Se você está no web3 há mais de cinco minutos, você já foi enganado, quase foi enganado, ou está a um clique ruim de se juntar ao clube. Deixe de lado os grandes golpes que fazem manchetes. Considere as coisas habituais, como pop-ups falsos do MetaMask, links de troca de exchange descentralizada que parecem legítimos, mas não são, ou páginas de ponte aleatórias que o Google felizmente empurra para o topo da sua pesquisa.

Resumo

• Os golpes estão a explodir — a fraude em criptomoedas atingiu pelo menos 9,9 mil milhões de dólares em 2024, com phishing e sites DeFi falsos cada vez mais sofisticados a erodir a confiança até dos utilizadores experientes.
• A segurança é tratada como opcional — apesar das ferramentas disponíveis, a proteção contra phishing não está incorporada na infraestrutura principal, deixando a adoção estagnada devido a preocupações de segurança.
• O risco quântico aproxima-se — até 2030, os sistemas devem adotar a criptografia pós-quântica; sem ela, combinada com phishing, o web3 enfrenta uma crise de credibilidade.
• Urgência para ação da indústria — a segurança deve ser priorizada como a escalabilidade ou os rendimentos DeFi, ou então futuros hacks de bilhões de dólares forçarão correções muito tarde.

Em 2024, as fraudes em criptomoedas geraram pelo menos 9,9 bilhões de dólares em receitas ilícitas, com a Chainalysis alertando que o total pode atingir um recorde de 12,4 bilhões de dólares à medida que mais dados chegam. A fraude no setor está se tornando mais afiada, com golpistas utilizando sites de phishing mais convincentes, plataformas de finanças descentralizadas falsas e táticas de engenharia social. A sofisticação torna a detecção mais difícil e as perdas maiores, erodindo a confiança dos usuários. Até mesmo traders experientes estão sendo apanhados.

E ainda assim, a comunidade cripto mais ampla muitas vezes atribui isso ao custo de fazer negócios, o que é insano. Imagine se todas as vezes que você fizesse login na banca online, houvesse uma probabilidade em dez de ser um site falso. As pessoas fariam revolta. No web3, no entanto, há um encolher de ombros; as pessoas tweetam "fiquem seguros, anon" e esperam pelo melhor.

Este é um problema corrigível

A tecnologia já existe para detectar sites de phishing, contratos inteligentes falsos e pontes maliciosas antes de interagir com eles. O problema é que isso tem sido tratado como um extra opcional em vez de uma parte central da pilha. As pessoas estão a perder milhares de dólares semanalmente ao trocar tokens em interfaces de exchange que pareciam legítimas. A única coisa que as salva é, frequentemente, uma ferramenta de segurança baseada em navegador que sinaliza a página segundos antes de clicarem em "Confirmar."

Enquadrar o phishing como um problema de segurança pessoal subestima grossamente a sua influência no mercado mais amplo. A adoção por parte dos retalhistas não estagna porque a tecnologia não é suficientemente escalável. Estagna porque as pessoas não confiam que o seu dinheiro está seguro. Embora alguns argumentem que as camadas de segurança são apenas pontos centrais de falha, já existe uma dependência significativa de provedores de infraestrutura, indexadores, nós de chamada de procedimento remoto, carteiras e dezenas de outros pontos críticos. Fingir que adicionar uma proteção robusta contra phishing compromete de alguma forma a ética é uma desculpa fraca, dado o alto risco.

A bomba-relógio da computação quântica

Há outro problema que a maioria das pessoas não está a considerar o suficiente: segurança pós-quântica. O governo dos EUA já estabeleceu prazos, em que todos os sistemas têm de migrar para criptografia pós-quântica até 2030, com algoritmos antigos a serem eliminados completamente até 2035, o que significa que muita infraestrutura de blockchain por aí está a viver em tempo emprestado. Combine isso com ataques de phishing descontrolados e você terá uma tempestade perfeita para um colapso de confiança. O Web3 não será levado a sério em um mundo pós-quântico se ainda perder bilhões para enlaces falsos.

A maior desculpa é que os usuários deveriam ser apenas mais cuidadosos. Os pedestres devem olhar para os dois lados antes de atravessar a rua, mas ainda assim temos semáforos por uma razão. Esperar que cada novo detentor de carteira reconheça um link de phishing instantaneamente é irrealista, especialmente quando os golpistas estão se tornando melhores em se passar por plataformas legítimas. Passamos anos obsessivamente focados em escalabilidade, composibilidade e liquidez entre cadeias. Enquanto isso, a principal reclamação dos usuários continua sendo: “Perdi minhas moedas.”

As apostas são mais altas do que as pessoas pensam

Os golpes nativos de criptomoeda estão se espalhando muito além de suas fronteiras originais. Eles não estão mais limitados a exchanges ou a protocolos DeFi chamativos; estão infiltrando-se constantemente em indústrias adjacentes e corroendo a confiança em todo o ecossistema. As pontes e os validadores continuam a ser alvos óbvios, mas estão longe de ser os únicos. Provedores de telecomunicações, operadores de energia, fabricantes de Internet das Coisas, cadeias de suprimentos e até sistemas de defesa que interagem com componentes baseados em blockchain agora são pontos de entrada potenciais. Cada nova integração cria outra superfície para comprometimento, outra oportunidade para os atacantes explorarem e outro multiplicador de riscos que mina a confiança pública.

Se você é um líder de projeto, está encarando duas realidades desconfortáveis. Primeiro, a segurança resistente a quânticos não é um marco acadêmico distante; está se aproximando rapidamente de se tornar um requisito regulatório rigoroso em menos de uma década. Em segundo lugar, cada ataque de phishing de alto perfil ou campanha de coleta de credenciais entre agora e esse prazo diminui sua base de usuários, sua credibilidade e seu valor total bloqueado, um dano que se acumula silenciosamente ao longo do tempo e é muito mais difícil de reconstruir do que de prevenir.

Agora é a hora de direcionar a mesma quantidade de inovação, financiamento e iteração incansável para a arquitetura de segurança como foi dado à agricultura de rendimento, à cunhagem de tokens não fungíveis e à liquidez entre cadeias. A Web3 não pode chamar-se credivelmente o futuro das finanças e da infraestrutura de dados enquanto continuar a tratar o phishing como meramente um problema de "erro do usuário". Em algum momento, o ecossistema tem que assumir a responsabilidade.

Olhando para trás, quase certamente nos perguntaremos por que a indústria tolerou vulnerabilidades tão óbvias por tanto tempo e por que não abordou o phishing em grande escala mais cedo. A parte encorajadora é que este problema é solucionável com a priorização e escolhas de design adequadas. A única questão real que resta é se a indústria tomará a iniciativa agora ou aguardará até que o próximo hack de mil milhões de dólares force sua mão.

David Carvalho

David Carvalho é o fundador, CEO e Cientista Chefe do Naoris Protocol, a primeira solução de segurança descentralizada do mundo, alimentada por uma blockchain pós-quântica e IA distribuída, apoiada por Tim Draper e o ex-Chefe de Inteligência da NATO. Com mais de 20 anos de experiência como Chief Information Security Officer Global e hacker ético, David trabalhou em níveis técnicos e de C-suite em organizações de vários bilhões de dólares em toda a Europa e no Reino Unido. Ele é um conselheiro de confiança para estados-nação e infraestruturas críticas sob a NATO, focando em guerra cibernética, terrorismo cibernético e ciberespionagem. Um pioneiro em blockchain desde 2013, David contribuiu para inovações em mineração PoS/PoW e cibersegurança de próxima geração. Seu trabalho enfatiza a mitigação de riscos, a criação ética de riqueza e os avanços orientados por valor em cripto, automação e IA Distribuída.