Explorações de contratos inteligentes são mais éticas do que hackear … ou não?

0 194

Muito se tem falado sobre os recentes “hacks” na área de finanças descentralizadas, particularmente nos casos de Harvest FInance e Pickle Finance. Essa conversa é mais do que necessária, considerando que os hackers roubaram mais de US $ 100 milhões de projetos DeFi em 2020, respondendo por 50% de todos os hacks neste ano, de acordo com um relatório da CipherTrace.

Relacionado: Resumo de hacks de criptografia, explorações e roubos em 2020

Alguns apontam que as ocorrências foram meros exploits que iluminaram as vulnerabilidades dos respectivos contratos inteligentes. Os ladrões realmente não arrombaram nada, apenas aconteceram de andar casualmente pela porta dos fundos destrancada. Por essa lógica, uma vez que os hackers exploraram as falhas sem realmente hackear no sentido tradicional, o ato de explorar é eticamente mais justificável.

Mas é isso?

As diferenças entre um exploit e um hack

Vulnerabilidades de segurança são a raiz de explorações. Uma vulnerabilidade de segurança é uma fraqueza que um adversário pode aproveitar para comprometer a confidencialidade, disponibilidade ou integridade de um recurso.

Uma exploração é o código especialmente criado que os adversários usam para tirar proveito de uma determinada vulnerabilidade e comprometer um recurso.

Até mesmo mencionar a palavra “hack” em referência a blockchain pode confundir um estranho do setor menos familiarizado com a tecnologia, já que a segurança é uma das peças centrais do apelo dominante da tecnologia de razão distribuída. É verdade, o blockchain é um meio inerentemente seguro de troca de informações, mas nada é totalmente intransponível. Existem certas situações em que os hackers podem obter acesso não autorizado a blockchains. Esses cenários incluem:

  • 51% ataques: Esses hacks ocorrem quando um ou mais hackers obtêm o controle de mais da metade do poder de computação. É um feito muito difícil para um hacker, mas acontece. Mais recentemente, em agosto de 2020, o Ethereum Classic (ETC) enfrentou três ataques bem-sucedidos de 51% no período de um mês.
  • Erros de criação: Ocorrem quando falhas ou erros de segurança passam despercebidos durante a criação do contrato inteligente. Esses cenários apresentam lacunas no sentido mais potente do termo.
  • Segurança insuficiente: Quando hacks são feitos obtendo acesso indevido a um blockchain com práticas de segurança fracas, é realmente tão ruim se a porta foi deixada aberta?

Os exploits são mais eticamente justificáveis ​​do que os hacks?

Muitos argumentariam que fazer qualquer coisa sem consentimento não pode ser considerado ético, mesmo que atos piores pudessem ter sido cometidos. Essa lógica também levanta a questão de saber se uma exploração é 100% ilegal. Por exemplo, ter uma empresa americana registrada nas Ilhas Virgens também pode ser visto como uma “exploração” tributária legal, embora não seja considerado aparentemente ilegal. Como tal, existem certas áreas cinzentas e brechas no sistema que as pessoas podem usar em seu próprio benefício, e uma exploração também pode ser vista como uma brecha no sistema.

Depois, há casos como o criptomoeda, que é uma forma de ataque cibernético em que um hacker sequestra o poder de processamento de um alvo para extrair criptomoeda em nome do hacker. O criptojacking pode ser malicioso ou não malicioso.

Pode ser mais seguro dizer que as façanhas estão longe de ser éticas. Eles também são totalmente evitáveis. Nos estágios iniciais do processo de criação de contrato inteligente, é importante seguir os padrões mais rígidos e as melhores práticas de desenvolvimento de blockchain. Esses padrões são definidos para evitar vulnerabilidades e ignorá-los pode levar a efeitos inesperados.

Também é vital para as equipes realizarem testes intensivos em uma rede de teste. As auditorias inteligentes de contrato também podem ser uma forma eficaz de detectar vulnerabilidades, embora existam muitas empresas de auditoria que emitem auditorias por pouco dinheiro. A melhor abordagem seria as empresas obterem várias auditorias de empresas diferentes.

Os pontos de vista, pensamentos e opiniões expressos aqui são exclusivamente do autor e não refletem ou representam necessariamente os pontos de vista e opiniões da Cointelegraph.

Pawel Stopczynski é pesquisador e diretor de P&D da Vaiot. Anteriormente, ele foi diretor de P&D e cofundador da Veriori e da UseCrypt. Desde 2004, Pawel está envolvido no desenvolvimento de 18 projetos de TI na Polônia e no Reino Unido, com foco no setor privado. Ele foi palestrante em várias conferências de TI e organizador de duas conferências TEDx. Por seu trabalho, Pawel foi premiado com uma medalha de ouro na Feira Internacional de Inovação Concours Lépine 2019, em Paris, e uma medalha de ouro do ministro da Defesa francês.