Risco de execução em criptomoedas é o novo risco de custódia

Risco de execução em criptomoedas é o novo risco de custódia

O risco de execução em criptomoedas é o novo risco de custódia. Credenciais vivas, não apenas chaves privadas, são agora a superfície de ataque principal.

A indústria de criptomoedas normalmente está à frente do seu jogo quando se trata de inovação pura e funcionalidade, mas a segurança é um assunto diferente.

Por anos, o risco de custódia em criptomoedas foi definido por um único medo: o roubo de chaves privadas. A indústria respondeu endurecendo o armazenamento com armazenamento frio, sistemas isolados, MPC e outros métodos. Em seguida, reconheceu que proteger apenas as chaves não é suficiente, introduzindo segurança de transação e políticas para prevenir transações maliciosas que roubam fundos, embora as chaves permaneçam seguras.

Os dois continuam sendo uma séria ameaça, mas se concentrar apenas nas chaves privadas obscurece uma mudança mais profunda.

A custódia em si expandiu-se muito além das chaves privadas.

“Custódia” uma vez significava proteger chaves privadas. Essa definição não reflete mais a realidade.

A custódia evoluiu para um sistema complexo e automatizado que opera diferentes tipos de transações, em múltiplos locais, custodiários, fornecedores e sistemas internos.

As empresas de negociação modernas operam em exchanges, plataformas de estocagem, locais de liquidez e provedores de infraestrutura, cada um com chaves de API, chaves de validação, credenciais de implantação e segredos de nível de sistema que podem mover capital diretamente ou indiretamente.

Muitas dessas credenciais estão armazenadas em gerenciadores de segredos que, por design, retornam a chave completa a qualquer processo autenticado.

Conveniente, sim, mas estruturalmente frágil.

Se o ambiente de execução for comprometido, seja por um atacante externo, um funcionário que foi ameaçado ou uma dependência maliciosa, a chave completa está comprometida.

O risco de custódia expandiu-se além das chaves privadas dormantes em cadeia para uma camada de execução viva, onde o capital se move em milissegundos e a exposição acontece em tempo real.

A evolução da segurança de custódia

A segurança de custódia evoluiu em estágios.

Primeiro, a indústria segurou as chaves privadas em armazenamento.

Em seguida, a indústria foi além do armazenamento, incorporando políticas e controles de múltiplos partidos para governar como essas chaves eram usadas na execução.

O próximo passo é inevitável: aplique a mesma disciplina de zero-exposição e políticas a cada chave e credencial.

Em operações de criptomoedas modernas, as chaves de API, as credenciais de implantação e os segredos de execução carregam risco significativo.

Estender as melhores práticas de chaves privadas para essa superfície mais ampla não é mais opcional; é o desafio definidor do risco de execução.

Em anos recentes, o risco de execução emergiu como o único maior vetor para explorações em larga escala.

Cibercriminosos estão contornando as mecânicas de segurança em cadeia em favor da pele mole, nomeadamente as chaves de API, as credenciais de servidor e outros segredos off-chain necessários para facilitar negociações, implantação de código, estocagem e ações de custódia.