Se você tem a sensação de que hacks em cripto estão acontecendo com mais frequência do que o normal, não está imaginando. Um gráfico da DefiLlama mostra um pico claro.
Há algumas semanas, a mídia do setor reportou uma nova versão da rede neural Claude - Claude Mythos - que dizem ser excepcionalmente boa em encontrar vulnerabilidades em código. O Mythos ainda não foi lançado publicamente. Mas, uma vez que esse tipo de tecnologia atinge maturidade, não há como colocar o gênio de volta na garrafa. Esse aumento de hacks provavelmente não é uma coincidência.
Mesmo assim, a notícia de hoje sobre a exploração do Bisq realmente me chamou a atenção. O Bisq é uma plataforma descentralizada para comprar e vender Bitcoin por fiat. Está em atividade há 10 anos e não teve nenhum exploit nos últimos 6. Não parece um alvo fácil: toda transação em Bitcoin exige duas assinaturas — do comprador e do vendedor. Não há contratos inteligentes complexos onde bugs sutis possam se esconder. Para roubar fundos, seria preciso enganar um humano para aprovar uma transação maliciosa. Mais especificamente, seria necessário ludibriar o vendedor para que assinasse uma transação que liberasse Bitcoin para o comprador sem que este enviasse o pagamento em fiat.
O sistema parecia tão seguro quanto possível. E ainda assim foi explorado.
O que os atacantes aparentemente descobriram foi o seguinte: a aplicação que mostra ao vendedor o que ele está assinando não valida a transação com base em seus dados técnicos brutos. Em vez disso, ela confia nos metadados fornecidos pelo comprador no momento em que este adiciona sua assinatura. Essa foi a parte que o atacante manipulou. Os vendedores acreditavam que estavam enviando o Bitcoin de volta para si a partir de um endereço multisig, enquanto, na realidade, estavam assinando uma transação que transferia os fundos para o atacante. Em outras palavras, o atacante era simplesmente a contraparte no comércio.
É por isso que, hoje mais do que nunca, a simplicidade do processo e a confiança na sua contraparte importam nas operações cripto.
Na rabbit.io, é exatamente nisso que nos concentramos:
- você vê o endereço para onde precisa enviar uma criptomoeda;
- nós sabemos o endereço para onde você quer receber a outra;
- é isso.
Sua única tarefa é copiar cuidadosamente o endereço e enviar a quantia correta. Mantemos tudo o mais simples possível e o mais confiável possível.
