Até que a morte nos separe... o que o colapso do QuadriGacX significa para a segurança criptográfica. Após as descobertas chocantes de que o norte de US $1,7 bilhões de criptografia foi roubado em 2018, a segurança criptográfica continua piorando.
A resposta que a maioria dos especialistas dão para evitar hacks é usar armazenamento frio. Mas o que acontece se esse armazenamento frio se perder ou danificar? Perder sua carteira de hardware pessoal pode ser devastador, mas e perder US $190mn nos fundos dos usuários como QuadriGacX, a maior troca de criptografia do Canadá?
Desculpe, senhor, eu perdi minhas carteiras de armazenamento frio
QuadriGacX chocou o mundo da criptografia no mês passado, anunciando que perdeu mais de US $190mn em fundos de criptografia mantidos em carteiras de armazenamento frio. Estas carteiras estavam sob o controle exclusivo do CEO Gerald Cotten.
Então, o que ele tinha a dizer sobre o assunto? Bem, não muito, na verdade. Infelizmente, ele faleceu repentinamente na Índia, como anunciado na página do Twitter do QuadriGacX em 14 de janeiro:
Certamente, sua contribuição para Bitcoin no Canadá será muito perdida. Mas, infelizmente, o que será perdido ainda mais são os fundos dos 116.000 usuários, cuja localização ele supostamente foi levado para o túmulo.
O tweet do QuadriGacx sobre a morte de seu CEO provocou uma enxurrada de condolências junto com uma barragem de raiva e abuso, com alguns teóricos da conspiração até sugerindo que ele pode ter fingido sua própria morte:
Que uma pessoa deve ter acesso exclusivo às carteiras de armazenamento frio para toda uma troca parece um pouco improvável - irresponsável na melhor das hipóteses. E se a empresa deve ser acreditada, isso deixa a indústria de criptografia parecer bastante ridícula.
QuadriGacX disse em um comunicado:
“Nas últimas semanas, trabalhamos extensivamente para resolver nossos problemas de liquidez, que incluem localizar nossas reservas de criptografia muito significativas mantidas em carteiras frias necessárias para satisfazer os saldos de criptomoedas do cliente em depósito e fornecer uma instituição financeira para aceitar os rascunhos bancários que estão sendo transferidos para nós. Infelizmente, esses esforços não foram bem sucedidos.”
O QuadrigacX realmente tinha armazenamento frio em primeiro lugar?
Os rumores começaram a começar sobre se a troca ainda tinha armazenamento frio em primeiro lugar. De acordo com o Wall Street Journal, analistas de segurança não tinham tanta certeza.
Na quinta-feira passada, eles relataram a surpreendente possibilidade de que as criptomoedas desaparecidas do QuadriGacX podem não estar trancadas em carteiras frias afinal. Eles podem simplesmente estar desaparecidos... o que leva a toda uma gama de possibilidades.
De acordo com um relatório da Chain Analysis publicado pela Zerononcense:
“Parece que não há reservas de carteira fria identificáveis para QuadrigacX.”
Os achados foram baseados em vários fatores, mas esta teoria é principalmente devido ao fato de que as principais carteiras identificadas até agora transações registradas não geralmente liquidadas através de carteiras frias.
Carteiras frias são normalmente para grandes transações
Para uma troca usar carteiras frias, eles devem ir a comprimentos extraordinários para garantir a segurança dos fundos de seus clientes. E isso significa que os tamanhos de transação são geralmente muito grandes. Quando uma transação de carteira fria é iniciada, geralmente envolve milhões de dólares, dignos da necessidade de proteção adicional.
No entanto, os tipos de transações nas carteiras QuadriGacX eram pequenos, tornando difícil justificar que eles foram mantidos em carteiras frias em primeiro lugar.
O WSJ analisou 50 contas de clientes QuadriGacX e não conseguiu encontrar qualquer ligação com o armazenamento frio a que a empresa se refere.
A conversa começou a abundar sobre se a troca estava puxando fora um enorme golpe de saída. E mais movers e agitadores se juntaram à conversa, com o CEO da MyCrypto, Taylor Monahan, sugerindo que também não havia carteiras frias para suas transações Ethereum.
“Não vejo nenhuma indicação de Quadriga ter carteiras frias/reserva para ETH”, disse ela.
Ela ainda foi mais longe para apontar que os proprietários do QuadrigacX tinham todos os dados KYC necessários sobre seus clientes para mover o dinheiro e abrir uma conta de câmbio.
O que isso significa para a segurança criptográfica?
Claramente, o desastre da troca QuadrigacX tem muitas opções para a indústria de criptografia. O primeiro (que se aplica a qualquer incidente de segurança) não é manter seus fundos em uma troca. Os usuários devem sempre ser responsáveis por seus próprios fundos.
Mas os intercâmbios também podem aprender com o QuadriGacX praticando uma boa governança e garantindo um processo de assinatura múltipla para proteger fundos.
Ledger é o provedor de carteira de hardware mais seguro do mundo. No entanto, o CEO Eric Largchevêque entende que as carteiras de hardware não são uma solução prática para as empresas. Afinal, a quem você dá a carteira? É como entregar as chaves do cofre a apenas uma pessoa. Ele disse:
“Um conjunto de regras deve ser aplicado por hardware seguro certificado. Por exemplo, os pedidos de pagamento devem estar sujeitos a autorizações múltiplas de agentes aprovados. É fundamental construir a governança de uma forma que garanta que os fundos não sejam colocados em risco se um oficial estiver comprometido.”
Para esse fim, a empresa tem uma solução para empresas que lidam com grandes quantidades de criptografia chamado de Ledger Vault. É uma solução de gerenciamento de autocustódia de criptografia multiautorização que exige que vários indivíduos confirmem uma transação.
Crypto pode aprender com os bancos
A Panxora é outra empresa responsável por manter os fundos dos seus clientes em carteiras frias. O CEO Gavin Smith acredita que as trocas de criptografia são ingênuas, e ele também ecoa os sentimentos de Larchevêque:
“Eventos como esses mostram que muitos na indústria de criptografia ainda são ingênuos quando se trata de configurar seus sistemas de segurança. Tudo se resume ao senso comum. Embora as carteiras frias sejam certamente a melhor opção para proteger os ativos dos clientes, o processo de retirada de fundos também precisa ser levado em consideração.
“Há muito a aprender com a banca tradicional aqui. As trocas de criptografia são tão capazes de configurar um processo em que a retirada de fundos exige que várias partes assinem uma transação, e as senhas são armazenadas em locais off-line seguros.”
E quanto ao QuadriGacx e sua história?
Parece que há uma maneira da equipe QuadriGacX provar sua história e limpar seus nomes ao longo do tempo. Como apontado por Deadal Nix no Twitter, se o que eles dizem é verdade, eles devem publicar os endereços para provar que os fundos nas alegadas carteiras frias permanecem lá.
Se eles não podem fazer isso, então é provável que uma das saídas mais elaboradas golpes que o crypto viu até agora.
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.