No cenário em evolução do Web3, a segurança continua sendo uma preocupação primordial para as empresas de criptomoedas. A maioria dessas empresas depende fortemente de auditorias de contratos inteligentes antes da implementação, acreditando que essas auditorias protegerão seus projetos e os fundos dos clientes contra invasões. No entanto, dados recentes revelam uma verdade chocante: 90% dos contratos inteligentes hackeados passaram por auditorias antes da implementação. Essa estatística destaca uma lacuna crítica na abordagem atual para a segurança do Web3.
Auditado, Ainda Hackeado: O Papel Crítico do Monitoramento em Tempo Real no Web3
Este artigo foi publicado há mais de um ano. Algumas informações podem não ser mais atuais.
ESCRITO POR
PARTILHAR
O seguinte artigo de opinião foi escrito por Michael Pearl, VP de Go-To-Market, Cyvers.ai.
O Papel das Auditorias de Contratos Inteligentes
As auditorias de contratos inteligentes são, sem dúvida, um elemento crucial na arquitetura de segurança de qualquer projeto de criptomoeda. Essas auditorias ajudam a identificar vulnerabilidades típicas e bugs relacionados à segurança antes que o contrato seja implementado. Conduzir múltiplas auditorias por diferentes empresas é uma prática comum, destinada a garantir que qualquer problema potencial seja identificado e corrigido.
No entanto, enquanto as auditorias reduzem os pontos de extremidade e a probabilidade de um ataque, elas não tornam um sistema à prova de falhas. As auditorias são apenas uma parte do panorama geral. Elas podem encontrar vulnerabilidades comuns, mas não podem contabilizar novos e sofisticados vetores de ataque que podem surgir após a implementação. Portanto, confiar apenas em auditorias não equivale a fazer tudo o que é possível para proteger um sistema.
Estudos de Caso: Auditados, Depois Hackeados
A lista de projetos que foram hackeados, apesar de terem seus contratos inteligentes auditados — muitas vezes mais de uma vez e por mais de um provedor de auditoria — é, infelizmente, muito longa. Vários exemplos recentes ilustram a discrepância entre expectativas e resultados reais.
- Dough Finance foi hackeada em 12 de julho deste ano e perdeu $1.8M. Os contratos do projeto foram auditados por pelo menos uma empresa de auditoria em novembro de 2023 e foram até rotulados como “baixo risco” pelo auditor.
- UwU Lend foi hackeada duas vezes, em 10 e 13 de junho deste ano, e perdeu $19.3M. Os contratos inteligentes da empresa foram auditados por pelo menos uma firma de auditoria.
- Radiant Capital foi hackeada em 3 de janeiro deste ano e perdeu $4.5M. A empresa afirmou que seus contratos foram auditados por quatro diferentes empresas de auditoria, descritas como “as melhores do mundo” na documentação da empresa.
- Os contratos inteligentes da Euler Finance foram explorados em 13 de maio do ano passado, resultando em uma perda de $197M. Segundo a empresa, seus contratos foram auditados por quatro empresas de auditoria líderes.
- O protocolo DeFi LI.FI foi explorado em 16 de julho deste ano e perdeu cerca de $11M. Dois anos antes do hack, a empresa publicou um post no blog apresentando orgulhosamente o fato de que foi auditada por dois provedores de auditoria.
O Elemento Faltante: Monitoramento em Tempo Real e Triagem Pré-Transação
Muitas empresas negligenciam a importância do monitoramento em tempo real e da triagem pré-transação para avaliação de risco. Esses componentes são essenciais para uma estratégia de segurança abrangente.
O Monitoramento em Tempo Real fornece supervisão contínua dos contratos inteligentes implementados, detectando e respondendo a problemas de segurança, golpes, fraudes e outros incidentes maliciosos à medida que acontecem. Essa abordagem proativa reduz significativamente a janela de oportunidade para hackers e permite uma ação imediata para mitigar danos potenciais.
A Triagem Pré-Transação avalia o risco das transações antes de serem executadas, ajudando a bloquear atores maliciosos e prevenir atividades fraudulentas. Ao integrar esse processo de triagem, as empresas podem garantir que apenas transações legítimas sejam processadas, melhorando ainda mais sua postura de segurança.
A Necessidade de Mecanismos de Gerenciamento de Crises
Além do monitoramento em tempo real e da triagem pré-transação, é crucial implementar mecanismos de gerenciamento de crises, como funções de pausa e outros disjuntores. Estes podem ser automatizados ou manuais e são vitais para responder em tempo real a alertas de sistemas de monitoramento e detecção.
Conclusão
As auditorias de contratos inteligentes são uma parte essencial da segurança do Web3, mas não são suficientes por si só. Para realmente proteger projetos de criptomoedas, as empresas devem adotar uma abordagem holística que inclua monitoramento em tempo real, triagem pré-transação e robustos mecanismos de gerenciamento de crises. Ao integrar essas medidas de segurança avançadas, as empresas de criptomoedas podem melhorar significativamente sua postura de segurança, protegendo seus projetos e os fundos dos clientes contra as ameaças em constante evolução no espaço Web3.
O que você acha da perspectiva e opinião do executivo da Cyvers.ai? Compartilhe seus pensamentos e opiniões sobre este assunto na seção de comentários abaixo.
