A vida nem sempre foi fácil para Mitchell Amador: filho de pai português e mãe canadiana, nasceu no Canadá, cresceu pobre e a sentir que nunca teria muitas oportunidades na vida. Hoje é responsável pela proteção de mais de 100 mil milhões de dólares investidos em diferentes plataformas de blockchain e criptomoedas. Esta é a história do homem que lidera, a partir de Lisboa, a maior comunidade de hackers de caça às vulnerabilidades no promissor mundo das finanças descentralizadas
Estamos em meados de outubro. A manhã estava a correr bem e era o primeiro dia de um novo funcionário na Immunefi, que seguia com toda a atenção tudo aquilo que diziam. “É o teu primeiro dia neste novo ritmo de trabalho, vai correr tudo bem”, assegurou-lhe Mitchell Amador. Poucos minutos depois chega à empresa um relatório de um perito em segurança informática – tinha encontrado uma vulnerabilidade no Polygon, um dos maiores protocolos que permite ligar diferentes blockchains baseadas em Ethereum, para que comuniquem entre si. Mas esta não era uma vulnerabilidade qualquer – permitia, a quem a descobrisse, roubar 850 milhões (!) de dólares (cerca de 755 milhões de euros, ao câmbio atual).
“À medida que lemos o relatório, percebemos que todo este dinheiro podia ser roubado. Todo!”, conta Mitchel Amador, fundador e diretor executivo da Immunefi, em entrevista à Exame Informática. “Imediatamente entramos num trabalho frenético, isto é o mais elevado código de alerta que podes ter”, acrescentou.
“Todos os dias vão ser assim? Isto é incrível, podia fazer isto para sempre”, exclamou o novo funcionário enquanto via tudo a desenrolar-se diante dos seus olhos. “Este senhor, que estamos a treinar, está a divertir-se imenso e eu a stressar – ‘não, não, precisamos de salvar toda a gente, vamos tratar disto o quanto antes!’”, recorda Amador.
A história acabou com um final feliz: a Immunefi, o Polygon e o hacker que revelou a vulnerabilidade resolveram o problema, protegeram todo o dinheiro que esteve em risco e acabaram por protagonizar aquela que é uma das maiores recompensas alguma vez dadas a um ‘caçador de bugs’ – dois milhões de dólares (cerca de 1,7 milhões de euros) por uma única descoberta.
Criptomoedas, falhas informáticas, aquele que podia ter sido um dos roubos do século, recompensas de milhões… mas quem é, afinal, Mitchell Amador, o que é a Immunefi e que relação é que têm com Portugal?
A ascensão
Mitchel Amador, 29 anos, é luso-descendente. Filho de pai português e mãe canadiana, nasceu e cresceu no Canadá. “Eu era bastante pobre, não senti que tinha muitas oportunidades enquanto crescia”, confidencia. Foi já enquanto jovem adulto, em 2011, que alguns amigos lhe falaram da Bitcoin. “’Vê esta nova tecnologia incrível, todos os libertários estão a falar disso e eles são estranhos’”, recorda Mitchell sobre a forma como ouviu falar da criptomoeda pela primeira vez. “E eu disse ‘se eles são estranhos, vamos lá ver isso’, normalmente é um sinal de que há algo interessante”. Não percebeu nada do conceito da criptomoeda e da tecnologia que lhe estava subjacente, a blockchain, mas foi atraído pela promessa de como poderia criar novas oportunidades para a sociedade, através dos incentivos na participação numa rede descentralizada, que ajudaria a “mudar os padrões de sistemas sociais estratificados”, conta.
Primeiro, começou na mineração de Bitcoin. “Não tinha uma base tecnológica, estava mais interessado na dinâmica da coisa”, acrescenta. O que começou como um passatempo evoluiu para um trabalho a tempo parcial e, em 2014, passou mesmo a ser um trabalho a tempo inteiro. Arranjou emprego como gestor de comunidade na Nxt, uma plataforma de blockchain que, na época, era concorrente direta da Ethereum na criação de contratos inteligentes (smart contracts) – regras definidas na blockchain e que são executadas de forma automática assim que são cumpridos e verificados determinados critérios.
Nos anos seguintes deram-se passagens por outros projetos ligados à blockchain e às criptomoedas – na rede social Steemit, na empresa de dados de criptomoedas Sentiment, no metaverso descentralizado Decentraland e, mais tarde, na Singularity Net, enquanto mercado de modelos de aprendizagem automática.
Uma boa parte destas aventuras já aconteceram a partir de Portugal, onde está a viver há seis anos e meio, por força das circunstâncias. “O meu pai morreu e eu era o filho mais velho, havia assuntos por tratar em Portugal e toda a minha família estava destroçada nesse ponto. Só sobrava eu, decidi que vinha viver para Portugal e lidar com isto”.
Até que, em 2020, já com Mitchell Amador desiludido com o mundo das criptomoedas, pela “ganância” comercial e de investimento que este mundo acabou por ganhar, decidiu procurar um novo projeto. “Vi muitos ataques a corretoras a acontecerem, apercebi-me que as finanças descentralizadas [DeFi] estavam a começar a explodir, estava a começar a funcionar e isso é fenomenal. Mas estas coisas não têm garantias de segurança, são altamente temperamentais, a tolerância à falha é praticamente zero e as consequências para qualquer falha são muitas vezes catastróficas”, explica.
Quando decidiu aprofundar conhecimentos no assunto, percebeu que a segurança do ecossistema das finanças descentralizadas (DeFi) é “medíocre” e tem tudo para transformar-se “um inferno vivo” e com “toneladas de carnificina”. O próprio Mitchell tinha dinheiro aplicado em algumas blockchains, o que fazia-o sentir-se ainda pior relativamente a esta realidade. Juntou o interesse nas criptomoedas, o conhecimento pelas diferentes blockchains e o passado como gestor de comunidades para lançar – em conjunto com Duncan Townsend e Travin Keith – uma plataforma que juntasse quem soubesse de caça às vulnerabilidades – hackers bem intencionados [white hat hackers] – a quem estivesse desprotegido. Ou seja, um sítio no qual os melhores hackers do mundo pudessem submeter falhas de segurança encontradas em algumas das mais valiosas plataformas de blockchain do momento.
A Immunefi não é apenas mais uma plataforma tradicional de caça ao bug, como o são a HackerOne, a Cobalt ou a BugCrowd. Esta tornou-se rapidamente na maior plataforma de caça ao bug dedicada à blokchain, às aplicações descentralizadas e às criptomoedas. E isso faz toda a diferença.
O plano-mestre
A transparência (o código está disponível para todos), a descentralização (todos têm uma cópia da base de dados; não há uma única entidade que controla toda a tecnologia) e a tendência para funcionar de forma autónoma (através de funcionalidades como os smart contracts) fazem com que um serviço ou aplicação criado sobre uma blockchain seja completamente diferente de um serviço web comum que estamos habituado a usar no dia-a-dia. “ Qualquer falha pode ser aproveitada por qualquer um, todos podem vê-la, não há como escondê-la, não precisas de talentos especiais, está lá, todos estão nus durante todo o tempo, por assim dizer”, explica Mitchell Amador sobre o porquê de esta área ser diferente.
Como estas aplicações e serviços funcionam numa lógica diferente, a tipologia de vulnerabilidades que podem ser exploradas são também elas diferentes. Uma categoria de ataque específica desta área tecnológica é, por exemplo, as chamadas reentradas (reentrancies), na qual os atacantes submetem o mesmo pedido (de levantamento de fundos, por exemplo) a um smart contract, mas num volume de tentativas tão elevado que o contrato ‘avaria’ e não é capaz de perceber se aquele valor já foi levantado ou não, permitindo ao atacante tirar tanto dinheiro quanto conseguir.
Outra tipologia de ataques bastante comum é em serviços que ligam diferentes blockchain. Para que seja possível transferir um ativo de uma blockchain para outra, o serviço de ligação (bridge) bloqueia primeiro o ativo na blockchain original, faz uma cópia do mesmo e transfere-o para a nova blockchain. O que os atacantes descobriram ser possível fazer, em alguns casos, é atacar este sistema de controlo de acesso intermediário às blockchains – e foi assim, por exemplo, que aconteceu o recente roubo de 600 milhões de dólares à Poly Network.
Aliás, a particularidade de alguns destes projetos faz inclusive com que não seja possível atualizar as falhas de segurança que são encontradas. “É o que chamamos um dia stressante”, diz, com um sorriso nervoso, Mitchell Amador. O que fazer perante estes casos? A solução não é elegante, mas é eficaz: a plataforma de blockchain tem de roubar-se a si mesma por forma a transferir os fundos, e devolvê-los manualmente aos utilizadores. “E já fizemos isto algumas vezes. É um dia muito stressante e longo”, confidencia.
Depois existe um claro desfasamento no mercado – apesar de haver centenas de milhares de milhões de euros investidos em diferentes plataformas de blockchain, a Immunefi estima que o número de profissionais de segurança informática dedicados a esta área seja de poucos milhares em todo o mundo. E é aqui que entra a startup e os seus programas de caça ao bug, como explica o luso-descendente em inglês, já que o português está pouco treinado. “A Immunefi executa essa função específica de garantir olhos de alta qualidade no código [das blockchains]”.
A recompensa
Apesar de ter surgido apenas em 2020, os números que o fundador da empresa partilha são já de respeito: 200 empresas-cliente e mais de cinco mil hackers especializados em blockchain registados na plataforma; 8,5 milhões de dólares pagos em recompensas aos ‘caçadores de bugs’; mais de dois mil milhões de dólares ‘poupados’ aos clientes e que podiam ter sido roubados, caso as vulnerabilidades comunicadas à Immunefi não tivessem sido resolvidas; 200 vulnerabilidades, muitas das quais classificadas como críticas, reportadas à empresa. O que faz de Mitchell Amador mais do que um simples empreendedor – é uma espécie de barão dos hackers das criptomoedas.
“O nosso trabalho não é caçar os bugs, mas eliminar todos os problemas nessa transação. Eliminamos o comportamento conflituoso, eliminamos a falta de incentivo, a falta de uma recompensa clara, eliminamos a incerteza ao tornar tudo muito estruturado e direto, e eliminamos o potencial de mau comportamento ao colocarmos a nossa reputação em risco”, explica.
Se um hacker descobrir uma vulnerabilidade numa blockchain, só tem de seguir o formulário detalhado que existe no site da Immunefi. Assim que recebe o relatório, a empresa avalia-o para perceber o que pode estar em causa e qual a gravidade da situação. Se for sério, a equipa da Immunefi contacta a organização por trás da plataforma vulnerável por diferentes canais de comunicação – há inclusive uma lista telefónica com os contactos dos CEO das principais empresas de blockchain para as situações de verdadeira emergência.
Segundo Mitchell Amador, se a situação correr bem, a maioria dos problemas fica sanada em 20 minutos. Se o caso for grave, então é preciso criar uma sala de guerra. O termo aqui é meramente institucional, já que a Immunefi não tem escritórios, muito menos salas, estando os seus 36 trabalhadores em modelo de trabalho remoto. Mas quando as salas de guerra são criadas, por videoconferência, marcam presença a Immunefi, o ou os hackers autores da descoberta e a equipa destacada pela organização afetada pelo problema. Depois começa um ‘entra e sai’ da reunião, com todos a reunirem-se a cada 30 minutos para reportarem o que descobriram.
“Eles primeiro precisam de perceber o que aconteceu, se ainda há mais vulnerabilidades. A seguir precisam de perceber para onde foi o dinheiro. Aí precisam de perceber se conseguem recuperá-lo e depois como vão dizê-lo à comunidade para não serem comidos vivos”, detalha. Nos casos mais graves, as salas de guerra podem durar entre 24 a 36 horas até que o caso esteja resolvido.
A Immunefi ajuda, de antemão, as empresas a criarem os seus programas de caça ao bug e a tipologia de respostas que devem ter preparadas caso venha a ser encontrada uma vulnerabilidade. Mas há uma regra de ouro para a startup, que por motivos de legislação mais “amigável”, segundo o próprio CEO, está sediada em Singapura: nas falhas mais graves, a organização paga sempre 10% do valor total do dinheiro que estava em risco ao hacker. A Immunefi fica, por seu lado, com 10% dos pagamentos feitos aos especialistas em segurança informática.
“Só somos pagos quando os nossos white hats são pagos. E mais do que isso, só somos pagos uma quantia significativa de dinheiro quando os nossos white hats recebem uma quantia significativa de dinheiro. Uma abordagem pouco habitual. Não temos um modelo de subscrição, não cobramos aos nossos clientes para estarem na plataforma”, esclarece o jovem empreendedor.
A startup recebeu, recentemente, um investimento de 5,5 milhões de dólares para escalar o negócio e a Immunefi já ‘fechou’ acordos com empresas de blockchain que têm estipuladas recompensas que vão até aos 3,5 milhões de dólares por vulnerabilidade encontrada. Mais do que o dinheiro, Mitchell acredita que será a filosofia da Immunefi a definir o sucesso da plataforma.
“Se protegeres a comunidade e fizeres o trabalho mais valioso debaixo da maior das tentações, então deves receber uma recompensa correspondente”.
Comentários
Enviar um comentário