10 riscos de segurança NFT e criptomoedas que os CISOs devem navegar

A lista de empresas que aceitam pagamentos em criptomoeda continua em expansão, para que os clientes possam comprar quase tudo o que quiserem: eletrônicos, diplomas universitários e cappuccinos. Ao mesmo tempo, o mercado de tokens não fungíveis (NFTs) dispara, com novos artistas se tornando milionários e nomes mais estabelecidos como Snoop Dogg, Martha Stewart e Grimes capitalizando a tendência.

Criptomoedas e NFTs estão na agenda de muitas organizações enquanto discutem as ramificações da Web3 e as oportunidades que ela apresenta. Essa nova grande mudança na evolução da internet promete descentralizar nosso mundo digital, oferecendo aos usuários mais controle e um fluxo de informações mais transparente.

Em todos os setores, as empresas estão dando o melhor de si para se adaptar ao novo paradigma. Mas os CISOs têm uma longa lista de preocupações, começando com segurança cibernética e fraude de identidade, riscos de segurança do mercado, gerenciamento de chaves e dados e privacidade.

A criptomoeda em qualquer forma, incluindo NFTs, possui um conjunto de ameaças e preocupações de segurança que podem não ser familiares para a maioria das empresas. “Isso requer uma série de novos procedimentos operacionais, cria exposição a um novo conjunto de sistemas (blockchains públicos) e envolve riscos que muitas empresas estão menos familiarizadas com o endereçamento”, diz Doug Schwenk, CEO da Digital Asset Research.

A forma como os CISOs pensam sobre essas questões pode afetar usuários e parceiros de negócios. “Os compromissos têm um impacto financeiro imediato na empresa ou em seus usuários e/ou coletores de NFT”, diz Eliya Stein, Engenheira de Segurança Sênior da Confiant.

Esses são os dez riscos de segurança mais significativos que criptomoedas e NFTs apresentam aos CISOs.

1. A integração de protocolos blockchain pode ser complexa

O blockchain é uma tecnologia relativamente nova. Como resultado, incorporar protocolos blockchain em um projeto se torna um pouco difícil. “O principal desafio associado ao blockchain é a falta de conhecimento da tecnologia, especialmente em outros setores que não o bancário, e uma falta generalizada de compreensão de como ela funciona”, de acordo com um relatório da Deloitte. “Isso está dificultando o investimento e a exploração de ideias”.

As empresas devem avaliar cuidadosamente cada cadeia suportada quanto à maturidade e adequação. “Adotar um protocolo [blockchain] que está em um estágio inicial pode levar a tempo de inatividade e riscos de segurança, enquanto protocolos de estágio posterior atualmente têm taxas de transação mais altas”, diz Schwenk. “Após selecionar um protocolo para apoiar o uso desejado (como pagamentos), pode não haver nenhum suporte disponível do patrocinador. É muito mais como adotar o código aberto, onde provedores de serviços específicos podem ser necessários para realizar plenamente o valor”.

2. Mudanças nas normas de propriedade de ativos

Quando alguém compra um NFT, na verdade não está comprando uma imagem, porque armazenar fotos no blockchain é impraticável devido ao seu tamanho. Em vez disso, o que os usuários adquirem é algum tipo de recibo que os direciona para essa imagem.

A blockchain armazena apenas a identificação da imagem, que pode ser um hash ou uma URL. O protocolo HTTP é frequentemente usado, mas uma alternativa descentralizada é o Interplanetary File System (IPFS). As organizações que optam pelo IPFS precisam entender que o nó IPFS será executado pela empresa que vende o NFT e, se essa empresa decidir fechar a loja, os usuários podem perder o acesso à imagem para a qual o NFT aponta.

“Embora seja tecnicamente possível reenviar um arquivo para o IPFS, é improvável que um usuário comum consiga fazer isso porque o processo é complexo”, diz Anatol Prisacaru, pesquisador de segurança independente. “No entanto, a parte boa é que, devido à natureza descentralizada e sem permissão, qualquer um pode fazer isso – não apenas os desenvolvedores do projeto”.

3. Riscos de segurança do mercado

Embora os NFTs sejam baseados na tecnologia blockchain, as imagens ou vídeos associados a eles podem ser armazenados em uma plataforma centralizada ou descentralizada. Muitas vezes, por conveniência, o modelo centralizado é escolhido, pois facilita a interação dos usuários com os ativos digitais. A desvantagem disso é que os mercados NFT podem herdar as vulnerabilidades da Web2. Além disso, enquanto as transações bancárias tradicionais são reversíveis, as do blockchain não são.

“Um servidor comprometido pode apresentar ao usuário informações enganosas, induzindo-o a executar transações que esgotarão sua carteira”, diz Prisacaru. Mas dedicar tempo e esforço suficientes para fazer a implementação corretamente pode proteger contra ataques, especialmente quando se trata de usar uma plataforma descentralizada.

“Quando implementado corretamente de forma descentralizada, um marketplace comprometido não deve ser capaz de roubar ou alterar os ativos de um usuário; no entanto, alguns mercados cortam custos e sacrificam a segurança e a descentralização para obter mais controle”, diz Prisacaru.

4. Fraude de identidade e golpes de criptomoeda

Golpes de criptomoeda são comuns e geralmente podem ter um grande número de vítimas. “Os golpistas regularmente ficam por dentro dos lançamentos NFT altamente esperados e geralmente têm dezenas de sites de fraudes prontos para promover em conjunto com o lançamento oficial”, diz Stein. Os clientes que são vítimas desses golpes geralmente são os mais leais, e essa experiência ruim pode afetar a forma como eles percebem a marca. Portanto, protegê-los é fundamental.

Muitas vezes, os usuários recebem e-mails maliciosos informando que um comportamento suspeito foi percebido em uma de suas contas. Eles são solicitados a fornecer suas credenciais para verificação de conta para resolver isso. Se o usuário cair nessa, suas credenciais serão comprometidas. “Qualquer marca que tente entrar no espaço NFT se beneficiaria da alocação de recursos para monitoramento e mitigação desses tipos de ataques de phishing”, diz Stein.

5. As pontes Blockchain são uma ameaça crescente

Diferentes blockchains têm moedas diferentes e estão sujeitas a regras diferentes. Por exemplo, se alguém tem bitcoin, mas quer gastar Ethereum, precisa de uma conexão entre as duas blockchains que permita a transferência de ativos.

Uma ponte blockchain, às vezes chamada de ponte de cadeia cruzada, faz exatamente isso. “Devido à sua natureza, geralmente eles não são implementados estritamente usando contratos inteligentes e dependem de componentes fora da cadeia que iniciam a transação na outra cadeia quando um usuário deposita ativos na cadeia original”, diz Prisacaru.

Alguns dos maiores hacks de criptomoeda envolvem pontes de cadeia cruzada, incluindo Ronin, Poly Network, Wormhole. Por exemplo, no hack contra o blockchain de jogos Ronin no final de março de 2022, os invasores receberam US$ 625 milhões em Ethereum e USDC. Além disso, durante o ataque da Poly Network em agosto de 2021, um hacker transferiu mais de US$ 600 milhões em tokens para várias carteiras de criptomoedas. Felizmente, neste caso, o dinheiro foi devolvido duas semanas depois.

6. O código deve ser exaustivamente testado e auditado

Ter um bom código deve ser uma prioridade desde o início de qualquer projeto. Prisacaru defende que os desenvolvedores devem ser qualificados e dispostos a prestar atenção aos detalhes. Caso contrário, o risco de ser vítima de um incidente de segurança aumenta. Por exemplo, no ataque Poly Network, o invasor explorou uma vulnerabilidade entre as calls do contrato.

Para evitar um incidente, as equipes devem realizar testes completos. A organização também deve contratar um terceirizado para fazer uma auditoria de segurança, embora isso possa ser caro e demorado. As auditorias oferecem uma revisão sistemática de código para ajudar a identificar as vulnerabilidades mais conhecidas.

É claro que a verificação do código é necessária, mas não suficiente, e o fato de uma empresa ter feito uma auditoria não garante que ela esteja livre de problemas. “Em uma blockchain, os contratos inteligentes geralmente são altamente componíveis e, muitas vezes, seus contratos interagem com outros protocolos”, diz Prisacaru. “As empresas, no entanto, só têm controle sobre seu próprio código, e interagir com protocolos externos aumentará os riscos”.

Tanto indivíduos quanto empresas podem explorar outro caminho para o gerenciamento de riscos: seguros, que ajudam as empresas a reduzir o custo de contratos inteligentes ou hacks de custódia.

7. Gerenciamento de chaves

“No fundo, a criptografia é apenas o gerenciamento de chave privada”, diz Schwenk. “Isso parece simples para muitas empresas, e os CISOs podem estar cientes dos problemas e das melhores práticas”.

Existem várias soluções acessíveis para gerenciamento de chaves. Uma delas são carteiras de hardware como Trezor, Ledger ou Lattice1. São dispositivos USB que geram e armazenam o material criptográfico em seus elementos seguros, impedindo que os invasores acessem suas chaves privadas mesmo que tenham acesso ao seu computador, por exemplo, usando um vírus/backdoor.

Outra linha de defesa são os multi-sigs, que podem ser usados em conjunto com carteiras de hardware. “Em sua base, uma multi-sig é uma carteira de contrato inteligente que exige que as transações sejam confirmadas por vários de seus proprietários”, diz Prisacaru. “Por exemplo, você pode ter cinco proprietários e exigir que um mínimo de três pessoas assinem a transação antes que ela possa ser enviada. Dessa forma, um invasor teria que comprometer mais de uma pessoa para comprometer a carteira”.

8. Educação de funcionários e usuários

As organizações que desejam integrar as tecnologias Web3 precisam treinar seus funcionários porque são necessárias novas ferramentas para realizar transações nas diferentes blockchains. “O comércio de ativos digitais pode parecer familiar ao e-commerce tradicional, mas as ferramentas e plugins de navegador necessários para ser proficiente neste novo mundo são bem diferentes do que as equipes financeiras estão acostumadas”, diz Aaron Higbee, Cofundador e CTO da Cofense.

Embora toda empresa precise se preocupar com ataques de phishing baseados em e-mail, os funcionários que lidam com ativos digitais podem ser visados com mais frequência. O objetivo do treinamento é garantir que todos na equipe sigam as práticas recomendadas mais recentes e tenham um bom entendimento de segurança. Oded Vanunu, Chefe de Pesquisa de Vulnerabilidade de Produtos da Check Point, diz que notou “uma grande lacuna” no conhecimento quando se trata de criptomoeda, o que pode tornar as coisas “um pouco caóticas” para certas empresas. “As organizações que desejam integrar tecnologias Web3 precisam entender que esses projetos devem ter análises profundas de segurança e compreensão de segurança, o que significa que elas devem entender os números e as implicações que podem acontecer”, diz ele.

Algumas organizações que não querem fazer o gerenciamento de chaves privadas decidem usar um sistema centralizado, o que as torna vulneráveis a problemas de segurança da Web2. “Estou pedindo que, se eles estão integrando tecnologias Web3 em seu Web2, este deve ser um projeto que terá uma profunda revisão de segurança e melhores práticas de segurança que precisam ser implementadas”, diz Vanunu.

9. A permanência de NFTs e aplicativos descentralizados Web3

Muitas empresas descontinuarão produtos que não atendem mais às suas necessidades, mas isso normalmente não está disponível para ativos apoiados em blockchain se forem feitos corretamente. “NFTs não devem ser tratados como um esforço de marketing único”, diz Stein. “Se o próprio NFT não estiver em cadeia, agora há um fardo para a empresa mantê-lo em perpetuidade. Se o projeto se tornar um grande sucesso, a empresa assumiu uma tarefa importante de apoiar os coletores desses NFTs a contratempos, golpes, etc.”

Um projeto viral é o lançado pelo governo ucraniano, que vendeu NFTs com base na linha do tempo da guerra. “O lugar para guardar a memória da guerra. E o lugar para celebrar a identidade e a liberdade ucranianas”, segundo um tweet de Mykhailo Fedorov, Vice-Primeiro-Ministro da Ucrânia e Ministro da Transformação Digital. Os entusiastas da NFT reagiram positivamente, dizendo que queriam comprar um pedaço da história e apoiar a Ucrânia. A expectativa, porém, é que o projeto se mantenha.

10. Blockchain nem sempre é a ferramenta certa

Novas tecnologias são sempre empolgantes, mas antes de dar o salto, as organizações devem perguntar se elas realmente resolvem o problema e se é o momento certo para adotá-las. Projetos baseados em blockchain têm o potencial de mudar as empresas para melhor, mas também podem drenar recursos, pelo menos no estágio inicial.

“Pesar o risco/recompensa será uma parte importante da decisão, e o recurso adequado ao esforço de segurança, tanto na adoção quanto em andamento, é fundamental”, diz Schwenk. “O julgamento de risco/recompensa para essas novas exposições pode (ainda) não ser uma competência essencial, e é fácil ser pego no hype que geralmente é associado à criptomoeda”.