Enquanto esperava com o resto do mundo pela aprovação do primeiro ETF de Bitcoin , uma coisa estava me atormentando: com um punhado de exceções, incluindo Fidelity e VanEck, quase todos os candidatos a um ETF de Bitcoin à vista pretendem usar a Coinbase como seu guardião.
David Schwed é diretor de operações da Halborn .
Como líder de segurança cibernética focado em blockchains, essa concentração de risco, juntamente com a natureza inerentemente de alto risco da custódia de criptografia e a natureza ainda em evolução das melhores práticas de segurança, me fazem pensar.
Não é a própria Coinbase que me preocupa aqui. A empresa nunca foi atingida por um hack conhecido, o que explica por que tantas instituições tradicionais confiam no seu know-how. No entanto, não existe um alvo inviolável – tudo e qualquer pessoa pode ser comprometida, desde que haja tempo e recursos suficientes, o que é uma lição que aprendi ao longo de uma carreira na intersecção entre segurança cibernética e gestão de ativos.
O que me preocupa é a extrema concentração de ativos num único custodiante. E dada a natureza semelhante a dinheiro dos ativos criptográficos, isso torna a situação inerentemente preocupante.
Veja também: Show de palhaços Bitcoin ETF de Gary Gensler
Talvez seja hora de repensar a designação de “custodiante qualificado”, uma aprovação regulatória que, em sua forma atual, T garante necessariamente que ativos arriscados baseados em blockchain sejam necessariamente (ou melhor) protegidos. Além disso, idealmente, os custodiantes de ativos digitais deveriam estar sujeitos a mais supervisão por parte de reguladores mais bem treinados, sob padrões estaduais e federais mais rigorosos, do que estão atualmente.
A maioria dos custodiantes qualificados hoje protegem ações, títulos ou saldos fiduciários rastreados digitalmente, todos eles acordos fundamentalmente legais, que T podem ser simplesmente “roubados”. Mas o Bitcoin (BTC), assim como o dinheiro e o ouro, é conhecido como instrumento ao portador. Um hack de criptografia bem-sucedido é como um assalto a banco no Velho Oeste: assim que chega às mãos de um ladrão, o dinheiro simplesmente desaparece.
Portanto, para um custodiante de criptografia, basta um erro para que os ativos desapareçam completamente.
Também sabemos que as forças do criptocrime global são formidáveis e determinadas. Para citar apenas um exemplo notório, acredita-se que o grupo de hackers do Grupo Lazarus da Coreia do Norte tenha roubado US$ 3 bilhões em criptomoedas nos últimos seis anos e não mostra sinais de parar. Os fluxos para um ETF de Bitcoin foram projetados em algo acima de US$ 6 bilhões na primeira semana de negociação – tornando esses fundos um alvo principal.
Se a Coinbase acabar com dezenas de bilhões em Bitcoin em seus cofres digitais, a Coreia do Norte poderá facilmente organizar uma operação de US$ 50 milhões para roubar esses fundos, mesmo que demore vários anos. Atores de ameaças como o grupo Cozy Bear/APT29 da Rússia também podem achar que ir atrás da criptografia institucional é cada vez mais atraente à medida que esses pools ficam maiores – potencialmente muito, muito maiores.
Este é o nível de ameaça para o qual os grandes bancos se preparam. Um modelo generalizado de gestão de risco para instituições financeiras utiliza três níveis de supervisão . Primeiro, a camada de gestão empresarial projeta e implementa práticas de segurança; segundo, a camada de risco supervisiona e avalia essas práticas; e terceiro, a camada de auditoria garante que as práticas de mitigação de riscos sejam realmente eficazes.
Além disso, uma instituição financeira legada terá auditores externos e supervisão externa de TI, bem como numerosos reguladores estaduais e federais olhando por cima dos seus ombros. Muitos, muitos olhos examinarão todos os aspectos do risco e da segurança.
Mas esses múltiplos níveis de redundância e proteção contra falhas de aninhamento exigem uma coisa aparentemente simples: número de funcionários.
Durante o meu período como chefe global de tecnologia de ativos digitais no BNY Mellon, o banco de investimento tinha cerca de 50.000 funcionários, dos quais cerca de 1.000 – ou 2% – ocupavam cargos de segurança. A Coinbase, mesmo após a recente expansão, tem menos de 5.000 funcionários. A BitGo, também custodiante qualificada e certificada pelo Estado de Nova York e outras jurisdições, possui apenas algumas centenas.
Isto não visa impugnar as intenções ou habilidades de qualquer uma dessas organizações ou de seus funcionários. Mas a verdadeira supervisão exige redundância que estas novas instituições poderão ter dificuldade em fornecer a um nível apropriado para garantir dezenas de milhares de milhões de dólares em instrumentos ao portador.
Veja também: ETFs Bitcoin : The Bull Case
Antes que esses números fiquem ainda maiores (e mais atraentes para os bandidos), já passou da hora de refinar os padrões de segurança cibernética para a designação de custodiantes qualificados. No momento, a designação acompanha o licenciamento bancário ou fiduciário, supervisionado por reguladores estaduais e federais. Estes são reguladores financeiros amplamente focados nos bancos tradicionais, não em especialistas em segurança cibernética, e certamente não em especialistas em criptografia. Compreensivelmente, concentram-se em balanços, processos jurídicos e outras operações financeiras.
Mas para os custodiantes de criptomoedas, esses T são os únicos tipos de supervisão que importam, nem mesmo os mais importantes. Não existem padrões em todo o setor para práticas de segurança cibernética e gerenciamento de riscos especificamente por parte dos custodiantes de criptomoedas, o que significa que o status de “custodiante qualificado”T é tão tranquilizador quanto pode parecer. Isso expõe não apenas os investidores, mas todo um sector emergente a riscos opacos com consequências potencialmente terríveis.
A aprovação de uma série de ETFs de Bitcoin é apenas o passo mais recente na integração contínua de ativos digitais no sistema financeiro. Você T precisa confiar nessa previsão em partidários da criptografia – basta perguntar a Blackrock, um gigante legado que defendeu o ETF. À medida que estes desenvolvimentos continuam, os reguladores verdadeiramente interessados na proteção dos investidores concentrar-se-ão na adaptação a este novo mundo: um ONE em que normas rigorosas de cibersegurança são tão importantes para a estabilidade financeira como as divulgações honestas e as auditorias financeiras.