Acabei de ficar a par do incidente da Resolv de algumas semanas atrás e, honestamente, é um lembrete bastante sóbrio de como a crescente complexidade do DeFi pode tornar-se na sua maior responsabilidade.

Então, aqui está o que aconteceu a 22 de março. A Resolv, um protocolo DeFi que passou por 18 auditorias de segurança, foi comprometido. Mas não por causa de uma falha num contrato inteligente. Em vez disso, os atacantes tiveram acesso ao ambiente AWS KMS onde o protocolo armazenava as suas chaves de assinatura privilegiadas. A partir daí, o ataque foi quase embaraçosamente simples: eles cunharam 80 milhões de stablecoins USR sem colateral e extrairam cerca de 25 milhões de dólares em valor antes que alguém pudesse pará-los.

Os mecanismos valem a pena ser compreendidos porque revelam uma falha de design fundamental. O processo de cunhagem da Resolv não era totalmente na cadeia. Quando os utilizadores queriam cunhar USR, depositavam USDC através do requestSwap, depois um serviço fora da cadeia controlado por uma chave privada autorizava a quantidade real de cunhagem via completeSwap. O próprio contrato inteligente não tinha limite superior na cunhagem — apenas verificava se a assinatura era válida. Essa é a vulnerabilidade ali.

Os atacantes depositaram talvez entre 100 a 200 mil dólares em USDC através de várias transações. Depois, usaram a chave de assinatura comprometida para autorizar a cunhagem de 50 milhões de USR numa transação, e depois 30 milhões noutra. Duas transações, 80 milhões de tokens, quase sem colateral real a apoiá-los. A partir daí, converteram para wstUSR (um derivado de staking), trocaram por outros estáveis, fizeram ponte para ETH, e desapareceram com aproximadamente 24 milhões de dólares em ETH mais algumas posições remanescentes.

O que é impressionante é o impacto no mercado. O USR caiu 80% quando isto aconteceu — caindo para 0,20 dólares antes de recuperar para cerca de 0,56 dólares. O protocolo teve que suspender todas as operações imediatamente. E aqui está o que realmente se destaca: todo este ataque desenrolou-se em minutos. Quando alguém percebeu que algo estava errado, o dano já tinha sido feito.

Este é o tipo de incidente que deveria reformular a forma como pensamos na infraestrutura do DeFi. Os contratos inteligentes funcionaram exatamente como foram projetados. O problema foi que as suposições de segurança do sistema dependiam demasiado da infraestrutura na nuvem e de componentes fora da cadeia. Quando essa camada é comprometida, o código na cadeia não importa. É preciso ter mecanismos de deteção em tempo real e resposta automatizada — não como algo desejável, mas como uma necessidade absoluta.

O artigo menciona como sistemas de monitorização poderiam ter detectado isto. Se existisse uma regra que disparasse alertas quando as razões de cunhagem ultrapassassem valores normais em 1,5x, aquelas duas transações massivas teriam sido sinalizadas instantaneamente. Ou se existisse uma funcionalidade de pausa automática ligada a eventos de cunhagem incomuns, o protocolo poderia ter parado a sangria antes que os 80 milhões de tokens chegassem ao mercado.

Por isso continuo a dizer: assume que as brechas vão acontecer. Assume que as chaves serão comprometidas. Assume que a infraestrutura vai falhar. A questão não é se, mas quando. E quando acontecer, precisas de mecanismos que possam detectar e responder mais rápido do que os atacantes podem explorar. A Resolv tinha as auditorias, tinha as medidas de segurança padrão, mas não tinha a camada de defesa em tempo real que poderia ter feito a diferença entre um incidente contido e uma perda de 25 milhões de dólares.