No mundo descentralizado dos criptoativos, exchanges centralizadas são um mal necessário. É a forma mais popular de liquidar criptomoedas, porém, por ser popular, não significa que ela seja segura.
Usuários mais experientes do mercado de criptoativos sempre darão o mesmo conselho: exchange não é carteira. De fato, uma exchange é um ponto único de falha que expõe todos os seus usuários – e seus fundos – ao risco se violado. Desta forma, uma vez que exchanges centralizadas são a forma mais rápida e simples para liquidar criptoativos, para mitigar os perigos é prudente selecionar uma que tenha procedimentos de segurança robustos.
A aCCESS Security Lab é uma empresa brasileira focada em segurança cibernética que já atendeu figuras do mercado de criptoativos – inclusive exchanges. O CriptoFácil conversou com o CTO da empresa Leandro Trindade para entender quais procedimentos elevariam o nível de segurança das exchanges nacionais.
O primeiro procedimento mencionado foi o U2F. Por meio dele, só é possível validar o acesso em uma plataforma por meio de um hardware – que muitas vezes se assemelha a um pendrive. Mesmo que a conta do usuário seja hackeada e sua senha seja descoberta, o atacante não poderá invadir sua conta. Atualmente, nenhuma exchange brasileira em operação possui suporte para este modelo de segurança.
Trindade comentou sobre esta solução:
“Se as exchanges brasileiras tivessem suporte para U2F, já ajudaria bastante em termos de segurança. O lado negativo é a exigência de que os usuários tenham o hardware.”
O que é comumente aplicado nas exchanges hoje é o 2FA (autenticação em dois fatores). Nesse modelo de segurança, um código de seis dígitos com validade de 30 segundos é gerado no celular do usuário, que deve então inseri-lo na plataforma. Contudo, segundo uma declaração prestada por Trindade em outro artigo publicado aqui no CriptoFácil sobre a solução BlockchainID, o CTO da aCCESS Security Lab já havia afirmado:
“O 2FA emula os documentos sendo algo que você tem, dentro de um pequeno espaço de tempo apenas você saberá os números que aparecerão no seu celular. Só que esse padrão já está defasado, seis dígitos é algo fácil de adivinhar no espaço de 5 minutos, como pesquisas recentes têm comprovado.”
Uma solução mais segura do que o 2FA e que não obrigue o usuário a ter um hardware – sendo uma intermediária – é justamente a BlockchainID, desenvolvida pela empresa brasileira OriginalMy. Trindade também já falou ao CriptoFácil sobre o modelo do BlockchainID e ressaltou sua melhoria em segurança:
“A OriginalMy aplica a mesma regra, apenas você tem acesso à chave privada no seu App do celular, e com ela, de uma forma similar a como ocorre com o Bitcoin, realiza a assinatura que autoriza seu acesso temporariamente.
Esse é um padrão que conhecemos como OCRA, onde ocorre um desafio (o QR Code) e a resposta (a Assinatura no App). A dificuldade de adivinhar essa chave privada é tão grande quanto encontrar uma carteira de Bitcoin aleatoriamente.”
Por fim, Trindade ressalta que um procedimento realizado por poucas exchanges já resolveria muitos problemas. Trata-se do teste de penetração, ou pentest. Em sua execução, um software ou uma equipe contratada busca vulnerabilidades na plataforma.
Porém, de acordo com Trindade, empresas com pentests roteirizados não são fundamentais para plataformas financeiras como exchanges – devendo o procedimento ser executado por profissionais capacitados e dedicados a encontrar brechas.
“Uma coisa que eu sempre falo é que as empresas têm que fazer pentest, isso tinha que ser obrigatório. Só que só algumas se preocupam em fazer isso, aí acontece o que vem acontecido… Usar ferramenta de pentest ou essas empresas que fazem só pentest automatizado é um ‘barato que sai caro’. Por serem plataformas financeiras, é o mínimo que deveriam fazer [contratar um serviço dedicado].”
Por meio das declarações do CTO da aCCESS Security Lab, é possível notar que alguns procedimentos considerados talvez obrigatórios – mas muitas vezes negligenciados – podem elevar consideravelmente o nível de segurança das exchanges brasileiras.
Leia também: Blockchain e DLT entram no Glossário de Segurança da Informação do Governo Federal
This website uses cookies.