A segurança no ecossistema da blockchain enfrenta um novo e irónico desafio. Aquilo que foi desenhado para proteger os utilizadores e as plataformas está agora a ser utilizado como um autêntico mapa do tesouro por grupos de cibercriminosos avançados, muitos deles patrocinados por Estados. Segundo um alerta recente da Check Point Software Technologies, as famosas listas de endereços confiáveis tornaram-se num vetor crítico para novos esquemas de roubo.
Uma análise detalhada revela que instituições que aplicavam as melhores práticas do mercado — como o uso de assinaturas múltiplas, carteiras físicas e as referidas listas de endereços autorizados — perderam mais de 1,78 mil milhões de dólares (cerca de 1,65 mil milhões de euros) em incidentes direcionados ao longo dos últimos meses.
O problema não reside na falta de defesas, mas sim num modelo de confiança estático. Estas listas (conhecidas como whitelists) indicam claramente aos atacantes quais são os parceiros, protocolos e fornecedores em que uma plataforma confia. Ao mapear a infraestrutura pública da blockchain, os piratas informáticos conseguem identificar o elo mais fraco e focar os seus esforços em encontrar vulnerabilidades nesses parceiros específicos, contornando as defesas principais da organização alvo.
O perigo da confiança cega nas transações
O grande calcanhar de Aquiles das listas de endereços autorizados é que estas apenas verificam se o destino de uma transferência de criptomoedas ou ativos foi previamente aprovado. No entanto, o sistema é cego em relação àquilo que a transação efetivamente faz. Mudanças no estado de contratos inteligentes, substituição de implementações ou transferências ocultas de propriedade passam facilmente despercebidas e criam uma perigosa falsa sensação de segurança.
A eficácia desta tática ficou demonstrada em três grandes incidentes ocorridos entre julho de 2024 e fevereiro de 2025, onde entidades previamente autorizadas foram comprometidas. O caso mais mediático atingiu a plataforma Bybit em fevereiro de 2025. Os atacantes infiltraram-se num fornecedor de infraestrutura de carteiras digitais e manipularam a interface de aprovação. Ao fazerem com que os responsáveis autorizassem operações maliciosas que pareciam legítimas, conseguiram roubar 401.347 ETH, um valor a rondar os 1,5 mil milhões de dólares (cerca de 1,39 mil milhões de euros).
Na plataforma WazirX, um esquema semelhante explorou falhas entre a interface visual e os dados reais da blockchain, culminando num desvio de mais de 235 milhões de dólares (cerca de 218 milhões de euros). Já no caso da Radiant Capital, o ataque foi feito a partir do interior: um cibercriminoso fez-se passar por um colega de trabalho e enviou um ficheiro infetado com malware. Este ficheiro alterou a interface de assinatura de transações, levando a equipa a entregar involuntariamente o controlo total dos fundos aos atacantes.
A nova arquitetura de segurança necessária
Perante este cenário, os especialistas em cibersegurança defendem que é urgente abandonar o modelo de confiança baseada apenas em endereços, transitando para um sistema de validação contínua do resultado das operações. Assumir que um parceiro na whitelist estará sempre livre de perigos é um pressuposto impossível de garantir perante adversários altamente sofisticados.
Para proteger os ativos digitais no futuro, a análise recomenda três pilares fundamentais de defesa. O primeiro passa por implementar ferramentas de simulação em tempo real, que testam o impacto de uma transação antes da sua execução real na rede. Desta forma, é possível detetar imediatamente alterações de propriedade ou movimentações inesperadas.
Além disso, torna-se essencial manter uma monitorização constante da atividade na blockchain, procurando sinais de que um ataque está a ser preparado, como a criação de contratos suspeitos ou testes de intrusão prévios. Por último, as plataformas devem adotar camadas de verificação independentes no momento da assinatura, garantindo que, mesmo perante uma interface visual comprometida, os dados validados permanecem intactos e seguros.
Nenhum comentário
Seja o primeiro!