Assalto de US$ 600 milhões na POLY mostra que o DeFi precisa de hackers para se tornar inviolável

O provável autor de um dos maiores roubos de Cripto fez isso por "diversão". Na terça-feira, um hacker ou grupo anônimo roubou cerca de US$ 600 milhões em Cripto da POLY Network, aparentemente para dar uma lição à plataforma multi-chain (foi o que eles disseram em uma sessão de perguntas e respostas sobre suas motivações e planos).

Eles identificaram um bug – ou melhor, uma parte do código que os permitia transferir dinheiro para si mesmos – e agiram sobre isso. Os desenvolvedores T pretendiam colocar um botão de “dinheiro grátis”, mas ele estava lá pronto para ser explorado. E louvado seja: é mais um erro que (espero) T será repetido.

Este artigo foi extraído do The Node, o resumo diário do CoinDesk das histórias mais importantes em notícias sobre blockchain e Cripto . Você pode se inscrever para obter o conteúdo completoboletim informativo aqui.

"Não estou muito interessado em dinheiro! Sei que dói quando as pessoas são atacadas, mas elas T deveriam Aprenda algo com esses ataques?", postou o explorador na quarta-feira em dados do blockchain Ethereum . No momento da publicação, aproximadamente metade dos fundos roubados foram devolvidos.

Não é realmente minha função dizer se eles sãogenuinamenteum hacker “white hat” ou um black hat que percebeu que seria impossível sacar. Pelo que vale,Tor Ekeland, um advogado que construiu uma carreira defendendo criminosos de informática, disse: “Hackear geralmente tem mais a ver com a emoção do hack do que com qualquer objeto obtido no hack.”

Hacks e exploits não são incomuns no crescente ecossistema de Finanças descentralizadas (DeFi) multibilionário, do qual a POLY Network fazia parte. Frequentemente resultado de scripts projetados às pressas ou falhas mais profundas no nível do protocolo, os ataques também são uma parte importante de como qualquer rede de computadores se torna mais segura. Isso é duplamente verdadeiro no mundo do blockchain.

Na verdade, alguns diriam que hacks levam a códigos inquebráveis. É um ponto controverso, especialmente porque os hackers T sempre devolvem os fundos roubados e, sem dúvida, as pessoas são prejudicadas no processo.

Leia Mais: Uma extorsão que deu errado: por dentro das negociações da Binance com seu "vazador KYC"

“No mundo do blockchain, quando alguém implementa um contrato inteligente – como no Ethereum – que tem uma vulnerabilidade, centenas de milhões de dólares desaparecem da noite para o dia e não há recurso”, disse o lendário ex-cientista da computação do Google e fundador da Agórico, disse Mark Miller em uma conferência do Foresight Institute em2018. “Existem essas enormes recompensas por bugs, efetivamente. E quando uma dessas coisas é coletada, o software com essas vulnerabilidades morre.”

Em outras palavras, sistemas baseados em blockchain enfrentam pressão evolutiva. Projetos fracos enfrentam “uma morte precoce”, então todo o sistema se torna povoado por código seguro.

A Tecnologia blockchain existe há pouco mais de uma década. O DeFi, como o conhecemos, é ainda mais jovem. Há um caso a ser feito de que estamos apenas nos estágios iniciais de adoção, com muitos outros erros provavelmente ao longo do caminho.

Hacks T são a única maneira de projetos ou protocolos evoluírem. As pessoas podem construir coisas simples lentamente, como no caso do Bitcoin, que só caiu duas vezes ao longo de sua vida útil de 12 anos. Há auditorias externas e um papel potencial para formuladores de políticas ou reguladores governamentais desempenharem.

Mas procurar falhas em uma base de código ou encontrar exploradores após o fato é como "caçar lobos", disse Zooko Wilcox-O'Hearn, especialista em segurança de computadores e idealizadora do Zcash, em uma mensagem direta, pegando emprestada uma frase de Vitalik Buterin.

Ele deveria saber. Em 2015, sua empresa de auditoria, Least Authority, foi contratada por um grupo de desenvolvedores para fazer uma auditoria de segurança da rede Ethereum que seria lançada em breve. Muitas das vulnerabilidades que eles encontrado foram corrigidos, mas não o que tinha a ver com “reentrada”, que permitia que as pessoas implantassem contratos inteligentes que poderiam ser explorados.

Poucos anos depois, essa mesma vulnerabilidade foi explorada em “O hack do DAO,” uma dor de cabeça de US$ 55 milhões que levou ao contencioso fork entre Ethereum e Ethereum Classic. Na época em que apresentou seu relatório, a Least Authority até forneceu um exemplo hipotético de um contrato inteligente que poderia ser explorado: um contrato inteligente de financiamento coletivo, como o The DAO.

Leia Mais: O hack de US$ 55 milhões que quase derrubou o Ethereum | Matthew Leising

À medida que mais dinheiro se acumula em contratos inteligentes, vai se tornar cada vez mais difícil “caçar os lobos” ou exploradores individuais. Com hacks, comunidades inteiras Aprenda juntas o que deve e o que não deve ser repetido. Com o tempo, isso leva a um código mais “confiável”. É uma maneira de “blindar as ovelhas”.

“Se nós, como humanos, vamos depender de computadores para fazer coisas importantes para nós — e vamos! — então realmente precisamos que esses programas sejam invioláveis. E, apesar do cinismo e desespero entre meus colegas especialistas em segurança, isso é realmente possível!”, disse Wilcox.

“Para cada programa como The DAO e POLY que foi explorado porque tinha uma vulnerabilidade, você pode apontar para outro programa que fez a mesma coisa, mas não tinha essa vulnerabilidade. Então o progresso é possível!”

ATUALIZAÇÃO (12 de agosto de 2021, 18:35 UTC):Corrige o nome de Agoric. Lamentamos o erro.