Descentralizando a segurança cibernética: Auditorias públicas beneficiam a web3

As auditorias de segurança são vitais, mas os seus resultados geralmente não são contestados, enquanto uma única revisão nem sempre consegue detetar todas as vulnerabilidades. As auditorias públicas, incentivando hackers éticos a verificar novamente os resultados da auditoria através de incentivos DeFi, poderiam impulsionar a segurança de toda a web3, uma vez que tornariam as recompensas por bugs acessíveis mesmo a projetos de pequena escala.

Porque as auditorias habituais nem sempre são suficientes

De acordo com o Relatório de Segurança do Q3 da Hacken, a indústria web3 perdeu incríveis $1.8 bilhões em 2024 sozinha. Quase 40% dessas perdas foram causadas por problemas evitáveis como vulnerabilidades de contratos inteligentes e ataques de reentrância. Alarmantemente, 90% dos projetos hackeados nunca tinham passado por qualquer auditoria, destacando uma supervisão crítica em segurança.

As auditorias de segurança tradicionais são essenciais - oferecem análises aprofundadas e especializadas em pontos críticos do ciclo de vida de um projeto, garantindo a segurança dos fundos do utilizador. No entanto, devido à natureza centralizada destas auditorias, geralmente não há oportunidade de contestar as conclusões - a menos que um projeto invista numa segunda auditoria, o que é uma ocorrência rara. Esperar que uma única revisão descubra tudo é irrealista, já que até os auditores mais diligentes estão sujeitos a erros humanos.

A solução para este problema reside na ética de descentralização da web3. Os projetos de Cripto poderiam envolver uma comunidade mais ampla de hackers white-hat para auditorias públicas, proporcionando assim revisões de segurança descentralizadas, contínuas e orientadas pela comunidade.

Auditorias de segurança descentralizadas: Princípios e vantagens

O principal problema ao projetar auditorias descentralizadas é fornecer fortes incentivos aos auditores independentes, garantindo que não acarretem custos adicionais para os projetos. Deixe-me traçar uma maneira possível de alcançar esse equilíbrio através de ferramentas DeFi

Imagine a plataforma de segurança lançando um pool de recompensas dedicado baseado em smart contract sempre que tem um novo cliente solicitando uma auditoria. A empresa preenche esse pool com uma parte do custo da auditoria, enquanto os detentores de tokens adicionam mais ao apostar os tokens da plataforma. Após a conclusão da sua própria auditoria, pesquisadores independentes de segurança entram no jogo - e verificam novamente o código do cliente. Quando a auditoria da comunidade estiver completa, auditores independentes e apostadores coletam recompensas do pool.

É assim que funcionam as Pools Flash DualDefense na Hacken. Cada cliente que paga por uma auditoria privada recebe uma auditoria pública adicional, criando um modelo de segurança de duas camadas. E no verdadeiro espírito do DeFi, a participação da comunidade é incentivada com recompensas de staking.

Esta abordagem traz benefícios de longo alcance: a comunidade ganha um instrumento APY de alto rendimento real, os auditores recebem testes de pares de suas descobertas e os hackers white-hat recebem recompensas por descobertas de bugs válidas, mesmo por encontrar código limpo. Para projetos сrypto, isso significa uma garantia aumentada da segurança de seu código. Para toda a indústria web3, oferece uma abordagem viável para aumentar a segurança e combater a cibercriminalidade.

As auditorias descentralizadas democratizam o acesso à segurança para projetos web3, especialmente os incipientes. Muitas startups de criptomoedas têm ótimos MVPs, mas frequentemente carecem de recursos para recompensas tradicionais por bugs, que podem ser dispendiosas — ninguém pode prever quantos bugs hackers éticos podem descobrir. O modelo que propomos aborda isso com um pool de recompensas fixo, financiado pela comunidade, tornando a segurança acessível e previsível desde o início.

Implementar este modelo coloca um risco bastante tangível para as empresas de auditoria: coloca a reputação da plataforma em jogo ao permitir que os auditores externos verifiquem o seu trabalho. No entanto, desta forma, a empresa obtém um incentivo extra para abordar cada auditoria ainda mais cuidadosamente, sabendo o quão públicos serão os resultados do seu trabalho - no final, isto beneficiaria toda a indústria. Os auditores de contratos inteligentes não devem se afastar após uma auditoria - é hora de ser ousado e assumir a responsabilidade.

Finalmente, as pools de auditoria pública introduzem algo que a DeFi carece - recompensas apoiadas por dinheiro do mundo real. Este modelo garante que os retornos dos utilizadores não sejam impulsionados por emissões inflacionárias de tokens, resultando frequentemente em crescimento insustentável e desvalorização ao longo do tempo. Em vez disso, os utilizadores beneficiam da atividade do mercado real, dando um passo em direção a modelos financeiros mais sustentáveis na DeFi.

Combinar auditorias tradicionais com auditorias apoiadas pela comunidade aberta abre caminho para um modelo de segurança resiliente que se adapta a projetos de todas as escalas. As auditorias públicas, apoiadas por incentivos impulsionados pela DeFi, marcam um passo transformador em direção a uma cultura de segurança acessível, robusta e proativa na web3.

Dyma Budorin

Dyma Budorin é co-fundador e CEO da Hacken, a principal auditora de segurança blockchain, co-presidente do EEA DRAMA (um grupo de Avaliação de Risco, Gestão e Contabilidade de DeFi) e co-autora de padrões da indústria de criptomoedas. Após mais de oito anos de experiência em auditoria na Deloitte, ela atuou como conselheira de auditoria na Ukrspetsexport e vice-CEO de estratégia e desenvolvimento na Ukrinmash (ambos órgãos estatais ucranianos). Sendo uma entusiasta de criptomoedas e especialista em cibersegurança, as perspectivas de Dyma foram apresentadas pela BBC, Wired, Cointelegraph, Coindesk e outros meios de comunicação de renome. Ela também é Vice-Presidente da Associação Blockchain da Ucrânia.