A filial francesa do gigante KPMG publicou um relatório, no qual sublinha a importância a dar à segurança no nosso ecossistema. Insiste em particular nas auditorias de contratos inteligentes e na necessidade de recrutar mais peritos para fazer face à escassez no sector
KPMG sublinha a importância da segurança
KPMG, a empresa líder mundial em contabilidade e consultoria, publicou um relatório destacando a importância da segurança nas aplicações Web 3.0. De facto, embora as principais cadeias de bloqueio público sejam construídas de tal forma que um ataque frontal seja difícil, este não é o caso das aplicações que são enxertadas nelas.
Esta observação ecoa um pensamento que o fundador da Ethereum (ETH) Vitalik Buterin partilhou no mês passado no Twitter. Ele disse que queria que o Ethereum fosse resiliente, mesmo às piores ameaças, enquanto as aplicações nele construídas têm falhas longe dos padrões que ele espera:
Contradição entre o meu desejo de ver o Ethereum tornar-se um L1 que possa sobreviver a circunstâncias verdadeiramente extremas e a minha percepção de que muitas aplicações chave no Ethereum já dependem de pressupostos de segurança muito mais frágeis do que tudo o que consideramos aceitável no desenho do protocolo Ethereum.
– vitalik.eth (@VitalikButerin) Maio 17, 2022
A vulnerabilidade dos contratos inteligentes é de facto um ângulo de ataque lucrativo para os hackers. Isto é especialmente verdade, uma vez que qualquer pessoa pode, em teoria, implantar a sua própria dApp em cadeias de bloqueios como o Ethereum. Com todos os problemas possíveis que isso implica.
São principalmente estas falhas de segurança nos contratos inteligentes que a KPMG aponta. A empresa salienta que se compararmos o primeiro trimestre de 2022, com o do ano passado, os fundos roubados nos protocolos financeiros descentralizados (DeFi) explodiram em 692%, trazendo prejuízos da ordem dos 1,2 mil milhões de dólares.
Também relatámos montantes semelhantes há algumas semanas, na sequência de um relatório de Chainalysis. Estes números são principalmente devidos aos hacks Ronin e Wormhole
Uma escassez de peritos em auditoria
As conclusões da KPMG são claras: dos 5 maiores hacks DeFi, 4 envolviam contratos inteligentes não auditados.
A nível global, a empresa estima que existem entre 1.000 e 1.500 peritos especializados em segurança de aplicações Web3. Ao mesmo tempo, o relatório sugere que existem 18.000 programadores activos todos os meses. Embora seja difícil estabelecer números exactos, é evidente que isto representaria menos de uma pessoa capaz de realizar uma auditoria para cada dez criadores.
No entanto, de acordo com a Immunify, 10,6% da capitalização total da moeda criptográfica foi depositada nos protocolos DeFi no início de 2022. Se nos referirmos à Defi Llama hoje, encontramos um número relativamente próximo de cerca de 8%. Este elevado número ilustra a importância que deve ser dada à segurança.
Número de peritos em segurança a nível mundial de acordo com a KPMG
A tabela acima mostra a distribuição geográfica dos peritos em segurança Web3 . Vemos que os EUA e a China dominam o mercado, com a Índia em menor escala.
Estes números são ainda demasiado baixos, dadas as ambições do nosso ecossistema. Além disso, a maioria das empresas especializadas são ainda jovens, tendo sido criadas apenas em 2017.
Segundo o Trail of Bits, 78% das vulnerabilidades mais críticas puderam ser encontradas com uma ferramenta automatizada. Embora a empresa assinale ao mesmo tempo que 50% de todas estas falhas poderiam passar despercebidas com a mesma ferramenta. Assim, compreendemos a necessidade de encontrar e formar talentos.
Outros problemas de segurança importantes identificados pela KPMG
Becoming an expert takes time and even then there is no guarantee that all the failures in an application can be found. Contudo, as auditorias devem tornar-se um padrão da indústria e é provável que a segurança se torne uma área de crescimento no futuro.
Para além dos contratos inteligentes, a KPMG também destaca todos os elementos que são enxertados no topo de uma cadeia de blocos de camada 1. As cadeias laterais, bem como a camada 2s como os ZKs e os Rollups Ópticos, também podem ser vectores de ataque. Tal como os ataques de phishing em geral.
A segurança é portanto um dos maiores desafios que o nosso ecossistema tem de enfrentar para se tornar mais democrático. Este é um processo normal para cada nova tecnologia. Mas, como em todos os campos, o dinheiro por vezes atrai pessoas más, o que requer então uma atenção especial de todos os intervenientes no sector.
