Finst

A segurança das criptomoedas exige mais do que auditorias para evitar perdas

As auditorias reduzem erros no código, mas as maiores perdas em criptomoedas resultam agora muitas vezes de chaves, governação e falhas operacionais. Leia aqui porque é necessária uma abordagem de segurança mais ampla.

Por Mike Hesp
• Leitura de 2 min
A segurança das criptomoedas exige mais do que auditorias para evitar perdas

Pontos principais

  • O número de auditorias ao código em cripto desde 2022 triplicou, mas as perdas devido a hacks e exploits continuam elevadas.
  • Segundo a Oak Security, as auditorias tradicionais centram-se sobretudo no código, enquanto os atacantes exploram cada vez mais chaves privadas, governação e fragilidades operacionais.
  • O setor precisa, além das auditorias, de uma abordagem de segurança mais ampla, com gestão de chaves robusta, monitorização em tempo real e formação do pessoal.

O mercado das criptomoedas enfrenta há anos graves problemas de segurança. Embora o número de auditorias ao código desde 2022 tenha triplicado, as perdas devido a hacks e exploits continuam elevadas. A investigação da Oak Security mostra que as auditorias tradicionais abordam sobretudo vulnerabilidades no código, enquanto os atacantes exploram cada vez mais fragilidades humanas e operacionais. Por isso, o número de incidentes e a dimensão das perdas continuam elevados.

Limites das auditorias tradicionais ao código

A qualidade das auditorias ao código melhorou significativamente nos últimos anos. As empresas de segurança utilizam ferramentas avançadas para detetar erros em smart contracts numa fase precoce, o que levou a menos ataques baseados em falhas de código. Ainda assim, as maiores perdas resultam hoje de chaves privadas comprometidas, manipulação da governação, ameaças internas, atualizações maliciosas de dependências e erros operacionais. Estas vulnerabilidades ficam fora do âmbito das auditorias tradicionais, que se centram sobretudo no próprio código.

É evidente que até o melhor código pouco ajuda se a infraestrutura operacional subjacente for vulnerável. Um exemplo disso é o aumento de ataques dirigidos a fatores humanos, como o phishing, que as auditorias não conseguem prevenir. Assim, surgem grandes prejuízos financeiros que a indústria, até agora, não conseguiu limitar de forma suficiente. Na prática, a questão passa cada vez mais por uma segurança mais ampla, como na abordagem dos Estados Unidos contra o roubo de criptomoedas, onde prevenção e deteção se conjugam.

A ilusão de segurança criada pelas auditorias

Muitos projetos de criptomoedas promovem a sua segurança com base no número e na reputação das auditorias realizadas. No entanto, isto cria uma falsa sensação de segurança. Uma auditoria é uma fotografia de uma base de código específica dentro de um determinado âmbito e não garante a segurança futura, sobretudo quando os protocolos são alterados, a governação muda ou os processos operacionais são revistos.

Este equívoco pode levar a uma subestimação dos riscos fora do código, quando é precisamente aí que se escondem as ameaças mais graves. Desta forma, utilizadores e equipas podem pensar que a segurança já está resolvida, quando as verdadeiras fragilidades estão noutro lugar.

Rumo a uma abordagem de segurança mais ampla

O setor dificilmente poderá esperar uma adoção em massa enquanto a confiança continuar sob pressão devido a incidentes de segurança repetidos. Para além das auditorias, é necessária uma estratégia de segurança mais profunda que aborde os riscos humanos e operacionais. Isto inclui, entre outros aspetos, sistemas de gestão de chaves mais robustos, descentralização dos signatários, limitações na governação, monitorização em tempo real e circuit breakers.

As plataformas de criptomoedas são organizações vivas com fragilidades humanas, e não apenas produtos de software. Os atacantes adaptaram as suas táticas e procuram ativamente vulnerabilidades em sistemas humanos. O próximo passo na segurança das criptomoedas exige, por isso, uma abordagem integrada que vá além do código e se concentre em todo o ecossistema de pessoas, processos e tecnologia.

Relevância para os utilizadores europeus de criptomoedas

Para os utilizadores e projetos europeus, é importante perceber que a segurança não termina com uma auditoria positiva. Os riscos operacionais e os fatores humanos também podem ter aqui um impacto significativo, sobretudo tendo em conta a complexidade da regulamentação e da governação na Europa. Isto sublinha a necessidade de as empresas europeias de criptomoedas investirem, para além das auditorias técnicas, em segurança operacional robusta e na formação do pessoal, de modo a reforçar a confiança dos utilizadores.

Aviso: Este conteúdo é destinado apenas para fins informativos e não constitui aconselhamento financeiro, de investimento, jurídico ou fiscal. As informações fornecidas podem estar incompletas, imprecisas ou desatualizadas e não devem ser utilizadas como aconselhamento. Nenhuma informação neste website deve ser considerada uma recomendação para comprar, vender ou manter qualquer criptomoeda. Investir em criptoativos envolve risco de perdas.