Introdução à Segurança na Web3

A Web3 é a Web descentralizada. Mas, embora esse seja a ideia por trás da Web3, a “descentralização” ainda é um pouco abstrata. Para todos os efeitos, a descentralização de hoje significa que sites e aplicativos vivem em redes blockchain em vez de servidores centralizados (como fazem na Web 2.0). Embora a Web3 não seja necessariamente dependente de redes de criptomoedas e blockchain, hoje o conceito é quase indistinguível da tecnologia que o alimenta.

A Web3 é uma inovação construída sobre novas tecnologias que trazem benefícios e riscos únicos. A Web3 pretende ser transparente, resistente à censura e, o mais importante, descentralizada. É essa descentralização que apresenta uma troca importante: há mais riscos pessoais e responsabilidades para os usuários.

Em sua forma ideal, a Web3 não dependeria de nenhuma autoridade nem servidor central, e os usuários não precisariam confiar em tantos terceiros. Mas a Web3 como existe hoje não elimina completamente a confiança ou a dependência das autoridades centrais. Hoje em dia, apenas estar online exige algum elemento de confiança: que sites, aplicativos e hardware façam o que dizem que farão, que protegerão nossos dados, nosso dinheiro, nossas identidades. Isso era verdade na Web 2.0 e é verdade na Web3. Então, talvez seja melhor definir a Web3 afirmando que ela tenta introduzir um novo modelo de confiança: um modelo em que a confiança é minimizada e posicionada mais nos processos de negócios (geralmente chamados de protocolos).

Os usuários da Web3 devem confiar na segurança blockchain, no código que compõe as redes, mas carteiras de criptomoedas, processos de governança e nos contratos inteligentes, sobre os quais são construídos os [aplicativos descentralizados - DApps] (/web3/what-are-dapps/). Então a Web3 não é completamente descentralizada nem “independente de confiança”. Mas esses são os principais objetivos finais dos proponentes da Web3. E está melhorando a cada dia.

Neste breve artigo, discutiremos os riscos de segurança na web3 e como proteger-se nas redes baseadas em blockchain.

Riscos sistemáticos da Web3

O risco sistemático refere-se ao risco amplo de todo o ecossistema que está principalmente fora do controle de um usuário. Alguns exemplos de riscos sistemáticos da Web3:

• Desaceleração econômica generalizada ou volatilidade do mercado de criptomoedas (o que pode afetar os blockchains que alimentam a maioria dos DApps Web3 atuais)
• Legislação desfavorável à Web3 ou ao mercado de criptomoedas (que, novamente, exercerá um efeito cascata na maioria dos DApps Web3)
• Bloqueio de tráfego, remoções ou outros tipos de censura de alguns serviços da Web3 ainda centralizados (por exemplo, provedores de nodes)
• Falhas técnicas na segurança blockchain (por exemplo, operadores de nodes não confiáveis ou uma rede atacada por agentes mal-intencionados)

Embora a volatilidade do mercado seja comum, a maioria das principais redes blockchain (como Bitcoin e Ethereum) foram testadas em campo por anos contra falhas técnicas graves. De qualquer forma, esses riscos são endêmicos da indústria de blockchain e criptomoedas e, por padrão, da Web3. Há, no entanto, alguns riscos que você pode controlar (ou pelo menos reduzir).

Riscos de segurança na Web3

Os riscos mais tangíveis de que os usuários da Web3 devem estar cientes são:

• Perda de chaves privadas
• Phishing, golpes e invsaões que visam a carteira de criptomoedas ou as chaves privadas de um usuário (para todos os efeitos, a Web3 atual trata uma carteira de criptomoedas como uma espécie de passaporte digital exclusivo para entrar)
• Falhas e explorações de contratos inteligentes
• Falha corporativa em determinadas empresas ou exchanges de blockchain ou criptografia sem o mesmo nível de supervisão ou proteção do governo (como o FDIC dos Estados Unidos, por exemplo) dos serviços tradicionais

Felizmente, há providências que você pode tomar para proteger-se contra todos esses riscos.

Proteja suas chaves privadas

Se você armazenar seus ativos em uma carteira autocustodiada (em vez de uma exchange centralizada), você terá controle exclusivo sobre suas chaves privadas e, portanto, seus ativos. O mais comum é que as chaves privadas fiquem armazenadas em backup com uma frase de recuperação, um conjunto exclusivo de 12 ou 24 palavras em uma ordem específica que concede acesso a um endereço de carteira de criptomoedas. É como uma versão legível por humanos de suas chaves privadas e funciona como sua senha bancária. As frases de recuperação, assim como as chaves privadas, concedem o controle total sobre os ativos de uma carteira e devem ser muito bem protegidas.

Muitas pessoas armazenam suas frases de recuperação em um cofre à prova de fogo e as registram em algo mais resistente a danos do que um pedaço de papel (como gravá-las em um pedaço de aço). Também pode ser aconselhável armazenar várias cópias de sua frase de recuperação em locais diferentes, como um cofre bancário ou doméstico, mas todas as cópias devem ser armazenadas com segurança, pois cada instância física da frase aumenta as chances de roubo ou comprometimento.

Leia mais sobre as vantagens e desvantagens da autocustódia.

Proteja-se contra tentativas de phishing, golpes e invasões

Outra importante dica de segurançã na web3 é proteger suas chaves privadas e suas frases de recuperação contra o roubo digital. A grande maioria das invasões, golpes e tentativas de phishing de criptomoedas terá como alvo suas chaves privadas ou frases de recuperação. Se um invasor obtiver o controle de uma delas, terá o controle de seus ativos.

As tentativas de phishing são a maneira mais comum de alguém tentar obter acesso à sua carteira. Você pode receber e-mails ou mensagens de pessoas fingindo ser outra pessoa (como um membro da equipe de suporte) solicitando sua chave privada ou frase de recuperação. Se você não tiver certeza se uma mensagem é legítima, entre em contato diretamente com a empresa, pelo Twitter, Discord ou outro método de atendimento ao cliente, antes de clicar em um link. Os golpistas também podem entrar em contato com você para dizer que você ganhou um prêmio (como um valor em criptomoedas, por exemplo) e solicitar informações confidenciais da sua carteira. Como regra geral, você nunca deve informar suas chaves privadas e frases de recuperação a ninguém.

Uma ótima estratégia para manter suas chaves privadas protegidas contra ataques automáticos e malware é mantê-las offline com uma carteira de hardware autocustodiada, método conhecido como “armazenamento a frio”, ou “carteira fria”. Dispositivos como Ledger e Trezor oferecem armazenamento físico e offline para chaves privadas. Esses dispositivos “assinarão” (ou aprovarão) transações com segurança com suas chaves privadas offline. Em seguida, você conectará a carteira fria à Internet para transmitir a transação assinada. Dessa forma, suas chaves privadas nunca serão reveladas enquanto você estiver online. As carteiras de hardware são o melhor que há em armazenamento offline seguro para crypto, mas você será importante garantir que elas permanecerão seguras, assim como a sua frase de recuperação.

Nota: O Brave nunca pedirá sua frase de recuperação da Carteira Brave. Nunca compartilhe essas informações com o Brave ou com qualquer outra pessoa.

Seja cauteloso com falhas e explorações de contratos inteligentes

A Web descentralizada está cheia de sites e DApps que vivem sob a segurança das redes blockchain. Essas redes são construídas inteiramente em (ou pelo menos têm alguma lógica central em execução de) contratos inteligentes. Os contratos inteligentes, programas baseados em blockchain executados automaticamente, são fundamentais para a Web3. Eles também são bastante novos e podem ser propensos a erros no código (que, visto que são executados automaticamente, podem ser desastrosos). Os hackers geralmente procuram erros no código do contrato inteligente, que podem explorar para roubar fundos de DApps ou de seus usuários. Agentes mal-intencionados podem até desenvolver intencionalmente contratos inteligentes projetados para drenar ativos de carteiras de criptomoedas.

Felizmente, muitos desenvolvedores da Web3 estão altamente conscientizados sobre a importância do código inquestionável. Como em qualquer projeto em código aberto, é crucial que os desenvolvedores mantenham o código simples, realizem auditorias de segurança rigorosas e regulares e busquem verificação formal antes de lançarem produtos ao público, especialmente quando os fundos dos usuários estão envolvidos. Mas, é claro que a maioria das pessoas não tem o conhecimento técnico para avaliar o código para determinar se um serviço ou DApp é seguro. É fácil ser vítima de agressores que tentam roubar fundos.

Então, o que se pode fazer? Algumas coisas:

• Procure utilizar DApps bem conhecidos com histórico de segurança
• Procure evitar DApps ou serviços mais recentes que possam apresentar mais riscos
• Verifique novamente as URLs dos serviços que você utiliza (o que pode ser feito durante o processo de assinatura de transações na Carteira Brave) e grave-as nos favoritos para evitar ser redirecionado para sites falsos

Cuidado com o fracasso corporativo

Como mencionado na introdução deste artigo, a Web3 atual encontra-se em um estado intermediário: muitas vezes descentralizada, mas nem sempre. Uma forma de risco desse estado intermediário ocorre com corporações da Web3 centralizadas, como exchanges centralizadas de criptomoedas (CEXs). Quando uma única organização como essa fracassa, pode gerar uma volatilidade de longo alcance para o mercado de criptomoedas e afetar diretamente seus usuários (pense em exemplos importantes como Three Arrows Capital, Terraform Labs e, mais recentemente, a [FTX] (https://www.nytimes.com/2022/11/30/business/sam-bankman-fried-ftx-collapse.html). Esses três exemplos representam um espectro de empresas de criptomoedas (um grupo de investimento, uma equipe de desenvolvimento de blockchain e uma CEX, respectivamente) com algo em comum: eram empresas centralizadas que atuavam no espaço descentralizado da Web3. E todas entraram em colapso, deixando investidores e usuários com as consequências.

Tal como acontece em qualquer outro canto da Internet, há maus participantes na Web3. Sempre que possível, procure ficar com empresas grandes e respeitáveis da Web3. Claro, até mesmo alguns dos maiores nomes em criptografia caíram, e não há garantia de que um serviço seja seguro somente porque é popular.

Se você quiser evitar totalmente esse tipo de risco, pense na utilização da autocustódia. Novamente, a Web3 não elimina completamente o risco. Mas isso oferece a escolha de decidir em quem você quer confiar.

Dicas de segurança na Web3

Em geral, muitas práticas recomendadas de segurança da Web 2.0 se traduzem na Web3:

• Use autenticação de dois fatores (2FA)
• Crie senhas fortes (ou seja, mais longas)
• Não reutilize senhas nos serviços
• Desconfie de golpes e tentativas de phishing e verifique a origem antes de baixar

Outra estratégia prudente é a diversificação. Ao diversificar seus ativos de criptografia entre carteiras autocustodiadas, CEXs e carteiras de hardware offline, você reduz a probabilidade de que uma falha em uma delas prejudique suas participações em outra. Da mesma forma, com o uso de DApps você pode diversificar quais contratos inteligentes e plataformas você usa, não depositando todos os seus fundos em nenhum protocolo.

A Web3 oferece uma oportunidade real de você assumir o controle dos seus ativos, mas isso significa estar ciente e manter-se cauteloso também. Tudo o que fazemos online envolve algum elemento de confiança, de desconhecimento. Embora a Web3 ainda não esteja plenamente estabelecida, sua ideia central é minimizar esse elemento de desconhecimento e tornar tudo mais aberto e verificável.

Para quem estiver interessado em experimentar a autocustódia pela primeira vez, ou aqueles que procuram proteção no nível do Brave em sua carteira, experimente a Carteira Brave. É uma carteira nativa do navegador que eleva o nível de privacidade e segurança na autocustódia de criptomoedas.