Adam Back culpa o design do EVM pelo hack do Bybit e ele pode estar certo

Adam Back ressalta que as falhas do EVM são as principais responsáveis ​​não apenas pelo hack do Bybit, mas por todas as vulnerabilidades vistas no ecossistema Ethereum.

Adam Back, um conhecido desenvolvedor de Bitcoin e cofundador da Blockstream, apontou diretamente para sua conta X, o design da Máquina Virtual Ethereum (EVM) como o principal culpado pelo hack do Bybit, entre outras vulnerabilidades semelhantes apresentadas no ecossistema Ethereum.

Back, que é uma figura proeminente no ecossistema Bitcoin, tem sido um crítico ferrenho das fraquezas do EVM e de sua linguagem de programação, Solidity. Segundo ele, o design do EVM, essencial para a execução de contratos inteligentes no Ethereum e outras blockchains compatíveis, apresenta falhas estruturais que facilitam esse tipo de ataque.

Mas Adam Back está certo? Os problemas do EVM são tão sérios quanto dizem? Neste artigo, exploraremos seus argumentos, discutiremos vulnerabilidades históricas do EVM e refletiremos sobre por que esses problemas persistem no setor.

Quem é Adam Back e por que sua opinião é importante?

Adam Back é uma figura icônica no espaço das criptomoedas. Como cofundador da Blockstream, uma empresa líder em tecnologia blockchain e uma das pioneiras no desenvolvimento do Bitcoin, sua opinião tem peso na comunidade. Back tem sido um defensor ferrenho da segurança e da simplicidade no design de blockchain, recursos que ele diz estarem ausentes na arquitetura EVM.

E é aqui que o hack da Bybit, no qual mais de US$ 1.400 bilhão foi perdido, entra em cena, já que esse evento foi o catalisador para Back expressar suas críticas. Segundo ele, tais incidentes não são apenas resultado de erros operacionais, mas têm suas raízes em um projeto de EVM inseguro.

«O EVM é um incêndio que prejudica a credibilidade do ecossistema», ele afirmou em um post recente. Para Back, a complexidade do EVM e sua linguagem, Solidity, são um ambiente propício para vulnerabilidades que colocam usuários e plataformas em risco.

Mas o que é exatamente EVM? A Máquina Virtual Ethereum é o ambiente de execução que processa contratos inteligentes na rede Ethereum. Ele foi projetado para ser Turing-completo, o que significa que pode executar qualquer algoritmo imaginável. Embora isso ofereça flexibilidade, também introduz complexidade, o que Back diz ser um problema sério.

Visão de Adam Back: Quais são as falhas estruturais do EVM?

Adam Back identificou vários problemas importantes no design do EVM e sua linguagem de programação, Solidity, que, segundo ele, facilitam ataques como o hack do Bybit. Entre suas críticas mais importantes estão:

1. Complexidade EVMBack afirma que o EVM é excessivamente complexo, o que o torna propenso a erros e vulnerabilidades. "O EVM é um fogo que não pode ser controlado", ele afirmou em um post recente. Segundo ele, essa complexidade não afeta apenas a segurança, mas também dificulta a verificação e a manutenção de contratos inteligentes.
2. Problemas com contratos inteligentes:Os contratos inteligentes, que são o coração do EVM, têm sido alvo de muitas críticas. Back observa que esses contratos, escritos em Solidity, geralmente contêm bugs devido à falta de ferramentas adequadas para validar sua segurança. Além disso, a capacidade do EVM de executar código complexo abre a porta para vetores de ataque que são difíceis de prevenir.
3. Reentrada e outros tipos de ataques:Um dos exemplos mais claros de vulnerabilidades de EVM é o ataque de reentrada. Esse tipo de ataque ocorre quando um contrato chama um contrato externo, que por sua vez chama de volta o contrato original antes que a execução inicial seja concluída. Esses tipos de ataques foram responsáveis ​​por algumas das maiores perdas na história das criptomoedas, incluindo o hack da Bybit. Nesse sentido, Back destacou que esses ataques são possíveis devido à falta de mecanismos robustos para impedir a reentrada. “O EVM permite que os contratos se comuniquem de forma insegura, o que abre a porta para esses tipos de ataques”, ele explicou.
4. Falhas na gestão do Estado:A gestão estatal na EVM também tem sido alvo de críticas. Back diz que a maneira como o EVM manipula estados pode levar a inconsistências e comportamento inesperado, especialmente em ambientes complexos.
5. Solidez: uma linguagem inseguraA linguagem de programação Solidity, usada para escrever contratos inteligentes na EVM, também foi criticada por sua insegurança. Back alega que o Solidity não possui as ferramentas e mecanismos necessários para evitar bugs comuns, como estouros de inteiros, reentrada e outros tipos de vulnerabilidades.

Por exemplo, no caso do hack da Bybit, os invasores exploraram uma fraqueza no gerenciamento de assinaturas de carteiras multisig. Embora esses tipos de ataques não sejam exclusivos do EVM, Back argumenta que a complexidade do EVM e do Solidity torna mais difícil identificar e corrigir esses problemas.

Problemas de EVM não são novos

Mas, surpreendentemente, Adam Back não é o único a apontar as fraquezas da EVM. Na verdade, muitos dos problemas que ele identificou são conhecidos pela comunidade há anos. Por exemplo, o ataque de 2016 ao The DAO, um dos hacks mais infames da história do Ethereum, foi possível devido a uma vulnerabilidade na lógica de um contrato inteligente. Um ataque que foi avisado dias antes, avisos que não foram ouvidos e que acabaram resultando em uma reversão do Ethereum. Foi esse evento que dividiu o Ethereum em dois: Ethereum Classic (a cadeia original) e Ethereum (com a reversão do DAO para recuperar fundos e apoiado por Vitalik Buterin).

O hack do DAO: um precedente histórico

A DAO (Organização Autônoma Descentralizada) foi um dos projetos mais ambiciosos da história do Ethereum. Lançado em 2016, o DAO foi projetado como uma organização autônoma descentralizada que permitiria aos investidores apoiar projetos por meio de votação. Foi considerado um marco na implementação de contratos inteligentes e uma demonstração do potencial do EVM.

No entanto, o DAO também se tornou um excelente exemplo de como vulnerabilidades em contratos inteligentes podem ter consequências catastróficas. Em junho de 2016, um invasor explorou uma fraqueza na lógica do contrato inteligente do DAO, permitindo a transferência não autorizada de mais de 3.6 milhões de ethers, então avaliados em mais de US$ 70 milhões.

Este ataque foi possível devido a uma combinação de fatores, incluindo:

1. Reentrada: O contrato DAO permitia que um invasor chamasse repetidamente uma função antes que a execução inicial fosse concluída, permitindo que fundos fossem drenados de maneira não autorizada.
2. Falta de validação adequada: O contrato não contava com os mecanismos necessários para evitar esse tipo de ataque, embora alertas sobre a possibilidade de reentrada tenham sido apontados por especialistas dias antes do incidente.
3. Complexidade do projeto: O contrato do DAO era extremamente complexo, dificultando a auditoria e a análise antes da implementação.

Então o hack do DAO foi um momento decisivo na história do Ethereum. Isso não apenas demonstrou as fraquezas do EVM e de sua linguagem de programação, Solidity, mas também destacou a necessidade de maior atenção à segurança no desenvolvimento de contratos inteligentes.

Certificado

Curso de Análise Técnica de Criptomoedas

Nível médio

Neste treinamento contamos com Iván González, profissional especialista em investimentos e criptomoedas, para ensinar como funciona o mercado e como os preços afetam o comportamento dos investidores.

GRÁTIS 7 aulas

Comece agora

Outros avisos ignorados

Mas o hack do DAO não foi um incidente isolado. Ao longo dos anos, houve vários avisos sobre as fraquezas do EVM e do Solidity. Por exemplo:

1. O problema da “reentrada”: A reentrada tem sido um dos vetores de ataque mais comuns em contratos inteligentes do Ethereum. Embora padrões e bibliotecas tenham sido desenvolvidos para mitigar esses tipos de ataques, como o padrão Checks-Effects-Interactions, muitos desenvolvedores não os implementam devido à complexidade e ao custo envolvidos.
2. O ataque de vanguarda: Esse tipo de ataque, em que um minerador ou agente malicioso intercepta e altera uma transação antes que ela seja confirmada no blockchain, é possível devido à transparência das memórias de transação no EVM. Embora existam soluções para evitar isso, como o uso de canais de estado ou camadas de privacidade, esses métodos não são amplamente adotados.
3. Falta de ferramentas de análise estática: Por muito tempo, os desenvolvedores do Ethereum não tinham ferramentas robustas para analisar e detectar vulnerabilidades em contratos inteligentes. Embora ferramentas como Etherscan, Mythril e Slither tenham melhorado a situação, ainda há limitações na capacidade de detectar bugs complexos.
4. O problema dos "órfãos" e das transações "paradas": Alguns contratos mal elaborados podem resultar em transações “órfãs” ou “paralisadas”, que não podem ser executadas ou revertidas. Isso pode levar a problemas de escalabilidade e congestionamento de rede.

Desafios de segurança do EVM: algo pode ser feito a respeito?

Embora os problemas do EVM sejam sérios, eles não são intransponíveis. Existem várias medidas que podemos tomar para melhorar a segurança dos contratos inteligentes e reduzir o risco de ataques como o da Bybit.

1. Auditoria e testes aprimorados:Uma das maneiras mais eficazes de prevenir vulnerabilidades é realizar auditorias completas e testes rigorosos antes de implementar qualquer contrato inteligente. Isso inclui o uso de ferramentas automatizadas e revisões manuais por especialistas em segurança.
2. Usando as melhores práticas: Os desenvolvedores devem adotar as melhores práticas para escrever contratos inteligentes mais seguros. Isso inclui o uso de padrões como Verificações-Efeitos-Interações para evitar reentrada e a implementação de mecanismos robustos de controle de acesso.
3. Criação de um quadro regulamentar:Embora a descentralização seja um princípio fundamental das criptomoedas, criar uma estrutura regulatória que defina padrões de segurança pode ajudar a reduzir o risco de ataques. Isso pode incluir a exigência de auditorias de segurança antes de lançar qualquer contrato inteligente.
4. Investimento em pesquisa e desenvolvimento: A segurança do EVM exige investimento contínuo em pesquisa e desenvolvimento. Isso inclui desenvolver novas linguagens de programação mais seguras e melhorar as ferramentas existentes para identificar e corrigir vulnerabilidades.

 Adam Back está certo?

De qualquer forma, Adam Back levantou uma crítica válida e necessária sobre o design do EVM e seu impacto na segurança das criptomoedas. Os problemas que ele identificou não são novos, mas são sérios. A complexidade do EVM e as fraquezas do Solidity criaram um ambiente onde ataques como o do Bybit podem ocorrer.

No entanto, é importante observar que a segurança do EVM não é um problema insolúvel. Com uma combinação de melhores práticas, investimentos em pesquisa e desenvolvimento e uma cultura de segurança mais robusta, é possível mitigar muitos desses riscos.

Enquanto isso, a comunidade deve prestar atenção aos avisos de especialistas como Adam Back e tomar medidas proativas para proteger os ativos dos usuários. Somente dessa forma poderemos caminhar em direção a um ecossistema mais seguro e confiável.

O investimento em criptoativos não é totalmente regulamentado, pode não ser adequado para investidores de varejo devido à alta volatilidade e há risco de perder todos os valores investidos.