Divulgação: As opiniões e visões expressas aqui pertencem exclusivamente ao autor e não representam as opiniões e visões da editorial do crypto.news.
Auditorias de segurança são vitais—mas seus resultados geralmente não são contestados, enquanto uma única revisão não pode sempre detectar todas as vulnerabilidades. Auditorias públicas, incentivando hackers 'white-hat' a revisar os resultados da auditoria por meio de incentivos DeFi, poderiam aumentar a segurança de toda a web3—pois tornariam recompensas por bugs acessíveis até mesmo para projetos de menor escala.
Você também pode gostar: Carteiras de cripto podem proteger seus dados pessoais | Opinião
Por que auditorias tradicionais nem sempre são suficientes
De acordo com o Relatório de Segurança do Q3 da Hacken, a indústria web3 perdeu impressionantes $1,8 bilhão apenas em 2024. Quase 40% dessas perdas foram causadas por problemas evitáveis, como vulnerabilidades em contratos inteligentes e ataques de reentrada. Alarmante, 90% dos projetos hackeados nunca passaram por nenhuma auditoria, destacando uma falha crítica em segurança.
Auditorias de segurança tradicionais são essenciais—oferecem revisões aprofundadas e lideradas por especialistas em pontos críticos no ciclo de vida de um projeto, garantindo a segurança dos fundos dos usuários. No entanto, devido à natureza centralizada dessas auditorias, geralmente não há oportunidade de contestar suas conclusões—exceto se um projeto investir em uma segunda auditoria, o que é uma ocorrência rara. Esperar que uma única revisão capture tudo é irrealista, pois mesmo os auditores mais diligentes estão sujeitos a erros humanos.
A solução para esse problema reside na ética de descentralização da web3. Projetos de cripto poderiam envolver uma comunidade mais ampla de hackers 'white-hat' para auditorias públicas, assim proporcionando revisões de segurança descentralizadas, contínuas e impulsionadas pela comunidade.
Auditorias de segurança descentralizadas: Princípios & vantagens
O principal problema no design de auditorias descentralizadas é dar fortes incentivos a auditores independentes, garantindo que não venham a custos extras para os projetos. Deixe-me traçar uma possível maneira de alcançar esse equilíbrio por meio de ferramentas DeFi.
Imagine a plataforma de segurança lançando um pool de recompensas baseado em contratos inteligentes dedicado sempre que tiver um novo cliente solicitando uma auditoria. A empresa preenche esse pool com uma parte do custo da auditoria, enquanto seus detentores de tokens adicionam mais ao apostar os tokens da plataforma. Após a plataforma concluir sua própria auditoria, pesquisadores de segurança independentes entram em cena—e revisam o código do cliente. Quando a auditoria da comunidade é concluída, auditores independentes e apostadores coletam recompensas do pool.
É assim que os DualDefense Flash Pools funcionam na Hacken. Cada cliente que paga por uma auditoria privada recebe uma auditoria pública adicional, criando um modelo de segurança em duas camadas. E, no verdadeiro espírito de DeFi, a participação da comunidade é incentivada com recompensas de staking.
Essa abordagem tem benefícios de longo alcance: a comunidade ganha um instrumento de APY real de alto rendimento, auditores acolhem testes entre pares de suas conclusões, e hackers 'white-hat' ganham recompensas por descobertas válidas de bugs—mesmo por encontrar código limpo. Para projetos de cripto, isso significa uma maior garantia da segurança de seu código. Para toda a indústria web3, oferece uma abordagem viável para aumentar a segurança e combater crimes cibernéticos.
Auditorias descentralizadas democratizam o acesso à segurança para projetos web3, especialmente os nascentes. Muitas startups de cripto possuem ótimos MVPs, mas frequentemente carecem de recursos para recompensas por bugs tradicionais, que podem ser custosas—ninguém pode prever quantos bugs hackers éticos podem descobrir. O modelo que propomos aborda isso com um pool de recompensas fixo e financiado pela comunidade, tornando a segurança acessível e previsível desde o início.
Implementar esse modelo representa um risco tangível para as empresas de auditoria: coloca a reputação da plataforma em jogo ao permitir que auditores externos verifiquem seu trabalho. Dessa forma, no entanto, a empresa obtém um incentivo extra para abordar cada auditoria com ainda mais cuidado, sabendo quão públicos serão os resultados de seu trabalho—no final, isso beneficiaria toda a indústria. Auditores de contratos inteligentes não devem se afastar após uma auditoria—é hora de ser ousado e assumir a responsabilidade.
Finalmente, os pools de auditoria pública introduzem algo que DeFi carece—recompensas respaldadas por dinheiro do mundo real. Este modelo garante que os retornos dos usuários não sejam impulsionados por emissões inflacionárias de tokens, resultando frequentemente em crescimento insustentável e declínio de valor ao longo do tempo. Em vez disso, os usuários ganham com a atividade de mercado real, dando um passo em direção a modelos financeiros mais sustentáveis em DeFi.
Combinar auditorias tradicionais com auditorias abertas apoiadas pela comunidade abre caminho para um modelo de segurança resiliente que se adapta a projetos de todas as escalas. Auditorias públicas, apoiadas por incentivos impulsionados por DeFi, marcam um passo transformador em direção a uma cultura de segurança acessível, robusta e proativa na web3.
Leia mais: A educação é a chave para uma adoção mais ampla de cripto | Opinião
Autor: Dyma Budorin
Dyma Budorin é cofundador e CEO da Hacken, o principal auditor de segurança de blockchain, co-presidente do EEA DRAMA (um grupo de Gestão de Risco e Avaliação de DeFi), e coautor de padrões da indústria de cripto. Após mais de oito anos de experiência em auditoria na Deloitte, atuou como conselheiro de auditoria na Ukrspetsexport e vice-CEO de estratégia e desenvolvimento na Ukrinmash (ambas agências estatais ucranianas). Sendo um entusiasta de cripto e especialista em cibersegurança, Dyma teve suas percepções destacadas pela BBC, Wired, Cointelegraph, Coindesk e outros meios de comunicação respeitáveis. Ele também é Vice-Presidente da Associação de Blockchain da Ucrânia.