Novo dia, novo ataque hacker e mais uma Bridge de Blockchain queimada.
O roubo de cerca de US$ 190 milhões da empresa de criptomoedas Nomad por ladrões na semana passada foi o sétimo ataque hacker do ano de 2022 a atingir uma engrenagem cada vez mais importante na máquina cripto: “pontes” (em inglês, “bridges”) de blockchain – sequências de código que ajudam a movimentar moedas criptográficas entre diferentes aplicativos.
Até agora neste ano, hackers roubaram ao todo o valor de US$ 1,2 bilhão em pontes de criptomoedas. Estudo da empresa de análise de blockchain Elliptic, com sede em Londres, mostra que já é mais que o dobro do total do ano passado.
“Esta é uma guerra em que a empresa de segurança cibernética ou o projeto não pode ser um vencedor”, disse Ronghui Hu, professor de ciência da computação da Universidade de Columbia em Nova York e cofundador da empresa de segurança cibernética CertiK.
“Temos que proteger muitos projetos. Para eles (hackers) quando olham para um projeto e não há bugs, eles podem simplesmente passar para o próximo, até encontrar um ponto fraco”.
Atualmente, a maioria dos tokens digitais são executados em seu próprio blockchain, que é essencialmente um livro razão digital público que registra transações de criptoativos. Isso põe os projetos que usam essas moedas em risco de ficarem isolados, reduzindo suas perspectivas de uso seguro.
As pontes blockchain procuram derrubar essas barreiras. Entusiastas afirmam que elas desempenharão papel crucial na “Web3” – a visão muito badalada de um futuro digital em que criptomoedas são integradas à vida e ao comércio online.
No entanto, as pontes podem ser o elo mais fraco desse ecossistema.
O hack do Nomad foi classificado como o oitavo maior roubo de criptoativos de todos os tempos. Um roubo de US$ 615 milhões do Ronin, que foi utilizado em um conhecido jogo online, e um roubo de US$ 320 milhões do Wormhole, que foi usado nos chamados aplicativos bancários descentralizados, são outros dois roubos de ponte que ocorreram este ano.
“As pontes de Blockchain são o terreno mais fértil para novas vulnerabilidades”, disse Steve Bassi, cofundador e CEO do detector de malware PolySwarm.
Calcanhar de Aquiles
A Nomad e outras empresas que fabricam software de ponte blockchain atraíram apoio.
Apenas cinco dias antes de ser hackeada, a Nomad, com sede em San Francisco, disse que levantou US$ 22,4 milhões de investidores, incluindo a grande exchange Coinbase Global. O CEO e cofundador da Nomad, Pranay Mohan, chamou seu modelo de segurança de “padrão ouro”.
A Nomad não respondeu ao contato da Reuters.
A Nomad afirmou que está trabalhando com agências de aplicação da lei e uma empresa de análise de blockchain para rastrear os fundos roubados. No final da semana passada, foi anunciado uma recompensa de até 10% pelo retorno de fundos hackeados da ponte. A empresa reportou no último sábado que foram recuperados mais de US$ 32 milhões dos fundos hackeados até o momento.
“A coisa mais importante sobre criptos é a comunidade, e nosso objetivo número um é restaurar os fundos em ponte dos usuários”, disse Mohan. “Trataremos qualquer parte que devolver 90% ou mais dos fundos explorados como um chapéu branco. Não processaremos os chapéus brancos”, disse ele, referindo-se aos chamados hackers éticos.
Vários especialistas em segurança cibernética e blockchain disseram à Reuters que a complexidade das pontes significa que elas podem representar um calcanhar de Aquiles para projetos e aplicativos que as utilizam.
“Uma razão pela qual os hackers têm como alvo essas pontes de cadeia cruzada ultimamente são por causa da imensa sofisticação técnica envolvida na criação desses tipos de serviços”, disse Ganesh Swami, CEO da empresa de dados blockchain Covalent em Vancouver, que tinha algumas criptomoedas armazenadas no Nomad.
Por exemplo, algumas pontes criam versões de criptomoedas que as tornam compatíveis com diferentes cadeias de Blockchains, mantendo as moedas originais em reserva. Outros contam com contratos inteligentes, convênios complexos que executam negócios automaticamente.
O código envolvido em tudo isso pode conter bugs ou outras falhas, potencialmente deixando a porta entreaberta para novos ataques hackers.
Recompensas dos bugs
Então, qual a melhor forma de resolver o problema?
Alguns especialistas dizem que as auditorias de contratos inteligentes podem ajudar a proteger contra roubos cibernéticos, bem como programas de “recompensa de bugs” que incentivam revisões de código aberto dos contratos inteligentes.
Outros argumentam que desconcentrar o controle sobre as pontes entre menos organizações aumentaria sua resiliência e abertura de código.
“As pontes de cadeia cruzada são um alvo atraente para hackers porque geralmente aproveitam uma infraestrutura centralizada, a maioria das quais bloqueia ativos”, disse Victor Young, fundador e arquiteto-chefe da empresa de blockchain dos EUA Analog.
(Com Reuters)