Pesquisa encomendada pelo Pentágono aponta vulnerabilidades do blockchain; especialista rebate

Empresa de cibersegurança cita problemas ligados a concentração de poder computacional e diz que blockchain não é tão decentralizada, mas especialista vê baixo risco
 (Westend61/Getty Images)
(Westend61/Getty Images)
G
Gabriel Rubinsteinn

Publicado em 29/06/2022 às 19:33.

Última atualização em 29/06/2022 às 19:41.

A Agência de Projetos de Pesquisa Avançada de Defesa (DARPA, na sigla em inglês), órgão vinculado ao Departamento de Defesa dos EUA, encomendou uma pesquisa sobre cibersegurança que aponta uma série de possíveis vulnerabilidades da tecnologia blockchain, inclusive da rede Bitcoin, reconhecida por sua capacidade de segurança e histórico de nunca ter sido hackeada de forma bem-sucedida em seus 13 anos de existência.

(Mynt/Divulgação)

O relatório, chamado "Blockchains São Descentralizadas? Centralizações Não Intencionais em Registros Distribuídos", foi concluído na última semana e se tornou público nesta quarta-feira, 29. O documento foi elaborado pela Trail of Bits, uma empresa de consultoria em segurança digital especializada em análise de software e programação, baseada em Nova York (EUA).

A pesquisa tinha como objetivo investigar o quanto os blockchains são realmente descentralizados. Para isso, a empresa mirou nos dois maiores blockchains ativos atualmente: Bitcoin e Ethereum. Também foram analisadas redes que usam o mecanismo de consenso de prova de participação ("proof-of-stake", ou PoS) e protocolos de Tolerância à Falha Bizantina (BFT) de forma geral.

"Neste relatório, identificamos vários cenários em que a imutabilidade do blockchain é questionada não pela exploração de vulnerabilidades criptográficas, mas pela subversão das propriedades da implementação, do funcionamento da rede ou do protocolo de consenso de um blockchain", diz o documento.

Um dos problemas apontados no estudo é a concentração de poder entre poucas entidades que, juntas, seriam capazes de tomar o controle desses sistemas. “O número de entidades suficientes para interromper um blockchain é relativamente baixo: quatro para o Bitcoin, duas para a Ethereum, e menos de uma dúzia para a maioria das redes PoS”.

Especialista em tecnologia e ativos digitais do banco BTG Pactual, Rogério Motisuki discorda que seja algo tão alarmante quanto parece. Ele reconhece que a concentração de poder computacional é um efeito colateral indesejado do mecanismo de prova de trabalho ("Proof-of-Work", ou PoW), já que grandes players da mineração se aproveitam da eficiência de operações de larga escala, mas afirma que o custo para qualquer tentativa de fraude seria incrivelmente alto para uma rede como Bitcoin ou Ethereum - o que pode ser diferente em redes menores. E completou: "Olhando para a composição e poder computacional concentrado nas mãos de poucos pools de mineração, realmente a possibilidade de um ataque até existe, mas não há nenhum incentivo econômico para que essas entidades façam isso. Afinal, seria como atirar no próprio pé”, disse.

Já em relação às redes PoS, como a Ethereum pretende se tornar, ele afirma que não há ganho de eficiência em larga escala, mas a concentração ainda pode acontecer devido à concentração de riqueza, como acontece em qualquer outra indústria. No entanto, Motisuki ressalva, "há um mecanismo de punição severo com uma trava de tempo, para que haja tempo hábil para detectar tentativas de fraude e aplicar punições".

Outro ponto levantado no estudo encomendado pelo Pentágono é a concentração do tráfego da rede Bitcoin em poucos provedores de Internet: "De todo o tráfego da rede Bitcoin, 60% atravessa apenas três ISPs [Internet Services Providers]", diz o texto, complementando que metade disso é roteado pela rede Tor e que "a maioria dos nós da rede Bitcoin parecem não participar da mineração e os operadores dos nós não enfrentam punições explícitas por desonestidades cometidas".

Os pesquisadores norte-americanos afirmam ainda que “a implantação de um novo nó requer apenas uma instância de servidor em nuvem barata" e que "nenhum hardware de mineração especializado é necessário”, o que permitiria a possibilidade de inundar a rede de consenso de um blockchain com novos nós maliciosos, controlados por uma única parte, no que é chamado de "Ataque Sybil".

"Realmente, a implementação de um nó na rede Bitcoin é uma tarefa relativamente fácil e com um custo baixo. Entretanto, mesmo que a rede fosse inundada por novos nós maliciosos, eles não causariam nenhum efeito negativo, pois não teriam poder suficiente para realizar qualquer coisa do tipo. A rede Bitcoin e os mecanismos de consenso de todos os blockchains foram projetados justamente para evitar essa situação", explicou Motisuki.

A segurança é assunto frequente em discussões sobre blockchain, especialmente depois do crescimento do mercado cripto, que passou a movimentar grandes quantidades de dinheiro e chegou a ter mais de 3 trilhões de dólares em valor de mercado em 2021.

Com tanto dinheiro, a quantidade de hackers e agentes maliciosos que buscam se aproveitar de falhas de segurança é cada vez maior e, não por acaso, o número de ataques e o volume que esses ataques tem conseguido também tem aumentado consideravelmente, com diversos recordes de valores desviados no último ano.

Os questionamentos apontados pelo estudo, apesar de relevantes, não são exatamente uma novidade, já que, por ser uma tecnologia muito recente, é esperado que vulnerabilidades sejam descobertas, e, como os principais blockchains estão em constante avaliação sobre o assunto, na maioria das vezes elas são corrigidas antes que haja algum problema real. É por isso que, até hoje, ainda não haja registro de ataque bem-sucedido contra a rede Bitcoin e a Ethereum, desde o caso da TheDAO, nos primórdios da rede, também não enfrentou mais nenhum grave problema de segurança.

Siga o Future of Money nas redes sociais: Instagram | Twitter | YouTube | Telegram | Tik Tok