Este profissional de segurança cibernética é pago para hackear o Ethereum – para o bem da rede

Um dia típico para David Theodore, pesquisador de segurança da Ethereum Foundation, geralmente começa com ele verificando se houve alguma falha no Ethereum, o maior blockchain de contratos inteligentes do mundo.

Depois disso, ele e seus colegas começaram a tentar quebrá-lo eles mesmos.

“Nosso objetivo é quebrar as coisas, espero, antes que alguém as quebre, para que não haja mais nada para quebrar”, disse Theodore ao CoinDesk em uma entrevista.

Este artigo foi destaque na última edição daO Protocolo, nosso boletim semanal que explora a tecnologia por trás das Cripto, um bloco de cada vez. Inscreva-se aquipara recebê-lo em sua caixa de entrada toda quarta-feira.

Theodore, 33, é um dos cerca de 10 engenheiros de computação e profissionais de segurança cibernética na equipe de pesquisa de segurança da Ethereum Foundation, com base em uma apresentação de slides de junho. Eles se apresentam como os principais mantenedores – e guardiões – da rede de rápido crescimento, vista por alguns especialistas em blockchain como a fundação de um futuro sistema financeiro global, digital e descentralizado.

A Ethereum Foundation, criada pelo famoso fundador do blockchain, Vitalik Buterin, e criada para dar suporte ao desenvolvimento da rede, ostenta uma força de trabalho de aproximadamente 150 pessoas, de acordo com a apresentação de slides. A maior parte do foco está em atualizações constantes de programação, iniciativas de crescimento, patrocínio de conferências de desenvolvedores e fornecimento de subsídios.

Então, esse esquadrão de pesquisadores de segurança representa apenas uma fatia das operações gerais da fundação. Mas em uma indústria de Cripto renomada por lançar novos protocolos e aplicativos que depois se mostram vulneráveis ​​a explorações caras, o papel da equipe não poderia ser mais crucial: os hackers estão sempre procurando por novos pontos de ataque, e um único deslize pode resultar em um golpe devastador para a reputação de um blockchain como um lugar seguro para transações.

"Sempre fuzzing"

Os membros da equipe vêm de uma ampla gama de origens e especializações – muitos deles com diplomas em ciência da computação, mas com experiência em responder a explorações, atacar sistemas distribuídos e aplicar criptografia.

Uma das técnicas que a equipe de segurança implementa para proteger o blockchain é “penugem”, um termo emprestado da indústria de desenvolvimento de software que se tornou uma forma comum de verificar se um sistema é seguro e resiliente.

Traduzido para o contexto de trabalho no Ethereum, os membros da equipe de segurança alimentam entradas inválidas em nós de rede para revelar bugs ou vulnerabilidades no software. O objetivo do fuzzing é ver se há alguma reação negativa ao sistema.

“Estamos sempre fuzzing. Temos grandes supercomputadores fuzzing o tempo todo”, disse Theodore ao CoinDesk. “Eles estão fuzzing tudo, enquanto você trabalha, enquanto você dorme.”

A vida de um pesquisador de segurança Ethereum

No Cripto 24/7, um dia na vida de Theodore sempre LOOKS um BIT diferente.

“Se você vir pânicos ou erros de qualquer tipo, qualquer coisa que LOOKS haver falhas”, ele diz, “você vai olhar para eles e diz: 'Isso é um problema por causa do meu fuzzer ou é um problema que um invasor pode causar?'”

Morando em Austin, Texas, Theodore às vezes leva seu escritório para a estrada – em um veículo recreativo Airstream com um escritório dedicado que lhe permite KEEP trabalhando mesmo quando estacionado em locais remotos.

O escritório portátil acomoda dois monitores grandes e se conecta ao mundo exterior por meio do serviço de internet via satélite Starlink de ELON Musk. O espaço é grande o suficiente para duas pessoas e um cachorro habitarem confortavelmente, diz Theodore.

No final de 2022, o Airstream serviu como sua base, estacionado em Granby, Colorado, à sombra do Parque Nacional das Montanhas Rochosas, enquanto os desenvolvedores do Ethereum avançavam em direção a um marco conhecido como “Mesclar” – quando o projeto fez a transição para um ambiente mais eficiente em termos de energia “prova de participação“rede do”prova de trabalho” sistema usado pelo Bitcoin, o blockchain original.

“Ficamos lá por um mês antes do Merge”, Theodore lembrou. Era um local conveniente, já que ele poderia facilmente viajar para Boulder, Colorado, para se encontrar com outros membros da equipe da Ethereum Foundation para testemunhar o evento histórico.

Theodore estudou engenharia elétrica na Universidade do Texas em Arlington, mas após a graduação, mudou para uma carreira em segurança cibernética. Ele passou a primeira parte de sua carreira na unidade de segurança cibernética ofensiva na Raytheon, antes de eventualmente se mudar para a empresa de análise forense de dados SkySafe e depois para a gigante de tecnologia Google em 2020.

Ele se juntou à Ethereum Foundation em 2021 após saber que a organização estava formando uma equipe de segurança. Inicialmente, sua função era pesquisar como proteger o blockchain durante a transição para proof-of-stake.

Desde então, o trabalho evoluiu para uma missão mais ampla de manutenção da integridade da rede.

“Eles queriam formar uma equipe especializada nesse tipo de coisa, os detalhes de como os estados-nação financiam essas operações cibernéticas e como elas as realizam”, disse Theodore à CoinDesk. A fundação recrutou membros que pudessem “aplicar essa metodologia aqui e ficar um passo à frente e tentar tornar o Ethereum robusto”.

Em junho, Theodore fez uma apresentação sobre a equipe de pesquisa de segurança da Ethereum Foundation para um grupo de desenvolvedores de Cripto de Austin, listando responsabilidades, incluindo "segurança geral de hardfork", "saúde do beaconchain", programas de recompensa por bugs, "coordenação de segurança do cliente" e "defesa da diversidade do cliente".

“Nossa equipe encontrou bugs em todos os clientes CL e EL e mais”, de acordo com um dos slides da apresentação. “CL” significa camada de consenso do Ethereum, onde os validadores do blockchain são hospedados e verificados, e “EL” significa camada de execução do blockchain, onde as transações são concluídas e o estado do blockchain é registrado e gerenciado.

Seu trabalho é pouco tradicional em comparação com outros funcionários de segurança cibernética, ele diz – em parte porque a organização adere a uma estrutura de gestão mais horizontal e também porque o trabalho pode ser feito de praticamente qualquer lugar.

O Ethereum, conhecido por seus “contratos inteligentes” que permitem a programabilidade e a hospedagem de aplicativos descentralizados, expandiu-se rapidamente, especialmente agora que serve como um centro de confirmação e liquidação – a “camada 1” ou “L1” – para uma série de blockchains de “camada 2” que funcionam sobre ele, como ARBITRUM, Optimism e o novo blockchain Base da exchange de Cripto Coinbase.

E à medida que mais valor é acumulado na rede, Theodore acredita que o mandato de segurança da equipe crescerá em importância.

A capitalização total de mercado dos tokens nativos de ether (ETH) do Ethereum está atualmente em cerca de US$ 212 bilhões.

“Acho que somos críticos”, Theodore compartilhou. “O máximo que é sinônimo de segurança, se você está falando sobre espaço de bloco, é o Ethereum L1.”