A tecnologia blockchain possui algumas características de segurança que são praticamente mandatórias. Uma delas é a descentralização, atributo fundamental para evitar o que chamamos de ponto único de falha. Nos moldes da descentralização, para obter o controle de informações sensíveis é necessário realizar um ataque a inúmeros participantes de uma rede de forma simultânea.

Mas, apesar da blockchain ter a descentralização como característica primordial de segurança, na maioria das vezes, as instituições escolhem fazer a custódia dos ativos digitais com uma entidade centralizada, o que, por sua vez, mesmo com camadas de segurança, pode representar uma fraqueza. É por isso que boa parte dos ataques cibernéticos atuais são realizados de forma a obter o controle deste ponto único de falha, que costuma ser feito com táticas de engenharia social.

Trabalhei por mais de 15 anos como executivo de tecnologia de grandes bancos do mercado financeiro tradicional, sendo responsável pelos sistemas que controlam o acesso aos recursos financeiros da própria instituição e dos clientes. Fazendo hoje um paralelo com este universo cripto, a relação de posse dos ativos sob custódia de uma entidade centralizada é baseada na confiança depositada na própria instituição, seja por controles internos e externos, camadas de segurança ou garantias.

Neste modelo, qualquer falha de segurança ou erro operacional é ajustado ou absorvido pela própria instituição, sempre que possível. Porém, não são raros os eventos de insolvência em cenários de estresse de mercado.

Entre os exemplos mais recentes de players que tiveram problemas graves por adotarem práticas centralizadas, aos moldes do mercado financeiro tradicional, estão a Celsius, plataforma de empréstimos e staking em criptomoedas, que entrou com um pedido de falência após congelar os tokens dos investidores e, logo na sequência, o Three Arow Capital (3AC), fundo hedge relacionado ao universo das criptomoedas mais bem sucedido até aquele período, que se viu obrigado a liquidar seus ativos para pagar dívidas aos credores.

No entanto, todos os usuários de protocolos DeFi, como Aave e Compound, tiveram seus compromissos honrados por serem estes contratos inteligentes (smart contracts) decentralizados e regidos pelas regras da criptografia, em que o pagamento da dívida acontece de forma programada e imutável.

Tecnologia MPC

Quando falamos em custódia de criptoativos, falamos basicamente da posse do segredo, algo que é extremamente crítico para instituições e indivíduos. Como os ativos existem fisicamente em uma blockchain descentralizada, a possibilidade de qualquer ajuste contábil de um valor financeiro se torna impossível, pois o livro contábil da tecnologia blockchain não pode ser modificado. A tecnologia de custódia MPC (do inglês “Multiparty Computing”) descentraliza a chave privada em diversos servidores.

Com essa tecnologia de custódia, cada entidade pode possuir diferentes camadas de segurança, diferentes controles operacionais e principalmente partes distintas do segredo. A perda de uma “parte” deste segredo não coloca em risco o todo. Além disso, o controle também criptograficamente protegido, de forma que ninguém consegue realizar qualquer atividade sem a autorização das demais entidades que fazem parte da rede, ajuda a eliminar o ponto único de falha.

Como já dito, camadas de segurança sempre são adicionadas para dificultar e proteger qualquer possível brecha ou superfície de ataque. Recentemente, a Parfin foi pioneira na implementação de Secure Enclave em múltiplos provedores de tecnologia em nuvem. Esta camada protege qualquer acesso indevido ao hardware de uma máquina e garante, através de criptografia, que apenas um software permissionado tenha acesso a dados sensíveis. Ou seja: nem a empresa ou o provedor de nuvem têm permissão de acesso a estes dados.

Vale destacar que além de expertise em criptografia, é extremamente necessário que todos os controles internos e processos estejam muito bem definidos e auditados. A conquista da certificação SOC2 expedida pela Ernst & Young – uma das Big Four da área de auditoria e consultoria – certamente traz ainda mais credibilidade dos controles internos, já que o processo de verificação destes controles é feito por uma empresa independente. A SOC2 é uma certificação bastante rara para provedores da indústria de blockchain, mas é considerada essencial no mercado financeiro tradicional.

Ricardo Santos é Head de Tecnologia da Parfin. 

Link da matéria: https://br.cointelegraph.com/news/why-crypto-custody-and-security-are-increasingly-important-for-companies-and-institutional-investors