Segurança cibernética na Web3: como entrar na onda com segurança

Recentemente, encontrei um novo relatório da Forrester dizendo que "os aplicativos Web3 (incluindo NFTs) não são apenas vulneráveis a ataques, eles geralmente apresentam uma superfície de ataque mais ampla (devido à natureza distribuída dos blockchains) do que os aplicativos convencionais".

Essa descoberta me levou a conversar com um especialista em Web3 para mergulhar mais fundo no espaço de segurança cibernética da Web3 e ver quais riscos existem e podem afetar o mercado que vale quase US $ 3 bilhões (em 2021).

Entrei em contato com Hartej Sawhney , fundador e CEO da Zokyo , um estúdio de risco que constrói, protege e financia empresas de criptografia, DeFi e NFT. Como pioneira do setor Web3, Hartej desempenhou um papel fundamental na elevação dos padrões no ecossistema de ativos digitais e na introdução de produtos e serviços que definem a referência do setor em segurança, transparência e conformidade.

Em particular, falamos sobre vulnerabilidades comuns de segurança cibernética identificadas durante auditorias de contratos inteligentes, o papel da engenharia social em fraudes cibernéticas relacionadas à web3, quais riscos de segurança cibernética devem ser levados em consideração antes de investir no desenvolvimento de aplicativos web3, como proteger NFTs e mais.

Aproveite a conversa!

Hartej, você poderia me contar mais sobre você e como se tornou um especialista em segurança blockchain/web3?

Claro! Entrei no cripto seriamente enquanto morava em Las Vegas em 2013. Naquela época, eu dirigia uma startup fintech chamada Zuldi – uma solução de ponto de venda (PoS) móvel que se integrava a sistemas legados de PoS de alimentos e bebidas.

Em 2016, cofundei a Hosho ao lado de Yo Sub Kwon, uma "cripto OG", com a visão de construir uma empresa que se situasse na interseção de blockchain e segurança cibernética.

Na época, não havia nenhuma empresa no mundo que estivesse parada neste cruzamento. Obviamente, algumas empresas criaram uma divisão separada dentro de sua entidade maior para se concentrar na auditoria de contratos inteligentes. Ainda assim, não havia uma única empresa que se autodenominasse "uma empresa de segurança cibernética de criptografia/Web3" e abrangesse mais do que apenas código-fonte e auditoria de contrato inteligente. Dito isto, não havia nenhuma empresa especializada em coisas como infosec, segurança operacional, teste de penetração e conformidade em geral.

Construímos o Hosho muito rápido. Com sede em Las Vegas, EUA, crescemos rapidamente para uma equipe de 37 pessoas e geramos cerca de US$ 4 milhões em receita apenas nos primeiros 12 meses de existência da empresa. Não éramos remotos em primeiro lugar e a maioria de nossos funcionários morava em Las Vegas. Aprendemos muitas lições com essa abordagem.

Nunca lançamos nosso ICO porque não conseguimos encontrar um motivo pelo qual um auditor de contrato inteligente precisaria de seu próprio token. Então, nunca lançamos nosso próprio token e decidimos não levantar capital de risco, principalmente naquela época. Isso se deveu principalmente ao fato de não construirmos nossos próprios produtos. No fundo, ainda éramos uma empresa voltada para serviços que não era muito atraente para os capitalistas de risco do Vale do Silício.

Em 2018, o mercado de criptomoedas caiu e todas as demandas por auditoria de contratos inteligentes praticamente desapareceram. Não podíamos manter uma equipe cara de hackers de chapéu branco famosos e respeitáveis trabalhando para nós em nosso escritório em Las Vegas. Então, tragicamente, tivemos que dispensar todo mundo e demitir nossa equipe.

Pouco depois, mudei-me de Las Vegas para Kiev, na Ucrânia . Em dois meses, comecei a configurar a Zokyo e a contratar auditores de contratos inteligentes baseados na Ucrânia. Criamos uma página de destino para Zokyo e começamos a auditar contratos inteligentes. Durante o mercado de baixa, o trabalho passou da auditoria de contratos inteligentes para ICOs para a auditoria de blocos de blockchains da camada 1.

Antes que percebêssemos, o verão DeFi chegou e as demandas por auditorias de contratos inteligentes retornaram. Na época, eu viajava pelo mundo, falando nas principais conferências de blockchain e cripto e organizando eventos privados nos quais selecionamos os melhores construtores de blockchain em todas as principais geografias. Devido a este fato e graças ao meu histórico na Hosho, não demorou muito para que eu fosse contatado por empresas que buscavam soluções de cibersegurança, especialmente auditorias de contratos inteligentes.

Quando você audita contratos inteligentes, costuma encontrar vulnerabilidades de segurança cibernética neles? Quais são os tipos mais comuns de ataques cibernéticos em contratos inteligentes? E o que você faz se/quando encontrar uma brecha em um contrato inteligente que está sendo auditado?

Quando auditamos contratos inteligentes, às vezes encontramos vulnerabilidades como reentrância , bibliotecas maliciosas , violações de API ERC20 , níveis de visibilidade implícitos , inferências de tipo inseguro , DoS com limite de gás de bloco e dependências de carimbo de data/hora. Sempre que encontramos vulnerabilidades em potencial, compartilhamos nossas descobertas com a equipe de desenvolvimento e oferecemos a oportunidade de corrigi-las. Depois que a equipe corrigir todas as vulnerabilidades identificadas, auditaremos o contrato inteligente novamente.

Na maioria das vezes, desenvolvedores experientes aprendem lições com os erros mais comuns cometidos ao longo dos anos e tentam não repeti-los.

Atualmente, a maioria das vulnerabilidades críticas vem da lógica de negócios subjacente do contrato e casos extremos que os desenvolvedores não consideraram ao escrever o código. É por isso que é crucial realizar revisões manuais de código linha por linha.

Em geral, o que é necessário para um contrato inteligente passar na auditoria da Zokyo com louvor?

Os contratos inteligentes aprovados em nossas auditorias implementam as melhores práticas e não possuem um proprietário do contrato com poderes especiais. Por exemplo, design robusto que pode mitigar problemas no caso de um evento de cisne negro – descentralizado em termos de propriedade, não permitindo que nenhum ator tenha muito poder ou controle sobre a implementação ou a lógica.

É importante realizar testes de unidade com 95% ou até 100% de cobertura. A equipe corrigirá todos os bugs com base em nossas recomendações, independentemente do nível de gravidade. Também teremos discussões abertas sobre planos de desenvolvimento futuros e como eles podem afetar o produto real.

Quais riscos de segurança cibernética devem ser levados em consideração antes de fazer um investimento na construção de um aplicativo web3, plataforma descentralizada ou token?

Antes de investir, é importante se envolver em várias auditorias simultâneas com membros de equipe confiáveis. Você deve estudar os relatórios de auditoria para entender o design ou a lógica do produto de alto nível. Em primeiro lugar, os relatórios de auditoria são criados para a comunidade, em segundo lugar para os investidores e em terceiro lugar para a equipe de desenvolvimento.

É verdade que o Web3 exige que a segurança seja mais preventiva do que responsiva em oposição ao Web2? Por quê?

As transações Web3 são imutáveis. Portanto, eles não podem ser revertidos uma vez que ocorram. Isso torna a segurança preventiva essencial para a web3, pois o impacto financeiro pode ser significativo. Como tal, é um afastamento da detecção reativa e do modelo de segurança de resposta do web2.

As redes Blockchain são alvos particularmente atraentes para cibercriminosos devido aos ativos digitais e muitas vezes tangíveis gerenciados nelas. Com base em sua experiência em primeira mão na Zokyo, você vê um aumento no uso de golpes de engenharia social, como ice phishing, na web3? E se sim, você poderia nos contar mais sobre o impacto deles na segurança da web3 e como eles devem ser combatidos?

Os ataques de engenharia social continuam a atormentar o setor. No entanto, a engenharia social na web3 é um pouco diferente. Em vez de enviar um e-mail de phishing, os agentes de ameaças também podem comprometer uma conta popular do Twitter e promover esquemas de distribuição de criptomoedas e projetos NFT para usuários desavisados.

Phishing é o que recentemente levou um hacker a obter acesso aos quatro validadores Ronin da Sky Mavis e a um validador terceirizado executado pela Axie DAO.

As empresas Web3 não podem se dar ao luxo de implementar uma abordagem de segurança reativa e orientada a incidentes.

As empresas, mesmo as em estágio inicial, precisam contratar um Chief Innovation Security Officer (CISO) que aproveite o Manual do CISO Council, que estabelece os melhores padrões e abordagens para regulamentações cibernéticas. O CISO Handbook cobre uma das estruturas mais importantes – NIST (Instituto Nacional de Padrões e Tecnologia) do Departamento de Comércio dos EUA.

Eu vi Zokyo entre os fundos criptográficos Tier1 investindo em projetos famosos como o Layer Zero. Como você escolhe as empresas em que está investindo? E qual setor da web3 está em alta no momento?

A Zokyo tem parcerias estreitas com muitas empresas de investimento de primeira linha e construiu o conhecimento e os recursos internos para conduzir a diligência de investimento técnico e de segurança dos projetos. As empresas nas quais investimos passam por due diligence qualitativa e quantitativa. Apoiamos uma série de empresas em estágio inicial com arquitetura de tecnologia, contratos inteligentes de engenharia, design e revisão de economia de token e segurança cibernética. Grande parte do nosso foco de investimento tem sido na infraestrutura criptográfica principal.

Hartej, no LinkedIn, você se autodenomina um "acumulador de NFTs". Com quais riscos de segurança cibernética você mais se preocupa quando se trata de manter coleções de NFTs? E como eles podem ser protegidos contra fraudes na web3?

Infelizmente, em 2022, vimos um aumento de mais de 6 vezes nas perdas de crimes NFT. A maioria dos crimes NFT que vi são assinaturas/erros maliciosos que não têm nada a ver com armazenamento ou frases iniciais.

O problema com os NFTs é que eles devem ser interativos; você não pode simplesmente guardá-los. As pessoas costumam ser aconselhadas a usar uma carteira de hardware. Ainda assim, uma carteira de hardware como a Ledger não pode salvá-lo quando você assina transações maliciosas.

Para proteger seu portfólio NFT, você precisa ter uma estrutura em camadas ao usar uma carteira quente, uma carteira fria e um cofre (uma segunda carteira de hardware). Use uma carteira quente para cunhar NFTs e interagir com contratos. Você só quer ter os fundos necessários para cunhar/comprar um NFT em períodos de tempo específicos. Em uma carteira fria, você armazenará os ativos que listar para venda. Em terceiro lugar, você tem um cofre que realiza apenas transações de entrada/saída. Ainda assim, você nunca conecta esta carteira a nenhum site ou interage com nenhum contrato.

Quando se trata de espaços mantidos pelo usuário na web3, há uma declaração de que, se os usuários não implementarem a higiene cibernética adequada e protegerem seus próprios dados e privacidade, provavelmente haverá poucos outros mecanismos de aplicação em vigor. Isso representa um risco intrínseco à segurança da própria infraestrutura web3. É verdade?

Como usuário, você deve certificar-se de seguir as práticas recomendadas de segurança cibernética, especialmente neste espaço. O objetivo do web3 é capacitar os usuários e dar a eles controle total. No entanto, esta é uma faca de dois gumes porque torna os usuários mais responsáveis por seus dados. Como tal, na web3 (mais do que na web2), ataques de engenharia social como phishing, keyloggers e malware podem ser muito mais destrutivos do que na web2 porque podem levar a perdas financeiras significativamente maiores.