À medida que a web3 cresce, também aumentam os riscos associados aos aplicativos descentralizados (dapps). Aqui, compartilhamos conselhos práticos para mitigar esses riscos.
Na vanguarda das tecnologias emergentes da web3 estão os aplicativos descentralizados, geralmente chamados de dapps. Eles usam contratos inteligentes interligados para realizar tarefas específicas dentro do aplicativo, rodando em blockchain como trechos de código. Eles são como uma ponte entre a Internet atual (Web 2.0) e a web3 em desenvolvimento.
Os Dapps aproveitam a segurança, a transparência e a indelébilidade inerentes à tecnologia blockchain para capacitar os usuários com maior privacidade e maior controle sobre seus dados e ativos digitais. Eles funcionam como a contrapartida blockchain dos aplicativos tradicionais, abrangendo mídias sociais, finanças, jogos e muito mais.
Embora a maneira como você usa um dapp possa parecer semelhante a aplicativos normais, o que está acontecendo nos bastidores é diferente. Em vez de serem armazenados em um grande servidor, os dapps são espalhados por muitos computadores chamados “nós” em uma rede blockchain.
A rápida expansão do web3 transformou o terreno tecnológico. No entanto, também trouxe novos desafios de segurança.
Riscos e vulnerabilidades em web3 e dapps
Entre os riscos de segurança mais proeminentes associados à web3 e aos aplicativos descentralizados estão os ataques de phishing. Isso ocorre quando atores mal-intencionados criam sites fraudulentos ou contas de mídia social para induzir os usuários a divulgar suas chaves privadas ou outras informações confidenciais.
Outra ameaça intimamente relacionada é a engenharia social, um método enganoso que os cibercriminosos usam para induzir os usuários a compartilharem suas credenciais de login.
Algumas deficiências de segurança decorrem da interação entre as infraestruturas web3 e Web 2.0, enquanto outras são inerentes a protocolos como blockchain e IPFS (InterPlanetary File System).
A Web3 depende do consenso da rede, o que pode retardar a correção dessas e de outras vulnerabilidades.
Alguns dos principais riscos de segurança incluem:
- Consultas de API não criptografadas e não verificadas: apesar da conscientização diária sobre o compartilhamento de informações pessoais com fontes não verificadas, os aplicativos web3 geralmente dependem de chamadas e respostas de API que não autenticam os fins de conexão. Web3 propõe descentralização completa com qualquer nó de rede capaz de interagir diretamente com os dados armazenados. No entanto, os front-ends de aplicativos web3 ainda precisam de tecnologias Web 2.0 para interação do usuário final. Muitas consultas da API web3 não são assinadas criptograficamente, deixando a porta aberta para ataques no caminho, interceptação de dados e outras ameaças.
- Ataques de protocolo e ponte: Nem todo web3 é construído diretamente em blockchain. Várias redes possuem plataformas chamadas de camada 2 (L2) construídas sobre elas. Além disso, como os blockchains geralmente operam em silos, os desenvolvedores criaram protocolos chamados pontes que visam permitir a comunicação entre diferentes redes. Os hackers podem atingir os protocolos L2 e as pontes, pois os consideram pontos fracos.
- Bolsas centralizadas (CEXs): Embora as bolsas centralizadas ofereçam conveniência para os comerciantes de criptografia, elas costumam ser alvo de hackers devido ao grande volume de fundos que possuem. Houve vários casos em que CEXs foram vítimas de ataques cibernéticos, causando perdas significativas aos seus usuários.
- Roubo de contas e carteiras móveis: Histórias de ataques de criptomoedas ou carteiras NFT são conhecidas na mídia. Esses ataques geralmente ocorrem quando hackers obtêm acesso às chaves privadas dos usuários ou enganam os usuários para que as entreguem por meio de phishing.
- Malware e keyloggers: são ferramentas de software usadas por hackers para acessar ilicitamente credenciais de usuários e chaves privadas.
- Problemas de privacidade com armazenamento descentralizado de dados: Ao contrário do acesso altamente restrito a bancos de dados no modelo Web 2.0, qualquer nó conectado pode acessar dados em um blockchain. Levanta inúmeras questões de segurança e privacidade, mesmo que os dados sejam anonimizados.
- Atualizações atrasadas: a natureza descentralizada do web3 torna um desafio emitir rapidamente correções de segurança. Toda a rede precisa aprovar quaisquer alterações, o que prolonga a presença de falhas de segurança, mesmo depois de detectadas.
- Vulnerabilidades de segurança em contratos inteligentes: Os contratos inteligentes, como qualquer código, podem abrigar falhas de segurança significativas que podem expor dados ou fundos do usuário. Contratos inteligentes falhos permitiram que hackers roubassem quantidades substanciais de criptografia nos últimos tempos.
Riscos de contratos inteligentes: o que dizem os especialistas?
Em 17 de novembro de 2023, a plataforma de segurança blockchain Immunefi revelou seu relatório sobre as causas raízes das vulnerabilidades mais prejudiciais na web3.
O relatório, anunciado no Web Summit 2023, com a participação de crypto.news, apresenta um novo padrão de classificação de vulnerabilidade para web3. A pesquisa indica que as causas básicas dos hacks se enquadram em três categorias discerníveis:
- Falhas de design em contratos inteligentes
- Má codificação dos contratos
- Fraquezas da infraestrutura
Embora os protocolos de contratos inteligentes recebam frequentemente ampla atenção, a Immunefi destacou que o perigo pode residir no nível de infraestrutura negligenciado.
De acordo com o relatório, quase metade de todas as perdas monetárias causadas por hacks em 2022 foram causadas por problemas de infraestrutura, como o manuseio inadequado de chaves privadas. Além disso, constatou que quase 37,5% de todos os incidentes foram devidos a erros dos desenvolvedores em contratos inteligentes relativos ao controle de acesso, validação de entrada e operações aritméticas.
O CEO da plataforma, Mitchell Amador, enfatizou que mesmo um contrato inteligente bem concebido pode ser comprometido se a infraestrutura subjacente for vulnerável, levando a perdas substanciais.
“Blockchains são ambientes abertos e sem permissão. Isso significa que você não está apenas se protegendo contra alguém que conseguiu entrar furtivamente em sua infraestrutura como você fazia na web tradicional, você está se protegendo contra qualquer pessoa que possa ver seus contratos, qualquer pessoa que possa mexer com seu produto.”
Mitchell Amador, CEO da Immunefi
Compartilhando suas idéias com crypto.news, Alex Dulub, fundador da Web3 Antivirus, uma empresa de segurança blockchain, apontou que a verdadeira ameaça para web3 e aplicativos descentralizados reside em vulnerabilidades decorrentes de lógica de contrato inteligente incompleta. Segundo ele, embora os desenvolvedores possam usar requisitos específicos para definir como funcionam os contratos inteligentes, há sempre o risco de eles serem usados de forma não intencional.
Dulub observou que os hackers estão sendo mais criativos, experimentando contratos e projetos inteligentes, em busca de inconsistências para explorar.
“Infelizmente, detectar problemas tão complexos com ferramentas ou analisadores automáticos é quase impossível. A melhor abordagem? Considere testes rigorosos, desenvolvimento lógico cuidadoso, análise de todos os possíveis cenários de uso, auditoria completa e implementação de um programa de recompensas de bugs.”
Alex Dulub, fundador do Web3 Antivirus
A sua preocupação foi partilhada por Sipan Vardanyan, cofundador e CEO da empresa de segurança cibernética Hexens, que disse que o trabalho de um hacker é descobrir o que não se destina e criar vetores de ataque novos e mais sofisticados.
“Saber o que está acontecendo por aí é absolutamente crucial porque é um campo pequeno e as notícias correm rápido, então tudo que você precisa fazer é manter o controle sobre o pulso.”
Siphan Vardanyan, CEO da Hexens
O estado atual da segurança do dapp
O relatório da Immunefi mostra que, de janeiro a outubro de 2023, o setor web3 sofreu reveses financeiros de mais de 1,4 mil milhões de dólares causados por 292 casos distintos de fraude e pirataria informática.
O relatório também indicou que os hacks superaram a fraude no que diz respeito à causa das perdas financeiras.
Em outubro de 2023, os analistas atribuíram cerca de US$ 16 milhões em perdas a incidentes de hackers, sendo as plataformas defi a principal escolha de ataque para hackers e fraudadores.
No geral, no terceiro trimestre de 2023, a análise da Immunefi identificou 74 hacks e fraudes, levando a uma perda total de US$ 685 milhões em todo o ecossistema web3.
O valor envolveu US$ 662 milhões perdidos em 47 incidentes de hackers e US$ 22 milhões em 27 incidentes de fraude. Dois projetos, Mixin Network e Multichain, testemunharam a maior parte das perdas no terceiro trimestre de 2023, totalizando US$ 200 milhões e US$ 126 milhões, respectivamente.
De acordo com a Immunefi, os números refletem um aumento de quase 60% em comparação com o terceiro trimestre de 2022, quando os malfeitores fugiram com cerca de 428 milhões de dólares.
Os assaltos Mixin e Multichain representaram mais de 47% de todas as perdas no terceiro trimestre de 2023. Nesse período, o hacking foi a principal causa das perdas, respondendo por 96,7% em comparação com golpes, fraudes e puxões de tapete, que compuseram apenas 3,3% dos fundos roubados.
Além disso, os invasores tiveram como alvo principal o Ethereum (ETH) e o BNB Chain (BNB), com o Ethereum sofrendo 33 incidentes, enquanto o BNB Chain enfrentou 25.
Houve também um aumento significativo no número de ataques web3, com o número de incidentes únicos aumentando 147% ano a ano, de 30 para 74 no terceiro trimestre de 2023.
No geral, o período testemunhou a maior perda em 2023, a maior parte resultante de ataques do Grupo Lazarus, que alega estar por trás de ataques de alto perfil a CoinEx, Alphapo, Stake e CoinsPaid.
Nos ataques, o grupo ligado à Coreia do Norte roubou 208.600.000 dólares, representando 30% das perdas totais no terceiro trimestre de 2023.
Do ponto de vista acumulado no ano, o ecossistema criptográfico relatou perdas de US$ 1.410.669.002 em 292 incidentes. O terceiro trimestre de 2023 foi particularmente grave, com perdas superiores a 340 milhões de dólares em setembro e 320 milhões de dólares em julho.
Como se proteger no espaço web3
Aqui estão as medidas que os usuários da web3 podem tomar para proteger a si mesmos e a seus ativos contra malfeitores:
-
Fique atento contra a falsificação de identidade. Tais tentativas são uma triste realidade no mundo web3 e ignorá-la pode levar a consequências graves.
Acompanhe o saldo da sua conta. Pode parecer trivial, mas é uma forma fundamental de mitigar ameaças à segurança no mundo web3. Como prática recomendada, depois de usar a assinatura da sua carteira em qualquer nova plataforma, verifique o saldo da sua conta, especialmente tokens de alto valor como Bitcoin (BTC), Ethereum ou stablecoins como Tether (USDT), que são propensos a tentativas comuns de hacking.
Se você detectar qualquer transação duvidosa ou acesso não autorizado, informe imediatamente à sua instituição defi ou ao provedor da plataforma dapp.
Tenha cuidado ao baixar ou instalar novos dapps. Use fontes confiáveis ao baixar e instalar aplicativos e evite software de sites desconhecidos ou não confiáveis.
Tenha cuidado com sites com reputação duvidosa, pois eles podem distribuir software prejudicial que pode comprometer a segurança do seu dispositivo.
Dado que os CEX são frequentemente alvos de hackers, os especialistas recomendam que os utilizadores mantenham os seus fundos em carteiras onde tenham controlo total sobre as suas chaves privadas. Para proteger melhor suas chaves privadas, os usuários do web3 podem usar carteiras de hardware ou soluções de armazenamento frio, que armazenam chaves offline, protegidas de potenciais keyloggers.
Garantir a segurança da web3 não é uma tarefa única, mas um processo contínuo que envolve identificação proativa de riscos, escolha estratégica de design de blockchain, auditorias regulares e aprendizado constante.