Os Aplicativos DeFi Representam 24/7 Hackers Honeypots de Milhões de Dólares

No fim da semana, a exploração de uma vulnerabilidade de contrato inteligente obrigou os desenvolvedores do aplicativo Fulcrum, baseado em Ethereum, a desativar parcialmente seu contrato inteligente. Um post-mortem recente da violação de segurança mostra que o invasor usou uma série de negociações complexas em vários aplicativos para explorar a vulnerabilidade. [bZx] Isso levou os pesquisadores a concluir que o invasor possuía “um conhecimento extremamente profundo de todos os protocolos DeFi”.

A Viabilidade do DeFi

Como o BeInCrypto relatou anteriormente, o incidente levou alguns a questionar a viabilidade do setor DeFi . Charlie Lee, o fundador do Litecoin, disse que o fato de os chamados aplicativos descentralizados terem uma chave administrativa para interromper contratos equivale a um ‘teatro de descentralização’. O desenvolvedor da Lightning Network, Alex Bosworth, compartilhou uma opinião semelhante:

If your “defi” project has an admin key or a coordinator, a set of oracles, a group of validators or cosigners, a default trusted keys list, even if you “have plans to phase it out”, what you are actually doing is running a financial service. In other words you actually have no d

— Alex Bosworth (@alexbosworth) February 15, 2020

Quer as reivindicações de descentralização absoluta sejam precisas ou não, o incidente aponta para um problema muito maior e mais fundamental dentro da indústria. Embora o relatório dos pesquisadores da bZx afirme que todos os fundos de usuários são seguros e que implementaram um patch para impedir que futuros invasores usem a mesma técnica, essas correções reativas não fazem nada para evitar futuras vulnerabilidades. Como aplicações financeiras, empresas como a Fulcrum representam vastos honeypots para hackers. Executando constantemente e com funções cada vez mais complexas, o fato de tantos contratos inteligentes já terem sido vítimas de hasckers prova que eles são um alvo atraente. O repórter e observador da indústria Larry Cermak destacou a questão pelo Twitter na terça-feira. Ele descreve os aplicativos DeFi atuais como uma constante “recompensa multimilionária aberta 24 horas por dia, 7 dias por semana e com muito poucas consequências”. Cermak conclui que a criação de um aplicativo DeFi deve ser uma dor de cabeça duradoura para os desenvolvedores:

In all seriousness, I can’t even imagine the stress that the DeFi currently have EVERY SINGLE DAY. It’s a multi million dollar bounty open 24/7 and with very little consequences.

— Larry Cermak (@lawmaster) February 18, 2020

Os desenvolvedores do bZx parecem concordar com o exposto acima. Kyle J Kistner, CVO da bZx escreve:

“O espaço está evoluindo rapidamente, e a segurança está se tornando cada vez mais terrível à medida que as barreiras à entrada na execução de uma exploração caem para zero. Não há analogia com isso no sistema financeiro tradicional. Estamos agora em territórios desconhecidos”.

Águas Não Testadas

Enquanto isso, outros argumentaram que o setor ainda não foi testado para as pessoas investirem quantias tão grandes em novos e complexos dApps. No seguinte tópico do Twitter, Taylor Monahan, CEO da MyCrypto.com, detalha como o bZx esteve no centro de várias vulnerabilidades anteriores:

The problem is idiots can build an exciting product, ignore security, refuse to learn, and still handle millions of dollars worth of your money bc y'all think #DeFi is safe. 😕

1. Start holding people accountable
2. Stop giving idiots your money
3. Start learning from history

— Tay 💖 (@tayvano_) February 18, 2020

Por fim, ela conclui que as explorações passadas da DeFi devem ser suficientes para afastar as pessoas da indústria. Ela também defende uma maior responsabilidade no setor. No entanto, com o interesse e os investimentos subsequentes em finanças descentralizadas, crescendo rapidamente , e as aplicações também crescendo em complexidade, é sem dúvida uma questão de quando, e não se, um incidente semelhante ao hack Fulcrum ocorrerá novamente. Faça parte da nossa página de criptomoedas no Twitter. Assim ficará por dentro das últimas notícias sobre criptomoedas e blockchain acontecendo no Brasil e no mundo.