Riscos do mercado

Chamar ataque hacker de exploração minimiza o erro humano

Após evento da Wormhole, devemos questionar a dependência e confiança que as criptomoedas colocam no código

Por  CoinDesk

*Por Daniel Kuhn

No dia 2 de fevereiro, começando às 15:24 (horário de Brasília), alguém ou algo explorou uma vulnerabilidade na segurança da sidechain Wormhole, ferramenta que permite que usuários troquem ativos entre a Ethereum (ETH) e diversas blockchains. O resultado: a perda de 120 mil tokens wrapped Ether (ou wETH), aproximadamente US$ 321 milhões.

Segundo levantamento da Rekt, lista com as maiores perdas financeiras após ataques de hackers, explorações e arbitragens, esse foi o segundo maior ataque a finanças descentralizadas (DeFi, na sigla em inglês) até agora, em uma indústria onde explorações são relativamente comuns e fazem parte da curva de risco dos usuários. Existe toda uma indústria de revisão de códigos, um dicionário de jargões que explica o que está acontecendo e também serve de guia para quando um “hack” inevitavelmente acontecer.

A Wormhole, ao que parece, está fazendo a coisa certa. Além de tentar descobrir e consertar esse bug logo no começo, trancou a plataforma para evitar perdas futuras, comunicou ao público o que sabia e anunciou que a Jump Trading havia sido acionada para repor as moedas roubadas.

A Wormhole Deployer ainda postou uma mensagem aberta na Ethereum para o responsável, oferecendo um acordo de US$ 10 milhões em troca dos fundos roubados e de uma explicação do ataque — prática cada vez mais comum na indústria.

Peço desculpas pela comparação, mas é como esperar um mágico tirar um coelho de dentro de uma cartola. O mundo está esperando para descobrir se eles estão lidando com um white hat hacker (“bonzinho”) ou black hat hacker (não tão “bonzinho”), a depender da sua motivação. A realidade é um pouco mais cinzenta.

Hacks x exploração

Segundo especialistas da empresa de segurança da Kaspersky, “black hats são criminosos que invadem redes de computadores com má intenção”. Eles podem usar malwares, roubar senhas ou explorar o código, tal qual é escrito, para “serviço próprio” ou por “ideologia”. Já os white hats, ou “hackers éticos” ou “bonzinhos”, são “o oposto”: “Eles exploram sistemas ou redes de computadores para identificar falhas na segurança e recomendar melhorias”, afirma a empresa.

Devido à forma como as redes de criptomoedas foram projetadas, muitas vezes não é possível saber com quem se está lidando. Os usuários são uma longa sequência de caracteres alfanuméricos sem sentido e o passado deles nada mais é do que uma série de transações conectadas ao seu endereço.

Esse sistema traz alguns benefícios. Por mais que as plataformas não “saibam” quem são os seus “clientes”, todas as transações são gravadas na blockchain e qualquer pessoa pode “verificar” que moedas pertencem a quem. As explorações em DeFi costumam ser uma rua sem saída: exchanges, usadas como entrada e saída de e para a economia cripto, podem bloquear fundos roubados, reduzindo a utilidade e o valor do token a zero.

Talvez isso explique por que alguns dos “cabeças” responsáveis pelas explorações mais conhecidas devolvem a recompensa. Em agosto do ano passado, por exemplo, o “hacker” da Poly Network (como ficou conhecido), devolveu quase todos os US$ 610 milhões em ativos de criptomoedas roubados e pediu que as pessoas vissem a exploração como um hack de white hat, cujo objetivo era informar sobre um bug desastroso.

Pode ser uma tentativa de reescrever a história — uma explicação tendenciosa de um ataque que foi, afinal, mal-executado? Talvez esteja acontecendo novamente. Não sabemos quais as motivações para a exploração da Wormhole, mas a equipe da sidechain parece querer que o hacker assuma o caso por US$ 10 milhões.

De certa forma, o sistema foi construído a favor do hacker. Usar um código tal qual é escrito mas não para o qual foi planejado é chamado, por tecnólogos, de “exploração”. O código tem precedência acima da ação humana, para que erros humanos — como apertar um botão errado sem querer ou não prestar atenção numa brecha de segurança enorme — sejam considerados parte do processo natural do código.

Um ataque só é considerado um “hack” quando o código é reescrito ou quebrado. Essa distinção tecnológica é importante, embora os termos provavelmente venham da indústria gamer. Num jogo, fazer um “hack” para ganhar vantagem injustamente não é visto com bons olhos, enquanto muitos se vangloriam por achar “explorações”, ou brechas.

Pode-se dizer que o ataque recente não era parte dos planos ou das motivações da Wormhole Deployer. Aparentemente, um erro no código foi colocado ou não foi encontrado e as soluções estão sendo analisadas. Talvez seja uma indicação dos “limites fundamentais da segurança das sidechains”, como foi dito pelo cocriador da Ethereum Vitalik Buterin semanas atrás, em seu blog.

O hacker conduziu uma série de transações para que o contrato inteligente da Wormhole confundisse wETH reais com os falsamente cunhados, uma brecha que alguém com alto conhecimento e muito tempo conseguiu explorar.

Algumas pessoas consideram esse ataque uma contribuição para o conhecimento geral sobre criptomoedas. Outros ainda chegaram a dizer que, no fim das contas, esse processo pode levar a um “código não hackeável”, já que qualquer contrato inteligente é, em potencial, uma “recompensa de milhões de dólares por um bug”.

Então, devemos nos perguntar se a linguagem usada pelo mercado cripto para explicar seu excesso de vulnerabilidades (riscos em cima de riscos) contribui para o mercado de ataques. E se, às vezes, estamos tirando definições de dentro da cartola.

*Daniel Kuhn é repórter e editor assistente de opinião da coluna “Layer 2” do CoinDesk.

Até onde as criptomoedas vão chegar? Qual a melhor forma de comprá-las? Nós preparamos uma aula gratuita com o passo a passo. Clique aqui para assistir e receba a Newsletter de criptoativos do InfoMoney

Compartilhe