Já faz um tempo que ouvimos falar da blockchain como uma tecnologia praticamente invulnerável que está sendo implementada em setores como o sistema financeiro e de saúde devido as suas vantagens em termos de segurança. No entanto, um artigo publicado pela revista MIT Technology Review garante que isso pode não ser verdade e que, "assim como a blockchain tem recursos de segurança exclusivos, essa tecnologia também apresenta vulnerabilidades únicas". Nesse sentido, o artigo destaca que essa ideia, já instalada há algum tempo, começou a ser testada especialmente nos últimos meses e com o surgimento de novos projetos de criptomoedas.

Somado ao surgimento de novas criptomoedas, o interesse de outras áreas pela adoção do uso da blockchain fez com que essa tecnologia se tornasse mais complexa, aumentando a margem de erro para a exigência de um desenvolvimento mais complexo. O artigo exemplifica esse fenômeno citando o caso da Zcash, uma criptomoeda que usa um processo matemático complexo para permitir que os usuários realizem transações privadas e que revelou publicamente que tiveram que reparar uma falha criptográfica no protocolo que, ao ter sido explorada por um atacante, poderia ter permitido criar Zcash falsas de forma ilimitada.

Especialistas da ESET destacaram no Relatório de Tendências 2019 que os ataques que visam o roubo de criptomoedas ganharão destaque neste ano. Em 2018, foram registrados vários casos de ataques que usaram malware para obter criptomoedas por meio de mineração ilegal. Exemplos disso são o caso da Kodi e a manipulação por parte de cibercriminosos para distribuir malwares de criptomineração e o ataque da cadeia de suprimentos ao Exchange gate.io, para citar alguns. Porém, algo mais grave e que ocorreu nos primeiros dias de janeiro de 2019 foi o ataque de 51% direcionado ao Ethereum Classic em que os cibercriminosos conseguiram roubar US$ 1 milhão.

O que é o ataque de 51%? Trata-se de uma ameaça à qual qualquer criptomoeda é suscetível de ser uma vítima, porque a maioria é baseada em cadeias de blocos que usam protocolos proof of work para verificar transações. Um protocolo blockchain é um conjunto de regras que determina como os computadores conectados a uma rede devem verificar novas transações e adicioná-las ao banco de dados.

No processo de verificação (conhecido como mineração), os diferentes nós de uma rede consomem grandes quantidades de poder de processamento para demonstrar que são confiáveis ​​o suficiente para adicionar informações sobre uma nova transação ao banco de dados. Nesse sentido, "um minerador que de alguma forma ganha o controle da maior parte do poder de mineração de uma rede pode enganar outros usuários enviando-lhes pagamentos e então criar uma versão alternativa da blockchain, chamada fork, na qual o pagamento nunca ocorreu, explica o artigo da Technology Review. Portanto, um atacante que controla a maior porcentagem do poder de processamento pode fazer com que o fork seja a versão mais autoritária da cadeia e continuar gastando a mesma criptomoeda novamente", explica.

Executar um ataque de 51% contra as criptomoedas mais populares pode ser muito caro devido ao poder computacional necessário e ao custo de obtê-lo, o que levou os cibercriminosos em 2018 a realizarem ataques desse tipo voltados a criptomoedas menos conhecidas e que exigem menos poder computacional - conseguindo roubar até US$ 120 milhões no total, explica o artigo. No entanto, recentemente, foi divulgado o primeiro ataque de 51% que afetou uma das 20 principais criptomoedas mais populares, o ataque à Ethereum Classic. E de acordo com as previsões, esse tipo de ataque aumentará em frequência e gravidade.

Monero e o aumento do risco de ser vítima de ataques de 51%

Uma investigação recente elaborada pela Binance afirma que a última atualização (hardfork) introduzida pela Monero em sua rede, no início de março de 2019, inclui um algoritmo contra os mineradores ASIC - algo que os desenvolvedores vêm buscando há vários anos -, e que de acordo com relatos, a rede monero estava sendo dominada por esses mineradores (eles contribuíram para 85% do hashrate acumulado da rede), o que aumenta o risco de ataques de 51% como consequência da possibilidade de centralizar a rede.

Esta mudança recente causou uma diminuição na dificuldade de mineração da rede de 70% como resultado da exclusão dos mineradores ASIC. No entanto, isso também aumentou o risco de um ataque de 51% à criptomoeda.

Problemas de segurança para contratos inteligentes

A tecnologia Blockchain também é usada para contratos inteligentes. Um contrato inteligente é um programa de computador que é executado em uma rede blockchain e que pode ser usado para trocar moedas, propriedades ou qualquer coisa de valor. De acordo com o artigo do MIT, outro uso que pode ser dado aos contratos inteligentes é criar um mecanismo de votação através do qual todos os investidores em um fundo de capital de risco podem decidir como distribuir o dinheiro.

Um fundo dessas características (chamados de Organização Autônomas Descentralizadas) que foi criado em 2016 sob o nome de The Dao e usa o sistema blockchain Ethereum, foi vítima de um ciberataque em que os cibercriminosos roubaram mais de US$ 60 milhões em criptomoedas ao explorar uma falha em um contrato inteligente que era administrado pela organização.

Este ataque deixou claro que um erro em um contrato inteligente ativo pode ter consequências críticas, já que, apoiando-se no blockchain, não pode ser reparado com um patch. Nesse sentido, os contratos inteligentes podem ser atualizados, mas não podem ser reescritos, explica o artigo. Por exemplo, podem ser criado novos contratos que interajam com outros contratos ou se pode criar kill switches centralizados em uma rede para interromper a atividade quando o ataque é detectado, embora possa ser tarde, diz o artigo.

A única maneira de recuperar o dinheiro é ir ao ponto da cadeia de blocos antes do ataque e criar um fork para uma nova cadeia de blocos e fazer com que toda a rede aceite o uso dessa blockchain em vez da outra. Foi isso que os desenvolvedores do Ethereum decidiram fazer. E enquanto a maioria da comunidade concordou em mudar para a nova cadeia que conhecemos atualmente como Ethereum, um pequeno grupo não queria e permaneceu na cadeia original que passou a ser chamada de Ethereum Classic.

Resumindo, a tecnologia blockchain continua sendo uma ótima ferramenta para garantir a segurança, embora tenham sido identificados casos que a tornaram vulnerável. Isso não significa que essa tecnologia deixou de ser segura, mas com o passar do tempo e com o desenvolvimento natural do ecossistema tecnológico (incluindo a evolução do cibercrime), surgem desafios que colocam à prova qualquer tipo de tecnologia, como a cadeia de blocos. Nesse sentido, não devemos perder de vista o fato de que os rótulos que estão instalados ao redor do produto, como: "blockchain é uma tecnologia invulnerável”, são verdadeiros até que se possa provar o contrário, afinal, como afirma uma regra no mundo da segurança: toda tecnologia é vulnerável.