O DeFi continua a sangrar milhões de dólares para hackers todos os meses, o que levou um especialista em segurança a oferecer uma solução controversa para o problema – nomeadamente, a centralização de certos aspectos dos protocolos descentralizados.
Nanak Nihal Khalsao cofundador da startup de segurança Web3 Holônimodisse compreender que a introdução da centralização seria certamente controversa numa indústria que se orgulha de ser “incensurável”. Mas ele argumenta que é possível que os protocolos DeFi alcancem um equilíbrio delicado que impeça qualquer pessoa de bloquear as transações do dia a dia, ao mesmo tempo que evita o roubo de grandes quantidades de fundos.
“Se quisermos que as pessoas comuns usem criptografia, devemos nos esforçar para projetar e implementar maneiras de evitar ‘transações assustadoras’, e isso pode ser feito adicionando centralização em locais que podem ser centralizados”, disse Khalsa.
Os comentários de Khalsa vieram em reação a uma relatório recente pela empresa de segurança criptográfica Escudoque revelou que os protocolos DeFi perderam US$ 85,5 milhões para hackers em novembro, elevando o prejuízo anual da indústria para mais de US$ 2,43 bilhões até agora em 2024.
No mês passado, Peckshield registrou mais de 30 ataques de hackers separados, com os maiores perdedores sendo Thala, que perdeu US$ 25,5 milhões em fundos criptográficos, e DEXX, que teve US$ 21 milhões drenados por meio de um hack de protocolo.
O relatório destaca como os protocolos DeFi estão sendo cada vez mais alvo de hackers, devido à prevalência contínua de vulnerabilidades em seu código subjacente e contratos inteligentes. Embora as perdas de novembro tenham sido inferiores aos US$ 102,42 milhões roubados em outubro, mais dinheiro foi roubado das plataformas DeFi do que no mês anterior.
Junto com Thala e DEXX, plataformas como Gifto, Polter Finance e Delta Prime também foram vítimas de hacks multimilionários no mês passado.
Khalsa diz que estes últimos incidentes dão mais peso ao argumento de que a indústria DeFi nunca será capaz de confiar apenas em auditorias de contratos inteligentes, uma vez que simplesmente não é possível descobrir todas as vulnerabilidades que se infiltram no seu código.
“As auditorias já estão um tanto maduras”, destacou Khalsa. “Não creio que veremos mais grandes saltos em termos de auditorias de segurança.
Em vez disso, a indústria da Web3 precisa aprender com os seus homólogos da Web2, que sofre comparativamente menos incidentes de hackers devido à forma como os seus sistemas são centralizados, disse Khalsa. Ele disse que a Web2 se tornou muito boa na prevenção de fraudes porque criou vários sistemas e ferramentas que podem detectar quando hackers estão tentando processar uma transação maliciosa e impedi-los de retirar fundos.
“Isso é o que seu cartão de crédito e seu banco fazem, e é por isso que são considerados seguros pela maioria das pessoas”, argumenta Khalsa. “Se os bancos permitissem que os utilizadores realizassem qualquer transação sem verificar primeiro a sua segurança, garanto que os hacks aconteceriam nessa indústria com muito mais frequência e por quantias muito maiores do que vemos agora. As perdas excederiam em muito as perdas da Web3.”
O problema é que, se um protocolo DeFi for capaz de bloquear transações suspeitas, também teria a capacidade de bloquear saques legítimos. Isso significaria que não seria mais resistente à censura e seria extremamente controverso, já que a criptografia se baseia no ideal de ser resistente à censura.
No entanto, Khalsa ressalta que é possível introduzir apenas um grau limitado de centralização nos protocolos Defi.
“Não precisamos centralizar todo o protocolo, pois há todo um espectro de controle que pode ser introduzido”, argumentou. “Por exemplo, podemos programar contratos inteligentes para bloquear apenas transações acima de US$ 1 milhão, se elas atenderem a critérios específicos que os marquem como suspeitos. Isso evitaria enormes perdas de protocolo, sem censurar as atividades diárias dos usuários.”
Khalsa também pediu que os protocolos DeFi trabalhem mais para evitar incidentes como ataques de phishing, que continuam sendo uma das causas mais comuns de hacks de DeFi.
“Existem inúmeras ferramentas por aí, como Blockaid, Tenderly, Alchemy, Blowfish e GoPlus”, disse ele. “Eles [protocols] devemos alertar os usuários ou aplicar políticas com base em alterações de equilíbrio e ameaças potenciais detectadas por essas ferramentas.”
Além disso, ele pediu que os protocolos DeFi permanecessem atentos, ressaltando que a resposta rápida da equipe de Thala significou que ela conseguiu recuperar US$ 25,2 milhões do total de US$ 25,5 milhões que foram roubados, devido às ações rápidas que tomou.
“O tempo de resposta é muito importante; quanto mais cedo você responder, mais cedo poderá impedir que um invasor retire os fundos para misturadores ou exchanges”, observou Khalsa. “As grandes empresas costumam treinar seus funcionários para responder de forma rápida e eficaz a incidentes de segurança, e isso muitas vezes funciona.”
A postagem Os contínuos problemas de segurança do DeFi solicitam um repensar radical apareceu pela primeira vez no TechBriefly.
Source: Os contínuos problemas de segurança do DeFi exigem um repensar radical
