Os ataques cripto atingiram um número recorde ao longo do último ano, mas o alerta de $10 mil milhões do Tesouro dos EUA e uma coligação de segurança DeFi agora formada apontam para onde reside o verdadeiro risco: engenharia social com recurso a IA e atacantes patrocinados por Estados, e não código de smart contracts auditável.
O Tesouro assinalou a dimensão do problema num aviso recente, estimando que os norte-americanos perderam cerca de $10 mil milhões em burlas relacionadas com cripto no ano passado, um valor que colocou a engenharia social e as operações ligadas à Coreia do Norte diretamente na conversa política dominante. O aviso chega numa altura em que os investigadores on-chain atribuem cada vez mais os maiores furtos individuais a chaves privadas comprometidas, kits de phishing e coerção interna, em vez de exploits ao nível do protocolo.
Porque é importante
Durante anos, a postura de segurança do setor centrou-se em auditorias a smart contracts, verificação formal e programas de recompensas por bugs. Estes controlos não impedem um colaborador de aprovar uma transação maliciosa sob pressão de um vídeo deepfake do CEO, nem evitam que um operador ligado à Coreia do Norte saia de uma entrevista com credenciais para uma carteira de tesouraria. O padrão dos incidentes mais mediáticos recentes sugere que a camada humana e operacional é agora a superfície mais frágil em cripto, enquanto a camada de engenharia amadureceu.
Impacto no mercado
Uma nova coligação DeFi está a tentar transformar essa perceção numa base para o setor: feeds partilhados de inteligência sobre ameaças, divulgações coordenadas, padrões de política de carteiras e uma pressão para tratar a cibersegurança como um requisito ao nível das compras empresariais, e não como uma frase de marketing. Para protocolos e custodiantes institucionais, a leitura prática é que capital e parceiros vão começar a avaliar os controlos de engenharia social da mesma forma que já avaliam as auditorias.
Perguntas frequentes
-
Quantos ataques cripto aconteceram ao longo do último ano?
Os ataques atingiram um número recorde ao longo do último ano, embora a leitura do Tesouro sublinhe que as maiores perdas advêm cada vez mais de engenharia social e operações patrocinadas por Estados, e não de exploits em smart contracts.
-
O que cobriu o alerta de $10 mil milhões do Tesouro dos EUA?
O aviso estimou que os norte-americanos perderam cerca de $10 mil milhões em burlas relacionadas com cripto, colocando a engenharia social com IA e as operações ligadas à Coreia do Norte no centro da atenção política dos EUA.
-
Porque são os ataques de engenharia social mais difíceis de detetar em auditoria?
As auditorias e a verificação formal cobrem código, não comportamento humano. Um colaborador comprometido que aprova uma transação maliciosa ou entrega chaves de carteira contorna todos os controlos ao nível do protocolo.
-
O que procura fazer a nova coligação de segurança DeFi?
Está a promover feeds partilhados de inteligência sobre ameaças, divulgações coordenadas e padrões de política de carteiras, para que a cibersegurança operacional se torne um requisito ao nível das compras empresariais e não uma afirmação de marketing.
-
Como poderá esta mudança afetar protocolos de cripto e custodiantes?
Investidores e parceiros tendem a avaliar os controlos de engenharia social como avaliam as auditorias, tornando a gestão de chaves e o historial de resposta a incidentes requisitos básicos para angariação de fundos, listagens e mandatos de custódia institucional.