Iniciativas Anti Scam de Polkadot

Como a comunidade está trabalhando para tornar o ecossistema Polkadot seguro

No último ano e meio, um grupo de pessoas trabalhou silenciosamente nos bastidores para tornar o ecossistema Polkadot mais seguro para seus usuários. Infelizmente, os scams (golpe, fraude ou esquema ilegal) são comuns em nossa atividade, na maioria dos casos, os usuários devem ser defender sozinhos.

Entretanto, essa abordagem requer conhecimento sólido das melhores práticas de segurança, que a maioria dos recém chegados e também alguns veteranos não possuem. A comunidade Polkadot se diferenciou neste quesito e assumiu uma posição ativa contra scams. Em última análise, o ônus ainda recai sobre os usuários para garantir que eles mantenham seus fundos seguros, mas ainda podem ser tomadas medidas para tornar mais difícil para os scammers (golpistas) vitimizar as pessoas.

Nesta postagem, veremos como estas iniciativas surgiram, o que elas realizaram e como a comunidade Polkadot continuará trabalhando para proteger o ecossistema de golpistas no futuro.

Como tudo começou

É fevereiro de 2021. Polkadot está funcionando há menos de seis meses, mas isso não afastou os golpistas de criar falsos sites de reivindicação de tokens DOT na Ethereum ou golpes de doação (“envie-nos X DOT e enviaremos de volta 3X ” - sim, são golpes!) O departamento jurídico da Web3 Foundation tem um grande acúmulo de solicitações de remoção contra esses sites e a situação não está melhorando.

A ameaça ao desenvolvimento da marca Polkadot é real, mas nossa preocupação vai além disso. Não queremos que Polkadot seja um ecossistema livre para todos; queremos que seja um ecossistema seguro, onde seus usuários não precisem se preocupar constantemente em cair em golpes e os golpistas devem pensar duas vezes antes de lançar suas redes.

As conversas começam entre a W3F e o pessoal da Parity sobre como abordar com a situação e dessas conversas nasce a equipe Anti-Scam, liderada pelo recém fundado departamento Anti-Scam da Fundação. Isso pode parecer trivial e realmente não foi difícil de fazer, mas, pelo que sei, foi a primeira vez que uma blockchain teve uma equipe Anti-Scam dedicada, mesmo uma que na época era bastante centralizada.

O objetivo era simples: fazer o possível para proteger os usuários e tornar Polkadot um ecossistema seguro. Simples em teoria, mas difícil de realizar, especialmente se você deseja permanecer fiel ao ethos da Web 3.0 e fazê-lo de forma descentralizada e on-chain, como fazemos.

Um ano e meio depois, houve muito progresso em todas as frentes, inclusive descentralizando as ações, mas ainda há muito a ser feito. Continue lendo para saber mais sobre as medidas que tomamos, o status atual das atividades e o que vislumbramos para o futuro.

Primeiros passos

Descentralizar os esforços anti-scam e colocá-los on-chain não é uma tarefa fácil, principalmente porque a maioria dos golpes ocorre na Web 2.0. O caminho é possível e está mais claro agora, mas os golpistas não esperariam que resolvêssemos tudo, e os usuários seriam vítimas nesse meio tempo. Então, começamos com coisas que poderíamos fazer imediatamente, enquanto trabalhávamos em direção aos nossos objetivos mais amplos.

Os golpes utilizando criptomoedas assumem muitas formas, como golpes de sorteios, ladrões de seed, falsos agentes de suporte e grupos nas mídias sociais, e os golpistas sempre encontram novas maneiras de enganar suas vítimas. Requer vigilância, e é por isso que elaboramos este guia sobre como se proteger contra eles.

Para reduzir rapidamente a proliferação desses golpes, a Web3 Foundation fez parceria com a PhishFort, uma empresa anti-phishing especializada na indústria de cripto, para detectar e derrubar sites falsos e instâncias de mídia social. Após um ano de colaboração, a Web3 Foundation mudou para outra grande empresa do setor, a Allure Security.

Até mesmo este foi um grande passo na direção certa. Até então, a única maneira de descobrir um golpe era se alguém o visse e denunciasse, seja um colaborador ou um usuário e, neste último caso, muitas vezes apenas depois de cair nele. Mas ao trabalhar com uma empresa anti-phishing como a PhishFort e, mais tarde, com uma empresa de proteção de marca online como a Allure Security, começamos a lutar contra os golpistas.

Com essa primeira linha de defesa estabelecida, voltamos nosso foco para como enfrentar golpes em áreas que geralmente não são protegidas por empresas anti-phishing, como Telegram ou Discord, em como ser mais proativo do que reativo, mas, mais importante, em como descentralizar nossos esforços e, eventualmente, trazê-los on-chain.

A solução veio da comunidade. Na época, havia alguns membros da comunidade que estavam bastante envolvidos no combate a golpes em suas várias formas e isso deixava claro o caminho a seguir: reuniríamos estes indivíduos preocupados com a segurança e os premiaríamos de maneira consistente por proteger a comunidade. Em outras palavras, a comunidade se protegeria.

Duas iniciativas foram criadas: uma em que os membros da comunidade encontrariam e derrubariam sites fraudulentos e outra em que fariam o mesmo para os grupos fraudulentos do Telegram. Estes foram os precursores do Anti-Scam Bounty (mais sobre isso adiante).

A primeira iniciativa foi um sucesso absoluto. De setembro de 2021, quando esse experimento começou, até o final de fevereiro de 2022, quando foi substituído pelo Anti-Scam Bounty, os participantes da iniciativa encontraram 1.661 sites fraudulentos direcionados aos usuários de Polkadot e derrubaram mais de 95% deles.

Sua contraparte no Telegram não teve tanto sucesso, infelizmente. Não porque os participantes não estivessem tão envolvidos ou tão capazes, mas porque o Telegram é famoso por sua inação contra golpes e seus relatórios e esforços geralmente foram em vão. Como resultado, esta iniciativa foi abandonada e estamos procurando uma forma mais inovadora de resolver o problema.

Mas essas iniciativas tiveram outro grande efeito: elas mudaram os processos de tomada de decisão da Web3 Foundation e da Parity para a comunidade. A equipe Anti-Scam estava se descentralizando!

O Anti-Scam Bounty

A ideia de que deveríamos recompensar os participantes das iniciativas anti-scam com recompensas estava presente desde o início. Mas o palete de recompensas não estava. As recompensas permitem que uma parte do tesouro seja destinada a uma tarefa específica. É controlado pelos curadores da recompensa, pessoas físicas ou jurídicas com expertise na área, a serem dispersos de acordo com a finalidade da recompensa. Child bounties expandem essa funcionalidade e permitem que a recompensa seja aberta e premie os fundos alocados em partes menores para diferentes tarefas ou marcos concluídos.

Assim, inicialmente recompensamos os esforços dos participantes com gorjetas (tips). Quando o palete child bounties finalmente chegou ao runtime de Polkadot, o Anti-Scam Bounty foi criado e foi o primeiro prêmio a fazer uso desse palete. Na verdade, até recentemente, todas as child bounties abertas em Polkadot eram do Anti-Scam Bounty.

Nos meses entre o lançamento da iniciativa e sua substituição pela recompensa, muitos feedbacks positivos foram fornecidos pelos participantes. Por um lado, nossos esforços não devem se concentrar apenas em derrubar sites fraudulentos. Embora este seja o nosso principal esforço, os participantes apresentaram ideias para utilizar todas as ferramentas à nossa disposição e expandir as atividades anti-scam para outras áreas. Como tal, quando o Anti-Scam Bounty foi criado, incorporou todas essas ideias como Tarefas que a comunidade poderia realizar para ajudar a tornar nosso ecossistema mais seguro.

Estes são descritos em detalhes na proposta do Anti-Scam Bounty, mas para fornecer uma visão geral de alto nível, a recompensa incentiva a comunidade a detectar e derrubar sites fraudulentos (Tarefa 1), juntamente com outros tipos de golpes, como perfis falsos de mídia social e aplicativos de phishing (Tarefa 5), para criar material educacional para usuários (Tarefa 7), para trazer carteiras, trocas e empresas de antivírus ao integrar nosso repositório de phishing (Tarefa 6), para proteger nossos servidores Discord de ataques (Tarefa 4) e criar um Painel Anti-Scam para atuar como o hub central para todas as atividades anti-scam em nosso ecossistema (Tarefa 3).

Uma visão geral destas tarefas, com seu status atual de implementação e links para suas descrições e regras específicas, pode ser encontrada nesta planilha.

Cada tarefa é selecionada por um membro da comunidade, cujo papel é trabalhar com os implementadores para garantir que a tarefa seja bem sucedida, apresentar ideias para melhorá-la e impulsioná-la para atingir todo o seu potencial. E eles também são recompensados por seus esforços.

A recompensa é gerenciada pelos curadores gerais, que atualmente consistem em três membros da comunidade e duas pessoas do departamento W3F Anti-Scam como backups. Mas o objetivo é que a recompensa, como todas as atividades anti-scam, seja gerenciada exclusivamente pela comunidade e todos os curadores gerais sejam membros da comunidade.

E se você está se perguntando se vale a pena o tempo que os implementadores e curadores dedicaram, a recompensa distribuiu mais de 16.000 DOT em recompensas até o momento, com a detecção e remoção de sites fraudulentos (Tarefa 1) obtendo a maior parte.

Em junho, alteramos a denominação das recompensas de DOT para USD para manter os participantes incentivados e permitir uma melhor programação financeira. Como resultado, as recompensas em DOT aumentaram significativamente.

Mas será que já conseguimos alguma coisa?

Uma métrica de sucesso clara para tal iniciativa seria quantas pessoas protegemos. Mas obviamente algo assim é impossível de medir. Só podemos fazer deduções e suposições com base em outras métricas, como quantos sites foram desativados, quantas vítimas de golpe contataram o suporte e quanto DOT foi enviado para endereços fraudulentos conhecidos.

Então, vamos ver o que conseguimos até agora.

Desde que a recompensa começou em março de 2022 e até o final de outubro de 2022, um total de 5.524 sites foram registrados, com a grande maioria deles sendo retirados no mesmo mês ou nos meses subsequentes. Isto representa um aumento de 270% em relação à iniciativa anterior, se compararmos a média de envios mensais, reforçando a conclusão de que foi uma primeira tentativa bem sucedida da iniciativa, levando a uma tarefa de recompensa ainda mais bem-sucedida.

Na verdade, depois de estabelecer o programa de recompensas como uma comunidade e testemunhar sua eficácia, agora contamos apenas com eles para encontrar e responder a sites fraudulentos. A Web3 Foundation continua fazendo parceria com a Allure Security para encontrar e eliminar contas de mídia social enganosas e aplicativos nocivos direcionados aos membros da comunidade. No futuro, o objetivo é confiar todos os aspectos da proteção contra golpes online exclusivamente à comunidade. E qualquer empresa do ramo que queira se juntar ao programa de recompensas e contribuir com sua expertise, é bem-vinda.

A esmagadora maioria dos sites que os implementadores enviam são ladrões genéricos de seeds, enquanto apenas uma pequena porcentagem tem como alvo específico Polkadot. Uma condição para que estes ladrões de seeds sejam elegíveis para a recompensa é atingir os usuários de Polkadot ou Kusama de alguma forma. Isso geralmente significa que eles incluem Polkadot ou uma carteira específica do ecossistema (como Polkadot-JS) entre as cadeias/carteiras “compatíveis”. Mas, ao derrubá-las, os implementadores não protegem apenas nossa comunidade, eles também protegem os usuários de todas as outras cadeias, carteiras e dApps “anunciados” nestes sites.

Estas são palavras chave dentro do próprio nome de domínio. Os ladrões de seeds geralmente estão hospedados em domínios com nomes de domínio menos relevantes (ou mesmo completamente irrelevantes), mas ainda assim são encontrados e retirados.

Para levar as coisas um passo adiante, os membros da comunidade também adicionam à lista de sites fraudulentos em nosso repositório de phishing todos os domínios que encontram durante suas pesquisas, mesmo que não tenham como alvo Polkadot e, portanto, não sejam elegíveis para recompensa.

Como resultado, a lista de bloqueio cresceu de algumas centenas de sites quando nossos esforços anti-scam começaram em abril de 2021 para quase 14.000 entradas até o final de outubro de 2022! E o impacto desta iniciativa desde o seu início em setembro de 2021 é bastante evidente.

Esse incrível crescimento, além de atestar o sucesso da iniciativa, também mostra que mais de 50% das entradas na lista de sites fraudulentos não são relacionadas à Polkadot. No entanto, os implementadores e outros membros da comunidade os adicionam porque queremos que todos se beneficiem de nossos esforços e convidamos qualquer projeto do setor que forneça recursos de navegação segura para seus usuários a integrar nossa lista de bloqueio a seus serviços. Estamos juntos nessa!

Da comunidade Polkadot com ❤️

Mas antes de prosseguir, já mencionamos o repositório de phishing algumas vezes e você pode se perguntar o que é exatamente. O repositório de phishing é um repositório do Github, de código aberto e curado pela comunidade, que contém sites fraudulentos e endereços associados a golpes. A extensão Polkadot impedirá que os usuários visitem sites no repositório e a Polkadot-JS UI avisará os usuários que tentarem enviar fundos para um desses endereços fraudulentos conhecidos. Mas como esse repositório é de código aberto, qualquer aplicativo ou extensão que ofereça funcionalidade semelhante pode integrar essas listas. É isso que a Tarefa 6 do bounty está tentando realizar e convidamos qualquer projeto interessado a entrar em contato conosco e fazer isso acontecer!

Agora, desses endereços fraudulentos no repositório, cerca de 1/3 não receberam nenhum DOT, enquanto quase 92% receberam no geral até 3.000 DOT. A grande maioria das contas que receberam mais do que isto o fizeram antes do início de nossos esforços anti-scam e as duas principais contas que receberam cerca de 13.000 e 16.000 DOT estão ligadas (o que significa que o 13.000 está incluídos nos 16.000), assim como algumas outras.

O montante total perdido não é pequeno de forma alguma (cerca de 125.000 DOT), mas é encorajador que a maior parte tenha sido perdida antes de nossos esforços começarem e, desde então, vimos uma redução nos ganhos dos golpistas.

Mas e o efeito sobre os usuários? Solicitações relacionadas a golpes em geral e relatórios de vítimas de golpes tendem a se correlacionar com as condições do mercado, portanto, conclusões seguras não podem ser alcançadas, mas o baixo volume nos últimos meses é encorajador. E certamente há mais vítimas por aí que nunca nos contataram. Se você é uma delas, confira este artigo e entre em contato com nosso suporte.

A recompensa não é apenas derrubar sites fraudulentos. Como mencionado anteriormente, o objetivo é abordar o problema de todos os ângulos. Os implementadores e curadores trabalham febrilmente em todas as outras tarefas também, e os resultados estão começando a aparecer.

Um banco de dados de contatos para 47 registradores de DNS e provedores de hospedagem já está em vigor, como parte da Tarefa 2, para que os implementadores da Tarefa 1 possam contactá-los com eficiência e derrubar sites fraudulentos rapidamente. Há também um tutorial detalhado para ajudar os novos implementadores a serem eficazes na remoção de sites fraudulentos.

As ferramentas para proteger nossa comunidade no Discord de golpistas e ataques de bot já estão em vigor ou estão sendo testadas, enquanto os esforços para derrubar golpes nas mídias sociais e aplicativos de phishing começaram em outubro de 2022. 42 perfis ou grupos de golpes foram detectados até agora e 10 deles foram derrubados.

E o primeiro material para educar nossa comunidade sobre como se proteger já está publicado. Um vídeo curto e divertido, infográficos, um artigo e um quiz para testar os novos conhecimentos sobre frases mnemônicas e chaves privadas estão à disposição da comunidade, e mais estão por vir.

Quanto à descentralização de nossos esforços, em junho de 2022 a Polkadot Anti-Scam Team foi fundada para atuar como o “corpo governante” de todos os esforços anti-scam, transferindo oficialmente o controle da Web3 Foundation e da Parity para a comunidade. É composto por cinco membros da comunidade, dois da Web3 Foundation e um conselheiro de Polkadot como membro associado. Possui um “capitão” de equipe escolhido entre os membros da comunidade em rodízio, cuja função é organizar a equipe.

Outras iniciativas

O Anti-Scam Bounty é obviamente o foco principal de nossos esforços, mas não é o único. Também fazemos o possível para ajudar as vítimas que foram prejudicadas por golpes ou hacks.

Desde o primeiro dia, a Web3 Foundation se juntou à Crypto Defenders Alliance (CDA), um consórcio de corretoras e carteiras que trabalham juntas para evitar a lavagem de fundos roubados. Sempre que uma vítima de golpe ou hack entra em contato com nosso suporte, ou encontramos um golpe , reportamos todos os endereços associados para a CDA, para serem adicionados na lista de bloqueio, na esperança de que, se esses fundos entrarem no caminho para uma corretora que os tenha marcado, a corretora irá congelá-los e nos avisar.

A equipe de suporte da Web3 Foundation também pode fornecer conselhos e ajudar as vítimas a proteger quaisquer fundos que ainda não tenham sido roubados. Por exemplo, desenvolvemos métodos para ajudar os usuários com DOT vinculado em uma conta comprometida a desvinculá-lo com segurança e movê-los para uma conta segura. Desde que criamos estes métodos, ajudamos com sucesso quatro pessoas nessa situação e economizamos cerca de 13.000 DOT. Nesses casos, os usuários geralmente já haviam perdido outros tokens, às vezes muito mais valiosos do que o DOT vinculado. Mas apenas a ação de ajudá-los em sua hora de necessidade, trabalhando com eles por semanas e, finalmente, salvando seu DOT, foi inestimável por si só para ambos os lados.

Por fim, há uma colaboração nos trabalhos que proporcionará às vítimas uma experiência de suporte dedicada, de ponta a ponta e um melhor recurso no caso de serem afetadas por um golpe. Fique ligado!

O que o futuro guarda?

Como mencionado várias vezes neste artigo, nossos esforços estão longe de serem concluídos e ainda temos um longo caminho a percorrer para alcançar todos os nossos objetivos.

Nosso foco imediato é concluir todas as tarefas no Anti-Scam Bounty e garantir que todas sejam tão bem sucedidas e úteis quanto a Tarefa 1. Criar o painel Anti-Scam para fornecer melhores ferramentas para o bounty e um hub para a comunidade se manter atualizada em todas as coisas anti-scam, é de especial importância.

Além disso, a Polkadot Alliance está chegando. Será o primeiro coletivo on-chain construído no novo sistema de parachains coletivas. Seus membros fundadores serão eleitos pela comunidade e novos membros podem se inscrever ou ser convidados a ingressar. A Polkadot Alliance fornece uma estrutura on-chain para aumentar a reputação das equipes no ecossistema que capacitam outras pessoas e contribuem para o ecossistema em alinhamento com a cultura de código aberto. O objetivo da equipe Anti-Scam é ingressar na Alliance como um Fellow (colega), porque sentimos que nossos objetivos na criação de um ecossistema mais seguro estão alinhados e podemos fornecer assistência e experiência úteis para chegar lá.

Outra meta importante, talvez a mais importante, é aumentar nossos esforços educacionais para alcançar mais pessoas dentro e fora de nosso ecossistema de maneiras novas e inovadoras. Este é um grande empreendimento que provavelmente nunca cessará, mas é a maneira mais eficaz de segurança a longo prazo para nossa comunidade. A educação é a “bala de prata”, porque se todos os usuários souberem se proteger e evitar armadilhas, todas as outras iniciativas se tornam obsoletas e todos podemos ir para casa, inclusive os golpistas.

Junto com isso, vamos expandir nossos esforços para proteger não apenas Polkadot e Kusama, mas parachains e outros projetos em nosso ecossistema mais amplo. O passo mais imediato que podemos dar nessa direção é expandir a cobertura de tarefas relevantes de recompensas para incluir parachains e outros projetos populares. Mas com ferramentas novas e empolgantes sendo construídas todos os dias em nosso ecossistema, poderíamos fazer muito, muito mais.

Claro, a descentralização de nossos esforços também continuará inabalável. O primeiro passo é fazer com que todos os curadores e membros da equipe Anti-Scam sejam da comunidade, com a Web3 Foundation servindo apenas como consultor. Ao mesmo tempo, queremos definir com mais clareza o escopo e a estrutura da equipe, bem como os processos de ingresso e ascensão. O objetivo final da descentralização é trazer a equipe on-chain na forma de um Coletivo.

Por fim, queremos explorar a movimentação do processo de envio para o bounty on-chain, potencialmente fazendo uso de armazenamento descentralizado e NFTs ou observações on-chain como uma ferramenta para prova de envio. E a partir daí, quem sabe. Com o Substrate sendo tão personalizável e Polkadot oferecendo muitas ferramentas para usar, provavelmente estamos limitados apenas pela nossa imaginação.

Como contribuir

O simples ato de denunciar um golpe quando você o encontra é uma grande contribuição por si só. Pode não parecer muito, mas você pode evitar que alguém perca as economias de uma vida inteira.

Reportando para o nosso endereço de e-mail dedicado ([email protected]) é a melhor maneira, mas se você for um membro do nosso grupo no Discord, também pode usar o canal #scam-check, dedicado a isto. Ou você pode fazer um PR (Pull Request) diretamente em nosso repositório de phishing.

Mas se você gostou do que leu e quer se envolver nos esforços anti-scam, poste no canal #scam-check ou envie-nos um e-mail, e um membro da equipe Anti-Scam entrará em contato com você. Atualmente, apenas os Embaixadores de Polkadot e membros geralmente ativos de nossa comunidade são elegíveis para participar, mas exceções podem ser feitas para indivíduos entusiasmados que têm problemas com golpistas.

E se você faz parte de um projeto em nosso ecossistema mais amplo e tudo isso parece interessante, entre em contato. Como mencionado acima, queremos transformar nossas iniciativas em um guarda chuva protetor sobre todo o ecossistema, então vamos trabalhar juntos.

Finalmente, se você é um golpista e está lendo isso, provavelmente já percebeu que as coisas não serão fáceis no ecossistema Polkadot. Então, faça as malas e siga em frente. Ou melhor ainda, encontre um emprego e pare de tentar roubar as pessoas!