A tecnologia blockchain e as criptomoedas revolucionaram a maneira como as empresas levantam capital. Em vez de ter que defender empresas de capital de risco e sacrificar capital, controle e autonomia durante o processo de captação de recursos, as startups agora podem acessar o financiamento necessário para desenvolver e ter sucesso sem ceder mais do que alguns incentivos financeiros. Mesmo assim, as ofertas iniciais de moedas nem sempre são à prova de idiotas.
Apesar das vantagens de segurança altamente elogiadas das criptomoedas e das próprias defesas da blockchain, há vários casos altamente divulgados que mostram que mesmo as paredes mais difíceis não são inexpugnáveis. Para possíveis lançadores da OIC, isso representa um cenário hostil e potencialmente alarmante.
Com quase 10% de todos os fundos arrecadados pelas ICOs relatados como roubados ou perdidos devido a hacks, as startups baseadas em blockchain enfrentam uma batalha árdua pelo sucesso. No entanto, os riscos não devem impedir a empresa de buscar o capital necessário para prosperar. Em vez disso, existem várias estratégias que podem melhorar significativamente a segurança de uma OIC e garantir que sua rodada de crowdfunding não seja apenas segura, mas bem-sucedida.
1. Audite seus contratos inteligentes subjacentes
Os contratos inteligentes oferecem uma solução inventiva para facilitar trocas sem confiança, pois as regras para a execução de contratos são completamente automatizadas e codificadas em algoritmos. No entanto, quando se trata de OICs, os contratos inteligentes têm um histórico de ser um elo fraco no processo de captação de recursos. De fato, algumas estimativas atribuem quase metade de todos os hackers do Ethereum a contratos inteligentes mal projetados.
O especialista em contratos inteligentes e blockchain Frank Bonnet enfatiza a importância de obter uma auditoria profissional para os contratos inteligentes.
"É quase impossível codificar um contrato inteligente 100% hermético", disse Bonnet. "Até os melhores programadores cometem erros e, portanto, é uma necessidade absoluta ter uma revisão de terceiros e auditar seu contrato, mesmo que seja apenas para a tranquilidade de seus investidores".
Exemplos como o congelamento da paridade e o escândalo do DAO são o resultado de hackers encontrarem vulnerabilidades em códigos de contratos inteligentes e explorá-las. Mais importante, porém, um contrato inteligente mal codificado pode criar outros problemas, como fundos em desaparecimento, tokens duplicados e até scripts projetados para manipular o processo de cunhagem de token.
A realização de uma auditoria pré-ICO de contratos inteligentes com serviços de segurança blockchain como o Hosho, que se concentra no teste de segurança e penetração de aplicativos blockchain e contratos inteligentes, permite que os projetos detectem problemas antes que se transformem em catástrofes.
"O número de ataques de alto perfil e violações de dados bem-sucedidos são indicativos das fraquezas de segurança que muitas empresas e organizações têm", disse Hartej Singh Sawhney, fundador e CEO do Hosho Group. "As empresas que se preparam para um evento de geração de token devem ter pelo menos uma auditoria técnica de terceiros de seus contratos inteligentes. Além disso, um teste de penetração em seu site é crucial, para que situações como o que aconteceu com o CoinDash possam ser evitadas."
2. Ouça as preocupações da comunidade e resolva-as
Um dos aspectos mais exclusivos das blockchains públicas e das criptomoedas associadas é o seu grau de transparência. A maioria das empresas libera todo ou pelo menos parte de seu código e, em alguns casos, até os contratos inteligentes para a OIC. Apesar de sua crescente popularidade com os principais investidores de varejo, grande parte da comunidade após o blockchain tem conhecimento de codificação e levará tempo para examinar esses detalhes pertinentes. Para algumas empresas, isso é mais uma formalidade do que uma etapa real, mas pode ser uma maneira incorreta de visualizá-la.
O DAO é um exemplo perfeito de por que as empresas devem ouvir sua comunidade. O código-fonte aberto da empresa estava disponível para revisão nos principais repositórios e vários desenvolvedores alertaram que os arquivos tinham uma grande vulnerabilidade de segurança. Em vez de corrigir o código, o DAO ignorou os avisos e milhões de dólares foram perdidos como resultado.
Os membros da comunidade têm interesse em uma OIC bem-sucedida, pois significa que eles poderão se beneficiar do utilitário oferecido pela plataforma ou serviço. Assim, oferecer a eles um canal claro para expressar preocupações e expor problemas é um componente vital para garantir sua OIC. Mais importante, no entanto, é transformar essas preocupações em soluções concretas, pois podem ser áreas que você pode ter perdido ao gerar o contrato.
3. Implementar políticas robustas para detectar phishers
No lado não programático de uma OIC, é vital estar sempre alerta para qualquer sinal de fraude em potencial. Embora programadores e outros funcionários do setor de tecnologia possam conhecer as tendências e práticas recomendadas de segurança cibernética, nem todos os membros da equipe estão cientes ou se preocupam com segurança on-line. O primeiro passo neste caso é a educação. Os membros da equipe de desenvolvimento de negócios e vendas não precisam entender o código, mas precisam saber sobre possíveis explorações e sinais de invasão ou fraude.
Mais importante, as empresas devem sempre ser tão seguras e proativas para evitar fraudes. A varredura consistente de plataformas da Web como Facebook, Telegram e outros hubs pode ajudar a apontar atividades suspeitas e ficar preparada para qualquer eventualidade. Isso também oferece à sua equipe a oportunidade de retransmitir com segurança atualizações críticas, exibir o site correto para uma OIC e educar os membros da comunidade sobre riscos potenciais.
No caso da EtherDelta, a incapacidade da empresa em detectar cópias fraudulentas de seu site, que os hackers configuraram acessando seus registros DNS e substituindo seus domínios, levou a milhares de dólares perdidos. Os fraudadores criaram sites falsos que pareciam o original, e a empresa não estava vigilante o suficiente para identificar e denunciar os possíveis golpes.
4. Forneça forte segurança ao seu gateway ICO
A história do CoinDash, uma ICO extremamente sensacionalista que foi invadida e resultou na perda de 43.000 ETH, tornou-se uma história de advertência para os novos participantes. Os contratos inteligentes da empresa estavam garantidos, mas seu site não. Como resultado, os hackers alteraram o endereço da carteira no gateway da OIC e, uma vez aberto ao público, roubaram mais de US $ 7 milhões em menos de sete minutos.
Os hackers conseguiram acessar o site da empresa por meio de uma exploração que os permitiu alterar um arquivo de origem, garantindo total controle remoto sobre o site. Simplesmente mudando o endereço da carteira, eles conseguiram escapar com um assalto maciço, apesar do recente retorno de algumas moedas.
A moral da história do CoinDash é que é cada vez mais popular atingir não apenas a infraestrutura da maioria das OICs, que estão atualizando sua segurança, mas um alvo facilmente ignorado, como um site. Nesse caso, não há necessidade de uma auditoria de segurança importante, mas é vital implantar as ferramentas certas para proteger gateways.
Uma das maneiras mais fáceis e eficazes de conseguir isso é implementando um poderoso firewall de aplicativo da Web (WAF), como o da Incapsula. Os WAFs controlam o tráfego de entrada e saída, concedendo às empresas melhor controle e supervisão sobre quem está acessando seus arquivos e site. Os firewalls protegem esses backdoors para as conchas do site, oferecendo proteção contra técnicas comuns de injeção e exploração de scripts.
5. Proteja seus usuários
Uma OIC bem-sucedida não é necessariamente o fim do processo de crowdfunding. Depois que os usuários recebem seus tokens, eles também precisam acessar os serviços que ajudaram a financiar. Como a startup britânica de criptografia Electroneum aprendeu quando seu site foi atingido por um ataque DDoS que afastou seus usuários de suas contas, a captação de recursos é apenas metade da batalha.
Proteger um site contra hackers como ataques DDoS envolve a instalação das ferramentas certas, e os WAFs também podem servir a essa função. Além disso, as empresas devem sempre adotar as medidas de segurança mais rigorosas para os usuários, incluindo autenticação de dois fatores, notificações constantes para quaisquer alterações e até manter registros de atividades para fins de segurança. Proteger os usuários é primordial e garantir que eles tenham acesso aos serviços pelos quais pagaram é uma necessidade para evitar repercussões legais.
A linha inferior
As ICOs são uma ferramenta altamente eficaz para startups que buscam manter o controle de seus negócios, mas não são isentas de riscos e onipotentes. Para garantir o sucesso, você deve sempre aderir às melhores práticas de segurança, fazendo um esforço para garantir que você seja o mais seguro possível e que seus usuários também estejam protegidos.
