La sicurezza rimane una preoccupazione fondamentale nel settore della finanza decentralizzata (DeFi). Man mano che queste piattaforme guadagnano popolarità, offrendo libertà e opportunità finanziarie senza precedenti, diventano obiettivi interessanti per i criminali informatici.
La domanda se alcuni dei principali progetti DeFi possano essere compromessi è fondamentale. Si tratta di vulnerabilità che spaziano dai difetti dei contratti intelligenti alle debolezze dell’amministrazione.
L’unica cosa che impedisce gli attacchi alla DeFi
Ronghui Gu, cofondatore della società di sicurezza blockchain Certik, ha fornito a BeInCrypto preziose informazioni sul complesso mercato della DeFi. Secondo Gu, il fondamento della sicurezza delle piattaforme DeFi è l’audit approfondito.
“L’audit può aiutare a identificare le vulnerabilità analizzando meticolosamente il codice per individuare potenziali problemi di rientranza o altre falle sfruttabili. Questo processo comporta test rigorosi contro vettori di attacco noti, fuzzing, revisione approfondita del codice e convalida rispetto alle best practice”, ha dichiarato Gu a BeInCrypto.
L’exploit di Multichain, derivante dal controllo centralizzato delle chiavi, esemplifica i pericoli di tali vulnerabilità. Sebbene gli audit non possano cambiare le decisioni strutturali di un progetto, essi evidenziano i rischi, offrendo una possibilità di mitigazione.
Secondo Gu, gli audit efficaci dovrebbero valutare a fondo l’implementazione di portafogli a firma multipla. Ha inoltre sottolineato la necessità di una formazione regolare sulla sicurezza per i membri del team che gestiscono le chiavi private. Questo approccio completo all’audit, dall’analisi del codice alle pratiche di sicurezza operative, è fondamentale per migliorare la resilienza di una piattaforma contro gli attacchi.
Quando si affrontano le vulnerabilità del sistema di governance, come evidenziato dall’exploit della governance di Tornado Cash, Gu sostiene la necessità di una revisione completa del processo di amministrazione. Ciò include l’esame delle regole di creazione delle proposte, la distribuzione del potere di voto e le condizioni di esecuzione delle proposte.
Tale revisione identifica le potenziali vulnerabilità e assicura che siano in atto controlli ed equilibri per evitare un controllo sproporzionato da parte di una singola entità.
“Valutare le implicazioni per la sicurezza di ogni fase del processo di amministrazione dovrebbe aiutare a verificare l’esistenza di controlli e contrappesi adeguati. In questo modo si può evitare che una singola entità o un gruppo eserciti un controllo sproporzionato. I revisori devono verificare parametri critici come i requisiti di quorum, le soglie di voto e la durata del blocco temporale per bilanciare l’efficienza con la sicurezza”, ha aggiunto Gu.
Nuove tecnologie per un audit regolare
I progressi tecnologici nell’auditing, come ha detto Gu, includono l’integrazione dell’apprendimento automatico e lo sviluppo di strumenti specializzati per le sfide uniche della DeFi. Questo approccio consente una rapida analisi del codice, scoprendo vulnerabilità che potrebbero passare inosservate fino a quando non vengono sfruttate.
Lacapacità dell’apprendimento automatico di adattarsi e imparare dagli exploit passati promette un meccanismo di difesa dinamico contro le nuove minacce. La modellazione predittiva migliora ulteriormente questa capacità, identificando le potenziali vulnerabilità in vari scenari di stress prima che possano essere sfruttate.
“L’analisi dinamica, che testa lo smart contract in un ambiente reale, è fondamentale per scoprire gli errori di runtime e le vulnerabilità più complesse che si manifestano solo durante l’esecuzione. Data la natura in evoluzione delle minacce, il monitoraggio continuo e il re-auditing regolare sono fondamentali, soprattutto quando vengono apportati aggiornamenti o modifiche al contratto”, ha spiegato Gu.
Tuttavia, la tecnologia da sola non è una panacea. Lo sviluppo di strumenti e strutture specificamente progettati per le sfide uniche della DeFi è fondamentale. Tra queste figurano l’analisi delle interazioni complesse dei contratti smart e la simulazione di attacchi economici.
La collaborazione all’interno della comunità della DeFi è un’altra pietra miliare di una solida strategia di sicurezza. Condividendo conoscenze e risorse, i revisori possono rimanere al passo con le minacce emergenti e perfezionare le best practice a beneficio collettivo del settore. Anche la formazione e lo sviluppo di talenti con una profonda conoscenza della tecnologia blockchain e della cybersecurity sono fondamentali, per garantire che i team siano equipaggiati per affrontare le complessità dell’audit DeFi.
“Gli sviluppatori, in quanto costruttori di questo settore, dovrebbero essere aggiornati sulle ultime vulnerabilità e sulle migliori pratiche. La natura open-source della criptovaluta è uno dei suoi maggiori punti di forza e dobbiamo continuare a dare priorità a questo aspetto anche in futuro. Significa che l’errore di una piattaforma non deve essere ripetuto, tutti possono imparare da esso”, ha pubblicizzato Gu.
Per saperne di più: Identificare ed esplorare il rischio nei protocolli di prestito DeFi
La complessità intrinseca dei progetti DeFi introduce diverse vulnerabilità comuni, dai difetti degli smart contract ai meccanismi di amministrazione e al rischio di composizionismo. Queste vulnerabilità evidenziano l’importanza di revisioni di sicurezza complete, che devono approfondire il codice degli smart contract, le strutture di amministrazione e le integrazioni dei protocolli.
Il ritmo frenetico dello sviluppo della DeFi, se da un lato spinge all’innovazione, dall’altro porta spesso a compromessi nella sicurezza, aumentando il rischio di attacchi.
Tutte le piattaforme DeFi sono compromesse?
Per gli utenti, navigare nel settore della DeFi richiede diligenza e comprensione dei rischi intrinseci. L’impegno con le piattaforme richiede un approccio proattivo, dalla ricerca della storia della sicurezza di un progetto all’informazione sull’ecosistema più ampio.
Gu ha sottolineato che la trasparenza può aiutare le piattaforme DeFi a promuovere la fiducia e facilitare l’apprendimento della comunità. In questo modo si garantisce che l’errore di una piattaforma possa essere una lezione per le altre.
“Un fattore importante è la trasparenza del progetto per quanto riguarda la sua struttura di amministrazione e la sua base di codice. I progetti open-source con codice chiaro e ben documentato sono generalmente più affidabili. Anche la presenza di un programma KYC (Know Your Customer) per i principali contributori del progetto è un segno dell’impegno del progetto verso l’integrità e la trasparenza”, ha affermato Gu.
Strumenti come Security Leaderboard e Skynet di Certik, oltre a Beosin EagleEye, Hacken, Blowfish e SlowMist, forniscono preziose informazioni sulla sicurezza di un progetto. Secondo Gu, queste soluzioni offrono un monitoraggio in tempo reale e classificano la sicurezza in modo che gli utenti possano prendere decisioni più informate e ridurre al minimo l’esposizione al rischio, soprattutto in un settore in cui sono stati violati quasi 5,80 miliardi di dollari.
Per saperne di più: IA per le verifiche dei contratti intelligenti: Soluzione rapida o attività rischiosa?
Mentre la DeFi continua a ridefinire il sistema finanziario, l’enfasi sulla sicurezza non può essere sopravvalutata. L’integrazione di tecnologie avanzate, strumenti specializzati e la collaborazione della comunità hanno un volto nella salvaguardia dell’ecosistema. Tuttavia, la responsabilità è anche degli utenti, che devono essere vigili, e degli sviluppatori, che devono dare priorità alla sicurezza in ogni fase di sviluppo.
Solo attraverso uno sforzo concertato lo spazio DeFi potrà maturare in un ambiente sicuro, stabile e fiorente per l’innovazione.
Trusted
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
