tão robusta como a que protege as finanças tradicionais.
Uma tal norma de auditoria, associada a um compromisso público por parte das empresas de auditoria relativamente ao princípio da divulgação responsável — a disponibilidade para denunciar projectos que se recusem a ouvir ou a agir de acordo com as recomendações — incentivará os próprios projectos a elevarem os seus padrões de segurança.
A recusa da Atomic Wallet em atender a uma divulgação pública de fevereiro de 2022 de graves vulnerabilidades de segurança pelo auditor Least Authority resultou na perda de mais de US$ 100 milhões para hackers em junho de 2023.
Na melhor das hipóteses, uma auditoria de segurança de terceiros é uma investigação completa realizada por uma equipe qualificada que analisa todos os aspectos do design e implementação de um sistema, buscando pontos fracos e falhas que possam afetar operações ou usuários - ou oferecer aos malfeitores acesso a dados confidenciais ou ativos.
Uma boa auditoria também avalia cuidadosamente se os desenvolvedores e designers aderiram às melhores práticas na criação e implementação de um sistema.
As vulnerabilidades ocorrem de várias formas; criptografia incorreta ou insuficientemente segura, vazamento de informações confidenciais, partes do sistema desprotegidas, inconsistências entre a documentação do projeto do sistema e o código usado na implementação.
Fraquezas como essas podem resultar em qualquer coisa, desde a exposição de dados confidenciais e secretos do usuário até a perda de ativos do usuário e do sistema.
Que as auditorias sejam tão detalhadas — e consistentes — quanto possível é, portanto, essencial para a segurança de um projeto e de seus usuários.
Existem dezenas de empresas que oferecem serviços de auditoria, mas sem nenhum padrão do setor, a qualidade pode e de fato varia drasticamente. Mesmo dentro de empresas respeitáveis, não há consenso sobre o que deve ser auditado nem um conjunto consistente de critérios.
É claro que não há garantia de que mesmo os auditores mais experientes detectarão todas as fraquezas de um sistema ou protegerão todos os usuários contra perdas. Mas se forem realizadas de forma completa e regular, foi comprovado que as auditorias de segurança reduzem drasticamente o risco de uma vulnerabilidade grave passar despercebida.
Leia mais em nossa seção de opinião: É hora das empresas de segurança blockchain unirem forças
No entanto, as auditorias não podem impedir ataques de engenharia social – aqueles que envolvem a manipulação de seres humanos – como quando o grupo norte-coreano Lazarus convenceu os engenheiros de uma bolsa de criptografia não identificada no início deste ano a baixar malware disfarçado de bot de arbitragem. Prevenir esse tipo de ataque só vem com vigilância e treinamento da equipe.
É verdade que cada auditoria será diferente, tal como cada projecto é diferente.
Mas a minha longa experiência no espaço de auditoria de segurança ensinou-me que existem passos específicos que um auditor deve seguir para maximizar a eficácia da auditoria de segurança em benefício dos clientes, dos utilizadores e do ecossistema.
Quais são esses requisitos? Uma norma de auditoria que visa tornar os sistemas descentralizados mais resilientes e proteger os seus utilizadores de potenciais perdas deve incluir uma avaliação exaustiva do seguinte:
- O modelo de ameaça do projeto
- A segurança desde o design
- A segurança da implementação
- O uso de dependências
- ensaio
- Documentação do projeto
- O escopo da auditoria e se ela é ou não suficiente.
Para garantir que qualquer melhoria nas normas beneficie a blockchain como um todo, também defendemos a partilha de conhecimento e a criação de bens públicos, como investigação, ferramentas e formação.
Ao trabalharmos juntos para melhorar os padrões da indústria de auditoria de segurança como um todo – e, portanto, da esfera tecnológica descentralizada – podemos percorrer um longo caminho para impedir que os hackers black hat do blockchain quebrem o recorde de 2022 de ativos criptográficos roubados.
E esse é um recorde que não queremos ver quebrado novamente.
Hind Kurhan é cofundador da Thesis Defense, uma empresa de auditoria de segurança de tecnologia descentralizada cuja missão é facilitar a ampla adoção de tecnologia descentralizada, melhorando a segurança e a consistência da auditoria em toda a esfera blockchain.
Não perca a próxima grande história – inscreva-se no nosso boletim informativo diário gratuito.
Fonte: https://blockworks.co/news/blockchain-audit-security-standards