O fundador da CertiK fala sobre segurança em Blockchain: perda de 16,6 bilhões de dólares no primeiro trimestre, a segurança deve ser um princípio fundamental
Recentemente, uma conhecida mídia de tecnologia fez uma entrevista com o cofundador e CEO da CertiK. As partes realizaram uma discussão aprofundada sobre o mais recente relatório de segurança do primeiro trimestre da empresa, abordando a evolução das técnicas de ataque de hackers e a inovação em tecnologias de defesa de segurança.
O CEO enfatizou que a segurança não deve ser vista como uma medida corretiva, mas sim como um princípio fundamental a ser considerado desde o início do projeto. Ele defende a adoção proativa de tecnologias de ponta como verificação formal, provas de conhecimento zero e computação multipartidária, para melhorar a segurança dos protocolos de Blockchain e dos contratos inteligentes. Este é também o motivo e a visão que o levaram a fundar a empresa — construir uma base de segurança mais confiável para o mundo Web3.0 através de rigorosas tecnologias de verificação formal.
Esta insistência na segurança não é um produto de uma tendência de mercado de curto prazo, mas sim proveniente da sua exploração e prática a longo prazo dos ideais tecnológicos. Desde a participação no desenvolvimento de um sistema operativo considerado "impecável", até à atual proteção de ativos digitais superiores a 530 mil milhões de dólares, ele tem-se dedicado a salvaguardar a segurança do setor e a aumentar a confiança geral.
O CEO enfatizou várias vezes que a segurança não é uma vantagem competitiva, mas uma responsabilidade compartilhada. Ele não apenas transforma resultados acadêmicos em práticas da indústria, mas também incorpora o conceito de "responsabilidade compartilhada" na colaboração da indústria. Como um líder tecnológico que saiu de academias de topo, ele está usando a verificabilidade da lógica matemática para combater a incerteza dos ataques cibernéticos, apontando o caminho para o desenvolvimento seguro na era do Web3.0.
Principais descobertas do relatório de segurança do primeiro trimestre
No primeiro trimestre de 2025, as perdas causadas por fraudes em blockchain foram de aproximadamente 1,66 mil milhões de dólares, um aumento de 303% em relação ao trimestre anterior. Isso deve-se principalmente a um ataque de hackers a uma bolsa no final de fevereiro, onde cerca de 1,4 mil milhões de dólares em ativos foram roubados. O Ethereum continua a ser o principal alvo de ataques, com 3 incidentes de segurança resultando em perdas de 1,54 mil milhões de dólares. O que é ainda mais preocupante é que, neste trimestre, apenas 0,38% dos ativos roubados foram recuperados.
Análise das Tendências de Ataque
O primeiro trimestre de 2025 continuou a tendência do final de 2024, com o Ethereum ainda a ser a área mais afetada por ataques. No quarto trimestre de 2024, ocorreram 99 incidentes de segurança no Ethereum, enquanto no primeiro trimestre foram 93. Essa tendência foi muito evidente durante todo o ano de 2024 e espera-se que continue em 2025.
A razão pela qual o Ethereum se tornou o foco dos ataques deve-se ao grande número de protocolos DeFi em seu ecossistema, bem como ao enorme volume de ativos bloqueados; por outro lado, existem várias vulnerabilidades nos contratos inteligentes do Ethereum.
Estratégia de segurança para lidar com ataques complexos
Perante a crescente complexidade das técnicas de ataque, a indústria de segurança de Blockchain está a responder ativamente. Os atacantes estão a utilizar cada vez mais estratégias complexas, como engenharia social, tecnologia de IA e manipulação de contratos inteligentes, para contornar os mecanismos de segurança existentes. À medida que o alcance das aplicações de ativos digitais se expande e a sua valorização aumenta, a indústria deve evoluir para garantir a integridade dos projetos e a segurança dos ativos dos utilizadores.
A indústria está promovendo o desenvolvimento de tecnologias inovadoras, como provas de conhecimento zero (ZKP) e segurança em cadeia. Essas tecnologias oferecem soluções promissoras para problemas de segurança cada vez mais severos, permitindo auditoria de transações, rastreamento de ataques e recuperação de ativos, ao mesmo tempo que protegem a privacidade. A computação multipartidária (MPC) aumenta ainda mais a segurança da gestão de chaves, descentralizando o controle das chaves privadas, eliminando riscos de ponto único de falha e aumentando significativamente a dificuldade de acesso não autorizado às carteiras.
Recomendações de segurança para desenvolvedores
Colocar a segurança como a principal consideração deve ser um princípio inegociável. Integrar considerações de segurança em cada fase do desenvolvimento, em vez de remediar posteriormente, ajuda a identificar vulnerabilidades potenciais desde cedo, economizando uma quantidade significativa de tempo e recursos a longo prazo. Esta estratégia proativa de "segurança em primeiro lugar" é crucial para construir aplicações Web3.0 confiáveis.
Além disso, procurar instituições de segurança profissionais para uma auditoria completa e imparcial de terceiros também pode fornecer uma perspectiva independente, identificando riscos potenciais que a equipe interna pode ter ignorado. Este tipo de avaliação externa oferece um componente crítico de revisão, ajudando a identificar e corrigir vulnerabilidades em tempo hábil, aumentando assim a segurança geral do projeto e elevando ainda mais a confiança do usuário.
AI no Blockchain em Segurança: Duplo Papel
A IA tornou-se uma ferramenta importante no sistema de segurança da Blockchain. Algumas empresas utilizam a tecnologia de IA para analisar vulnerabilidades e potenciais falhas de segurança em contratos inteligentes, ajudando a realizar auditorias abrangentes de forma mais eficiente, mas não pode substituir completamente as equipes de auditoria de especialistas humanos.
No entanto, os atacantes também podem utilizar a IA para fortalecer os métodos de ataque. Por exemplo, a IA pode ser usada para identificar vulnerabilidades no código, contornar mecanismos de consenso e sistemas de defesa. Isso significa que o limiar de defesa de segurança foi elevado e, com a crescente popularidade da aplicação da IA, a indústria deve investir em soluções de segurança mais robustas.
O papel da verificação formal
A verificação formal é um método que prova que um programa de computador funciona como esperado através de meios matemáticos. Ela expressa as propriedades do programa como fórmulas matemáticas e utiliza ferramentas automatizadas para a validação.
A tecnologia pode ser amplamente aplicada em vários campos da indústria tecnológica, incluindo design de hardware, engenharia de software, segurança cibernética, IA e auditoria de contratos inteligentes. Mas é importante enfatizar que a verificação formal não visa substituir a auditoria manual. Para contratos inteligentes, a verificação formal depende de métodos automatizados para avaliar a lógica e o comportamento do contrato, enquanto a auditoria manual é realizada por especialistas em segurança que fazem uma análise abrangente do código, design e implantação para identificar potenciais riscos de segurança. Ambos se complementam e juntos aumentam a segurança geral dos contratos inteligentes.
Desafios de segurança trazidos pela entrada de instituições financeiras tradicionais
Com a entrada de instituições financeiras tradicionais no campo do Blockchain, os tipos e a complexidade das ameaças à segurança estão mudando. Nos primórdios do Web3.0 e da indústria de Blockchain, os atacantes costumavam ter como alvo usuários individuais ou pequenos projetos, utilizando métodos como ataques de phishing, RugPull e exploração de vulnerabilidades em carteiras. Esses desafios ainda existem, mas com a adesão de grandes instituições, os riscos de segurança da integridade da rede entrarão em uma nova fase.
Esta transformação envolve não apenas o crescimento da escala de ativos do projeto, mas também as necessidades especiais de segurança das aplicações empresariais, os requisitos regulatórios e os desafios trazidos pela profunda integração entre a Blockchain e o sistema financeiro tradicional.
Considerando que a maioria das instituições tradicionais possui experiência em lidar com ameaças cibernéticas, espera-se que os agentes maliciosos também aumentem a complexidade dos métodos de ataque. Os alvos de ataque podem passar de vulnerabilidades de carteiras genéricas para fraquezas mais direcionadas a nível empresarial, como erros de configuração, vulnerabilidades de contratos inteligentes personalizados, e falhas de segurança nas interfaces de integração com sistemas tradicionais.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
16 Curtidas
Recompensa
16
8
Compartilhar
Comentário
0/400
TommyTeacher1
· 08-03 06:44
Perdendo assim e ainda está aqui.
Ver originalResponder0
FreeRider
· 08-02 15:07
Não diga mais nada, perdi uma grande quantia.
Ver originalResponder0
GateUser-ccc36bc5
· 08-01 14:10
Perdi muito, o que é que estes projetos roubados estão a fazer?
Ver originalResponder0
rekt_but_not_broke
· 07-31 12:40
Sinto que estou a perder muito.
Ver originalResponder0
GateUser-3824aa38
· 07-31 12:38
Puxar o tapete são aqueles que não fizeram segurança.
Ver originalResponder0
RektRecorder
· 07-31 12:29
Mais 1,6 mil milhões a escorregar.
Ver originalResponder0
BridgeNomad
· 07-31 12:27
mais um dia, mais uma exploração... cansado de ser o cara que previu isso, para ser honesto
O fundador da CertiK analisa o relatório de segurança: perdas de 1,66 mil milhões de dólares no Q1. A segurança deve ser a pedra angular dos projetos.
O fundador da CertiK fala sobre segurança em Blockchain: perda de 16,6 bilhões de dólares no primeiro trimestre, a segurança deve ser um princípio fundamental
Recentemente, uma conhecida mídia de tecnologia fez uma entrevista com o cofundador e CEO da CertiK. As partes realizaram uma discussão aprofundada sobre o mais recente relatório de segurança do primeiro trimestre da empresa, abordando a evolução das técnicas de ataque de hackers e a inovação em tecnologias de defesa de segurança.
O CEO enfatizou que a segurança não deve ser vista como uma medida corretiva, mas sim como um princípio fundamental a ser considerado desde o início do projeto. Ele defende a adoção proativa de tecnologias de ponta como verificação formal, provas de conhecimento zero e computação multipartidária, para melhorar a segurança dos protocolos de Blockchain e dos contratos inteligentes. Este é também o motivo e a visão que o levaram a fundar a empresa — construir uma base de segurança mais confiável para o mundo Web3.0 através de rigorosas tecnologias de verificação formal.
Esta insistência na segurança não é um produto de uma tendência de mercado de curto prazo, mas sim proveniente da sua exploração e prática a longo prazo dos ideais tecnológicos. Desde a participação no desenvolvimento de um sistema operativo considerado "impecável", até à atual proteção de ativos digitais superiores a 530 mil milhões de dólares, ele tem-se dedicado a salvaguardar a segurança do setor e a aumentar a confiança geral.
O CEO enfatizou várias vezes que a segurança não é uma vantagem competitiva, mas uma responsabilidade compartilhada. Ele não apenas transforma resultados acadêmicos em práticas da indústria, mas também incorpora o conceito de "responsabilidade compartilhada" na colaboração da indústria. Como um líder tecnológico que saiu de academias de topo, ele está usando a verificabilidade da lógica matemática para combater a incerteza dos ataques cibernéticos, apontando o caminho para o desenvolvimento seguro na era do Web3.0.
Principais descobertas do relatório de segurança do primeiro trimestre
No primeiro trimestre de 2025, as perdas causadas por fraudes em blockchain foram de aproximadamente 1,66 mil milhões de dólares, um aumento de 303% em relação ao trimestre anterior. Isso deve-se principalmente a um ataque de hackers a uma bolsa no final de fevereiro, onde cerca de 1,4 mil milhões de dólares em ativos foram roubados. O Ethereum continua a ser o principal alvo de ataques, com 3 incidentes de segurança resultando em perdas de 1,54 mil milhões de dólares. O que é ainda mais preocupante é que, neste trimestre, apenas 0,38% dos ativos roubados foram recuperados.
Análise das Tendências de Ataque
O primeiro trimestre de 2025 continuou a tendência do final de 2024, com o Ethereum ainda a ser a área mais afetada por ataques. No quarto trimestre de 2024, ocorreram 99 incidentes de segurança no Ethereum, enquanto no primeiro trimestre foram 93. Essa tendência foi muito evidente durante todo o ano de 2024 e espera-se que continue em 2025.
A razão pela qual o Ethereum se tornou o foco dos ataques deve-se ao grande número de protocolos DeFi em seu ecossistema, bem como ao enorme volume de ativos bloqueados; por outro lado, existem várias vulnerabilidades nos contratos inteligentes do Ethereum.
Estratégia de segurança para lidar com ataques complexos
Perante a crescente complexidade das técnicas de ataque, a indústria de segurança de Blockchain está a responder ativamente. Os atacantes estão a utilizar cada vez mais estratégias complexas, como engenharia social, tecnologia de IA e manipulação de contratos inteligentes, para contornar os mecanismos de segurança existentes. À medida que o alcance das aplicações de ativos digitais se expande e a sua valorização aumenta, a indústria deve evoluir para garantir a integridade dos projetos e a segurança dos ativos dos utilizadores.
A indústria está promovendo o desenvolvimento de tecnologias inovadoras, como provas de conhecimento zero (ZKP) e segurança em cadeia. Essas tecnologias oferecem soluções promissoras para problemas de segurança cada vez mais severos, permitindo auditoria de transações, rastreamento de ataques e recuperação de ativos, ao mesmo tempo que protegem a privacidade. A computação multipartidária (MPC) aumenta ainda mais a segurança da gestão de chaves, descentralizando o controle das chaves privadas, eliminando riscos de ponto único de falha e aumentando significativamente a dificuldade de acesso não autorizado às carteiras.
Recomendações de segurança para desenvolvedores
Colocar a segurança como a principal consideração deve ser um princípio inegociável. Integrar considerações de segurança em cada fase do desenvolvimento, em vez de remediar posteriormente, ajuda a identificar vulnerabilidades potenciais desde cedo, economizando uma quantidade significativa de tempo e recursos a longo prazo. Esta estratégia proativa de "segurança em primeiro lugar" é crucial para construir aplicações Web3.0 confiáveis.
Além disso, procurar instituições de segurança profissionais para uma auditoria completa e imparcial de terceiros também pode fornecer uma perspectiva independente, identificando riscos potenciais que a equipe interna pode ter ignorado. Este tipo de avaliação externa oferece um componente crítico de revisão, ajudando a identificar e corrigir vulnerabilidades em tempo hábil, aumentando assim a segurança geral do projeto e elevando ainda mais a confiança do usuário.
AI no Blockchain em Segurança: Duplo Papel
A IA tornou-se uma ferramenta importante no sistema de segurança da Blockchain. Algumas empresas utilizam a tecnologia de IA para analisar vulnerabilidades e potenciais falhas de segurança em contratos inteligentes, ajudando a realizar auditorias abrangentes de forma mais eficiente, mas não pode substituir completamente as equipes de auditoria de especialistas humanos.
No entanto, os atacantes também podem utilizar a IA para fortalecer os métodos de ataque. Por exemplo, a IA pode ser usada para identificar vulnerabilidades no código, contornar mecanismos de consenso e sistemas de defesa. Isso significa que o limiar de defesa de segurança foi elevado e, com a crescente popularidade da aplicação da IA, a indústria deve investir em soluções de segurança mais robustas.
O papel da verificação formal
A verificação formal é um método que prova que um programa de computador funciona como esperado através de meios matemáticos. Ela expressa as propriedades do programa como fórmulas matemáticas e utiliza ferramentas automatizadas para a validação.
A tecnologia pode ser amplamente aplicada em vários campos da indústria tecnológica, incluindo design de hardware, engenharia de software, segurança cibernética, IA e auditoria de contratos inteligentes. Mas é importante enfatizar que a verificação formal não visa substituir a auditoria manual. Para contratos inteligentes, a verificação formal depende de métodos automatizados para avaliar a lógica e o comportamento do contrato, enquanto a auditoria manual é realizada por especialistas em segurança que fazem uma análise abrangente do código, design e implantação para identificar potenciais riscos de segurança. Ambos se complementam e juntos aumentam a segurança geral dos contratos inteligentes.
Desafios de segurança trazidos pela entrada de instituições financeiras tradicionais
Com a entrada de instituições financeiras tradicionais no campo do Blockchain, os tipos e a complexidade das ameaças à segurança estão mudando. Nos primórdios do Web3.0 e da indústria de Blockchain, os atacantes costumavam ter como alvo usuários individuais ou pequenos projetos, utilizando métodos como ataques de phishing, RugPull e exploração de vulnerabilidades em carteiras. Esses desafios ainda existem, mas com a adesão de grandes instituições, os riscos de segurança da integridade da rede entrarão em uma nova fase.
Esta transformação envolve não apenas o crescimento da escala de ativos do projeto, mas também as necessidades especiais de segurança das aplicações empresariais, os requisitos regulatórios e os desafios trazidos pela profunda integração entre a Blockchain e o sistema financeiro tradicional.
Considerando que a maioria das instituições tradicionais possui experiência em lidar com ameaças cibernéticas, espera-se que os agentes maliciosos também aumentem a complexidade dos métodos de ataque. Os alvos de ataque podem passar de vulnerabilidades de carteiras genéricas para fraquezas mais direcionadas a nível empresarial, como erros de configuração, vulnerabilidades de contratos inteligentes personalizados, e falhas de segurança nas interfaces de integração com sistemas tradicionais.