Como um erro fez uma empresa de criptomoedas perder quase R$ 1 bilhão em um dia
Na última segunda-feira (1°), uma vulnerabilidade da Nomad, empresa de criptoativos, resultou na perda de US$ 190,4 milhões (R$ 985 milhões na cotação do dia) em ativos que estavam sob a custódia da companhia. O caso ganhou notoriedade pelo volume do prejuízo e pela forma como aconteceu, já que alguns especialistas não consideram o episódio como um ataque hacker, e sim uma falha de sistema.
A empresa disse que está investigando o caso, que aconteceu pouco tempo depois da CoinBase, uma das maiores exchanges do mundo, entrar na primeira rodada de captação da Nomad, que foi avaliada em US$ 225 milhões – sim, o montante perdido pela empresa se aproxima do seu valor de mercado.
Entenda o caso
Para entender o episódio, é preciso saber como funciona uma bridge blockchain, atividade que a Nomad exerce. Como o nome denuncia, essas empresas criam pontes entre blockchains para tornar possível a transferência de ativos e dados entre os ecossistemas.
Não é possível usar Bitcoin na rede da Ethereum, já que as criptomoedas estão em blockchains diferentes. Porém, para viabilizar a transação, empresas como a Nomad bloqueiam o Bitcoin em sua rede original e criam um token na rede Ethereum que represente aquele Bitcoin. Esses tokens são chamados de wraped tokens (tokens embrulhados, em tradução livre).
Os tokens originais são bloqueados por um contrato inteligente (smart contract), e foi justamente nessa etapa do processo que começou a dor de cabeça da Nomad. A empresa promoveu uma atualização em um smart contract, o que gerou uma vulnerabilidade.
Isabela Rossa, country manager da Coin Cloud no Brasil, explica que as movimentações em blockchains são públicas e todos conseguem acompanhá-las. “Uma pessoa identificou uma falha na atualização que permitia trocar 1 WBTC (wraped Bitcoin, representação da moeda em outra blockchain) por 100 WBTC e a única coisa que os outros precisaram fazer era copiar essa transação”, esclarece a especialista.
Ataque hacker ou vulnerabilidade?
Portanto, o caso tratado por alguns como ataque hacker pode ter sido, na verdade, praticado por várias pessoas que se aproveitaram de uma vulnerabilidade.
O caso chamou ainda mais atenção quando houve uma solicitação para que hackers whitehat – que invadem sistemas para identificar e corrigir vulnerabilidades – devolvessem os criptoativos e uma pequena parte – US$ 9 – voltou à custódia da Nomad.
Sinal amarelo no mercado
Empresa de bridging como a Nomad estão se popularizando. Isso porque surgem cada vez mais redes blockchain e cada uma tem regras e linguagens diferentes. Portanto, as empresas que permitem a comunicação desses protocolos são, sim, importantes para o mercado, ainda mais para projetos novos, sem muita projeção no mercado.
Porém, o outro lado da moeda é o que traz preocupação: não é a primeira vez que empresas que constroem essas pontes apresentam vulnerabilidades e perdem ativos em custódia.
Em abril, a ponte Ronin foi atacada e US$ 600 milhões em criptomoedas foram desviados. Além de ser o ataque com o maior volume das finanças descentralizadas, o caso ganhou repercussão porque a Ronin alimenta o jogo Axie Infinity, muito popular no mundo cripto. Antes disso, a ponte Wormhole foi atacada e as perdas chegaram a US$ 300 milhões.
Risco ainda é alto
Apesar da importância do serviços dessas empresas, Isabela Rossa diz que “o risco ainda é muito grande e esse mercado não está pronto”. No caso da Nomad, ela afirma que as alterações poderiam ter sido rodadas em ambiente de testes para evitar vulnerabilidade, um cuidado que uma empresa madura certamente teria.
O que você tem a ver com isso?
Para os investidores fica o alerta: “não é porque você pesquisou tudo sobre a empresa há três meses que não há riscos, este é um mercado que sempre evolui e é preciso entender o que aconteceu no passado e continuar estudando para se previnir”, diz Rossa.