A Decurity, uma empresa de segurança da web3, informou ter encontrado uma falha em um projeto de criptomoedas. O montante exposto estaria avaliado em US$ 5,2 milhões (24,8 milhões).
Apesar de ter salvado tanto o projeto em questão quanto todos os seus clientes de um possível hack, a empresa mostrou-se chateada com a recompensa oferecida pelos desenvolvedores.
“Como recompensa por nossos esforços, o projeto nos ofereceu uma recompensa de 500 dólares”, escreveu a Decurity, apontando que o projeto não está levando sua segurança a sério.
Salvaram US$ 5,2 milhões em criptomoedas e receberam apenas US$ 500
O ecossistema das criptomoedas cresceu muito nos últimos anos. O setor de Finanças Descentralizadas (DeFi) foi um dos maiores destaques, mas isso também trouxe novos desafios.
Baseados em contratos inteligentes, muitos destes projetos contratam terceiros para auditar seus códigos em busca de pontos de falha. Mesmo assim, às vezes isso não é o suficiente e eles precisam oferecer um programa de recompensas pela descoberta de novos bugs.
No caso da Dx (DX.app), uma falha estava pronta para ser explorada. Por sorte, ela foi descoberta pelos hackers éticos da Decurity, uma empresa de segurança.
Em texto publicado no início deste mês, explicando a falha, a Decurity aponta que as perdas poderiam ter chegado a casa dos US$ 5,2 milhões (R$ 24,8 milhões).
“O impacto potencial do bug poderia ter levado a perdas de US$ 5.200.000, mas nosso relatório evitou um resultado desastroso”, escreveu a Decurity, notando a investigação começou de forma aleatória.
No entanto, a maior surpresa ficou para o montante oferecido como recompensa pela Dx: apenas US$ 500 (R$ 2.400). A Decurity, obviamente, ficou indignada.
“Embora estejamos felizes por termos conseguido proteger uma quantidade significativa dos fundos dos usuários de serem roubadas, o processo de relatar o bug foi mais complicado do que esperávamos e levanta questões sobre a abordagem de segurança da Dx”, comentou a empresa de segurança.
“Pedimos aos usuários que tomem cuidado ao interagir com seus projetos no futuro.”
A Decurity não é a única. Em setembro de 2022, um hacker reclamou por receber R$ 2,8 milhões após salvar R$ 2,5 bilhões de outro projeto. A recompensa estava estimada em 10,4 milhões, cerca de 4 vezes mais.
Hackers estão acompanhando a postura de projetos de criptomoedas
Embora a Dx tenha corrigido a falha encontrada pela Decurity, sua pequena recompensa está sendo observada por outros hackers.
Em outras palavras, é difícil imaginar que alguém tenha interesse em realizar novas análises independentes na Dx. Mais importante que isso, caso outra falha seja encontrada em tal projeto, dificilmente alguém irá reportá-lo, deixando a brecha para hackers blackhat explorarem.
Por fim, vale lembrar que o setor de DeFi é um dos maiores alvos de hackers devido a sua natureza descentralizada, facilitando o escoamento dos fundos para outras carteiras.
