A maior ameaça de ETF de Bitcoin sobre a qual ONE está falando

Enquanto eu esperava, junto com o resto do mundo, pela aprovação do primeiro ETF de Bitcoin , uma coisa estava me incomodando: com algumas exceções, incluindo Fidelity e VanEck, quase todos os solicitantes de um ETF de Bitcoin à vista pretendem usar a Coinbase como sua custodiante.

David Schwed é diretor de operações da Filhote de meio-fio.

Como líder em segurança cibernética focado em blockchains, essa concentração de risco, juntamente com a natureza inerentemente de alto risco da custódia de Cripto e a natureza ainda em evolução das melhores práticas de segurança, me fazem refletir.

Não é a Coinbase em si que me preocupa aqui. A empresa nunca foi atingida por um hack conhecido, o que explica por que tantas instituições tradicionais confiam em seu know-how. No entanto, não existe um alvo inhackável – qualquer coisa e qualquer um pode ser comprometido, dado tempo e recursos suficientes, o que é uma lição que aprendi ao longo de uma carreira na intersecção de segurança cibernética e gestão de ativos.

O que me preocupa é a extrema concentração de ativos em um único custodiante. E dada a natureza semelhante a dinheiro dos Cripto , isso torna a situação inerentemente preocupante.

Veja também:Show de palhaços do Bitcoin ETF de Gary Gensler

Pode ser hora de repensar a designação de “custódio qualificado”, uma aprovação regulatória que, em sua forma atual, T garante necessariamente que ativos arriscados baseados em blockchain sejam necessariamente (ou melhor) protegidos. Além disso, idealmente, os custodiantes de ativos digitais deveriam estar sujeitos a mais supervisão por reguladores mais bem treinados, sob padrões estaduais e federais mais rigorosos, do que estão agora.

A maioria dos custodiantes qualificados hoje protegem ações, títulos ou saldos fiduciários rastreados digitalmente, todos os quais são acordos fundamentalmente legais, que T podem ser simplesmente "roubados". Mas o Bitcoin [BTC], como dinheiro e ouro, é o que é conhecido como um instrumento ao portador. Um hack de Cripto bem-sucedido é como um assalto a banco no Velho Oeste, assim que está nas mãos de um ladrão, o dinheiro simplesmente desaparece.

Então, para um custodiante de Cripto , basta um erro para que os ativos desapareçam completamente.

Também sabemos que as forças do criptocrime global são formidáveis ​​e determinadas. Para escolher apenas um exemplo notório, acredita-se que o grupo de hackers Lazarus Group da Coreia do Norte tenha roubou US$ 3 bilhões em Cripto nos últimos seis anos, e não mostra sinais de que vai parar. Os fluxos para um ETF de Bitcoin foram projetados em algum lugar acima de US$ 6 bilhões na primeira semana de negociação — tornando esses fundos um alvo PRIME .

Se a Coinbase acabar com dezenas de bilhões em Bitcoin guardados em seus cofres digitais, a Coreia do Norte pode facilmente organizar uma operação de US$ 50 milhões para roubar esses fundos, mesmo que leve vários anos. Atores de ameaças como o grupo russo Cozy Bear/APT29 também podem achar ir atrás de Cripto institucional cada vez mais atraente à medida que esses pools ficam maiores — potencialmente muito, muito maiores.

Este é o nível de ameaça para o qual os grandes bancos se preparam. Um modelo generalizado de gestão de risco para instituições financeiras utiliza três camadas de supervisão. Primeiro, a camada de gerenciamento de negócios projeta e implementa práticas de segurança; segundo, a camada de risco supervisiona e avalia essas práticas; e terceiro, a camada de auditoria garante que as práticas de mitigação de riscos sejam realmente eficazes.

Além disso, uma instituição financeira legada terá auditores externos e supervisão externa de TI, bem como vários reguladores estaduais e federais olhando por cima dos ombros. Muitos, muitos olhos examinarão todos os aspectos de risco e segurança.

Mas esses múltiplos níveis de redundância e mecanismos de segurança de aninhamento exigem uma coisa aparentemente simples: número de funcionários.

Durante meu tempo como chefe global de Tecnologia de ativos digitais no BNY Mellon, o banco de investimento tinha cerca de 50.000 funcionários, dos quais cerca de 1.000 – ou 2% – estavam em funções de segurança. A Coinbase, mesmo após a expansão recente, tem menos de 5.000 funcionários. A BitGo, também umazelador qualificadocertificado pelo Estado de Nova York e outras jurisdições, tem apenas algumas centenas.

Isso não é para impugnar as intenções ou habilidades de nenhuma dessas organizações ou seus funcionários. Mas a supervisão real requer redundância que essas novas instituições podem ter dificuldade para fornecer em um nível apropriado para garantir dezenas de bilhões de dólares em instrumentos ao portador.

Veja também:ETFs de Bitcoin : O caso do touro

Antes que esses números fiquem ainda maiores (e mais atraentes para os bandidos), já passou da hora de refinar os padrões de segurança cibernética para a designação de custodiante qualificado. No momento, a designação acompanha o licenciamento bancário ou de confiança, supervisionado por reguladores estaduais e federais. Esses são reguladores financeiros amplamente focados em bancos tradicionais, não especialistas em segurança cibernética e certamente não especialistas em Cripto . Eles compreensivelmente se concentram em balanços, processos legais e outras operações financeiras.

Mas para custodiantes de Cripto , esses T são os únicos tipos de supervisão que importam, ou mesmo necessariamente os mais importantes. Não há padrões em todo o setor para práticas de segurança cibernética e gerenciamento de risco por custodiantes de Cripto especificamente, o que significa que o status de “custódio qualificado”T é tão reconfortante quanto pode parecer. Isso expõe não apenas os investidores, mas todo um setor nascente a riscos opacos com consequências potencialmente terríveis.

A aprovação de um elenco de ETFs de Bitcoin é apenas o passo mais recente na integração contínua de ativos digitais no sistema financeiro. Você T precisa confiar nos partidários das Cripto nessa previsão – basta perguntar à Blackrock, uma gigante legada que defendeu o ETF. À medida que esses desenvolvimentos continuam, os reguladores realmente interessados ​​na proteção do investidor se concentrarão em se adaptar a este novo mundo: um no qual padrões rigorosos de segurança cibernética são tão importantes para a estabilidade financeira quanto divulgações honestas e auditorias financeiras.