As chaves privadas, e não os contratos inteligentes, causaram 40% das perdas de US$ 16 bilhões com hackers. Aqui está o que está sendo feito.

“A maior parte da infraestrutura blockchain foi originalmente construída para um modelo de usuário único e chave única, uma chave privada controla tudo e, se essa chave for perdida ou roubada, todos os ativos desaparecem instantaneamente. Isso vai contra os princípios básicos de segurança nos quais as finanças tradicionais confiam há décadas: mais de uma pessoa aprovando, separação de funções e várias camadas de defesa”, disse Wu ao CoinDesk.

De certa forma, o sistema construído para revolucionar as finanças globais tem uma segurança mais fraca do que uma conta de e-mail típica.

Wu acrescentou que o número de rotas através das quais um ataque pode ser lançado aumentou significativamente. “Sistemas em nuvem, ferramentas de terceiros, contas de mídia social e as pessoas que os operam, tudo isso pode se tornar uma forma de entrar.”

Tanto Wu quanto Fan apontaram para o Bybit hack de fevereiro de 2025 como um exemplo de uma superfície de ataque cada vez maior. Os invasores comprometeram a cadeia de fornecimento de software de uma ferramenta de desenvolvedor de terceiros, permitindo-lhes injetar código malicioso na interface web da carteira e enganar os executivos para que, sem saber, cedessem US$ 1,5 bilhão em Ethereum.

A correção

A indústria está agora a avançar para resolver a questão da vulnerabilidade da chave privada, embora não de forma uniforme, de acordo com Wu.

“Há progresso em muitas frentes: MPC [multi-party computation] carteiras, abstração de conta com recuperação social, login baseado em chave de acesso, aplicação de carteira de hardware e SOPs de gerenciamento de chaves adequados”, disse ele. “O problema é que estes são frequentemente adicionados como extras opcionais, em vez de serem integrados desde o início no nível do protocolo. A maioria das cadeias ainda trata a segurança como um recurso a ser implementado, não como um princípio central de design.”