Há poucos dias, a exchange Velocore perdeu cerca de US$ 10 milhões devido a uma violação de segurança em suas blockchains, destacando a gravidade das crises de segurança que ameaçam a indústria criptográfica.

É claro que este não é o primeiro incidente de segurança que ouvimos sobre exchanges centralizadas e descentralizadas. Muitas táticas de hackers e não hackers roubaram bilhões da indústria de criptografia, especialmente o desastre de US$ 1,4 bilhão no ano passado. 

Estas violações de segurança ocorreram, e continuarão, até que as bolsas de criptomoedas dediquem uma parte maior dos seus recursos para cobrir pontos cegos e implementar medidas preventivas. 

Atualmente, a maioria dos ataques a exchanges de criptomoedas acontecem através de uma dessas portas, alguns em exchanges centralizadas e outros em DEXs: 

  • Contratos inteligentes

  • Vulnerabilidades encadeadas

  • Manipulações de preços

Erros de codificação e contratos inteligentes falhos

Apesar da sua natureza inovadora, os contratos inteligentes não são infalíveis. Um dos casos mais conhecidos é o cenário de ataque de reentrada, no qual um invasor pode chamar uma função mais de uma vez antes que a primeira chamada seja finalizada. 

O mesmo se aplica aos CEXs em vários cenários, o que apenas mostra que ainda há espaço para um aumento na segurança.

No geral, a maioria dos problemas vem destas duas fontes:

Buracos de codificação

Quando se trata de violações de segurança, as pessoas geralmente esperam algo muito mais glorioso do que uma falha de codificação. A codificação, embora bastante básica, ainda é a base de qualquer projeto criptográfico. Pequenos erros no código podem ter um grande impacto nos resultados financeiros. Um bom exemplo é o ataque DAO de 2016, que perdeu US$ 50 milhões para hackers, apenas por uma falha de segurança no código.

Falta de auditoria adequada 

Muitos projetos entram em operação sem uma auditoria completa por parte de terceiros, o que os torna mais suscetíveis a vulnerabilidades. Um ataque à Rede Ronin em 2022 quase destruiu o Axie Infinity, roubando 173.600 Ethereum e 25,5 milhões de USDC – quase US$ 700 milhões.

Vulnerabilidades encadeadas

Existem prós e contras na forma como as trocas e os protocolos funcionam juntos. Quanto mais recursos eles adicionam, mais conexões complicadas exibem. Uma única violação em um protocolo pode causar problemas nos outros, como na situação da maçã podre.

Crises de interoperabilidade e integrações comprometidas

Uma falha em um protocolo pode ter um efeito dominó em outros protocolos devido ao quão interconectados eles estão. A violação do Cream Finance em 2021 foi apenas mais um projeto DeFi comprometido por atores oportunistas. Os criminosos roubaram ativos avaliados em mais de US$ 130 milhões de outras redes, aproveitando-se de uma falha de segurança na rede Cream Finance.

O mesmo cenário pode se aplicar aos CEXs e à sua falta de devida diligência ao fazer parceria com um serviço de liquidez de terceiros ou com carteiras e gateways de pagamento inseguros. É claro que a monitorização centralizada pode amortecer os danos em muitos casos.

Empréstimos instantâneos

Com os empréstimos instantâneos, os mutuários não precisam constituir garantias, desde que devolvam o dinheiro de uma só vez. Alguns malfeitores aproveitaram-se de empréstimos instantâneos para inflacionar artificialmente os preços nas bolsas e roubar dinheiro de protocolos mais fracos que são suscetíveis de manipulação.

Embora os danos sejam muitas vezes limitados às DEXs, podem levar a manipulações de mercado semelhantes nas CEXs, o que trará escrutínio regulatório e grandes golpes à sua reputação.

Manipulações de preços

Jogar injustamente é o truque mais básico de qualquer mercado financeiro. As exchanges centralizadas e descentralizadas não são diferentes. Eles sofrem de muitas maneiras, incluindo: 

Líderes

Hackers com um olhar aguçado para o lucro podem usar bots para “avançar” – executar seus negócios a uma taxa mais alta – identificando os lucrativos que estão na piscina. Um bom exemplo é o Merlin DEX. Para obter o controle dos tokens LP, os hackers invadiram a exchange e usaram uma falha no contrato inteligente. Ao bombear tokens falsos para o pool, eles drenaram os tokens reais da bolsa e deixaram a bolsa com perdas massivas.

Falsificação e camadas

Os falsificadores manipulam os preços de mercado criando uma aparência enganosa de oferta e procura. Eles fazem isso colocando grandes pedidos sem intenção de execução, apenas para cancelá-los antes de serem atendidos. Uma tática semelhante é conhecida como camadas, em que os traders colocam múltiplas ordens em diferentes níveis de preços para dar a falsa impressão de uma profundidade significativa do mercado.

Quais são as soluções?

Embora as exchanges de criptomoedas trabalhem constantemente para aumentar a segurança do usuário, às vezes é difícil acompanhar os hackers. Mas podem reforçar o seu quadro com diversas medidas:

Auditorias regulares e incentivos para recompensas de bugs

Para encontrar falhas de segurança em aplicativos DeFi, como contratos inteligentes, antes que possam ser usados ​​para fins indevidos, auditorias completas de código são essenciais. Mesmo os programadores mais experientes podem não perceber algumas falhas e defeitos de segurança; auditorias completas realizadas por empresas de segurança terceirizadas confiáveis ​​podem ajudar.

Os esquemas de recompensas por bugs também incentivam especialistas em segurança e hackers de chapéu branco a divulgar vulnerabilidades, o que é crucial para a indústria DeFi. Além de reforçar a segurança após o lançamento, estas medidas preparam o terreno para a atualização e melhoria rotineira dos padrões de segurança.

Razões de pedido para negociação

Espera-se que os comerciantes mantenham uma proporção justa entre os pedidos feitos e as transações reais, e os CEXs têm a tarefa de monitorar e fazer cumprir essa proporção. Depois disso, eles precisam penalizar as pessoas que ultrapassam os índices estabelecidos entre pedidos e negociações. Isso impedirá que as pessoas façam muitos pedidos sem planejar executá-los.

Medidas da Camada 2

É possível reduzir os preços do gás e o tráfego utilizando tecnologias da Camada 2. No entanto, as DEXs precisam ter cuidado para que essas soluções não tornem as atividades on-chain inseguras ou abram portas para novas vulnerabilidades.

Seguro DeFi

Ter seguro no DeFi é crucial porque protege os usuários de perder dinheiro devido a hackers, explorações ou outros problemas operacionais.

Os usuários podem ficar tranquilos e ver as plataformas DeFi como alternativas atraentes aos sistemas bancários convencionais, uma vez que fornecem proteção contra uma variedade de ameaças.

Transparência e relatórios

Os comerciantes podem discernir melhor entre comportamentos justos e injustos se tiverem acesso a dados e insights de mercado abrangentes. Permitir que os comerciantes divulguem anonimamente manipulações de mercado ou atividades questionáveis.

Os criminosos por trás dessas operações estão sempre um passo à frente das exchanges quando o assunto é inovação tecnológica. Para proteger os seus clientes de maus atores, estas plataformas devem desenvolver e implementar continuamente novas medidas de segurança.

O posto Fortificação de exchanges de criptomoedas: desafios e soluções estratégicas apareceu pela primeira vez no Metaverse Post.