In un’intervista con BeInCrypto, Cooper Scanlon, co-fondatore di Movement Labs, ha lanciato l’allarme sulle vulnerabilità nell’infrastruttura blockchain, in particolare sui difetti nei tradizionali smart contract come Ethereum (ETH). Ha sottolineato che queste debolezze rappresentano una seria minaccia per il futuro della finanza globale.
Le sue osservazioni arrivano mentre l’industria crypto lotta con un aumento di truffe e hack, che hanno causato danni significativi e minato la fiducia nel settore.
Il co-fondatore di Movement Labs interviene sui rischi degli smart contract
Scanlon ha sottolineato che i difetti negli smart contract hanno portato a miliardi di perdite solo nel 2024. Secondo i dati di SolidityScan, nel 2024, gli hack crypto hanno ammontato a $1,4 miliardi, distribuiti su 149 incidenti separati.
Infatti, quest’anno, la comunità crypto ha visto uno dei più grandi hack della storia quando Bybit è stata presa di mira. Gli hacker hanno sottratto $1,5 miliardi, principalmente in Ethereum, dalla piattaforma. Hanno sfruttato una vulnerabilità di transazione a firma singola, bypassando la sicurezza del wallet per effettuare prelievi non autorizzati.
Inoltre, all’inizio di marzo, l’aggregatore di exchange decentralizzati (DEX) 1inch ha subito una violazione critica a causa di un difetto nello smart contract del resolver Fusion v1, illustrando ulteriormente le vulnerabilità che affliggono il settore.
Scanlon ha sottolineato che questi incidenti non sono declini graduali ma piuttosto svuotamenti catastrofici che avvengono in pochi secondi una volta sfruttate le vulnerabilità. La situazione diventa più seria considerando la crescente integrazione della blockchain con i sistemi finanziari tradizionali.
“Se le istituzioni finanziarie integrano gli smart contract nei sistemi di pagamento e nei mercati dei capitali senza affrontare il potenziale di questi difetti, stiamo amplificando il rischio su sistemi molto più ampi,” ha detto a BeInCrypto.
Il co-fondatore ha anche evidenziato un pericoloso malinteso sulla sicurezza degli smart contract – la convinzione che un audit di successo garantisca la sicurezza. Scanlon afferma che gli audit scoprono solo una piccola parte delle potenziali vulnerabilità e spesso trascurano vettori di attacco più complessi.
Inoltre, ha sottolineato l’occorrenza quotidiana di questi hack. L’esecutivo ha notato che tre importanti bug di re-entrancy sono stati scoperti negli ultimi due mesi. Ha avvertito che questi incidenti non si verificano in isolamento ma indicano difetti architettonici più profondi.
“Se lo sviluppo continua su Ethereum utilizzando il codice Solidity, queste minacce purtroppo peggioreranno nei prossimi cinque anni con l’aumento dell’adozione della blockchain. Una maggiore integrazione con la finanza tradizionale significa obiettivi di valore più alto, mentre l’aumento della complessità crea più superficie di attacco,” ha commentato Scanlon.
Per contesto, un bug di re-entrancy è una vulnerabilità negli smart contract in cui una chiamata esterna effettuata dal contratto può richiamare il contratto prima che l’esecuzione iniziale sia completata. Questo consente a un attaccante di eseguire ripetutamente una funzione, potenzialmente svuotando fondi o manipolando il contratto in modi non previsti. Un famoso esempio è l’hack del DAO del 2016.
Il co-fondatore di Movement Labs ha anche menzionato l’attacco a Kyber come esempio di come un semplice overflow di un intero possa portare a conseguenze catastrofiche. Tuttavia, ha riconosciuto che nessun sviluppatore o revisore può realisticamente identificare vulnerabilità a un livello così granulare su migliaia di righe di codice Solidity. Scanlon ha affermato che ogni protocollo tradizionale presenta questi rischi intrinseci.
“Man mano che le grandi banche, i processori di pagamento e le exchange costruiscono su questi sistemi, le vulnerabilità che una volta colpivano solo gli appassionati di crypto ora minacciano l’ecosistema finanziario più ampio,” ha sottolineato.
Per affrontare questi rischi, crede che la soluzione risieda nel superare le architetture obsolete e adottare design più sicuri e moderni. Ha diretto l’attenzione all’uso del linguaggio di programmazione Move da parte di Movement Labs.
Scanlon ha spiegato che elimina le vulnerabilità comuni attraverso il suo design orientato alle risorse e la verifica formale. Secondo lui, Move è specificamente progettato per prevenire intere classi di vulnerabilità.
“Move rappresenta un miglioramento rivoluzionario rispetto alle piattaforme di smart contract esistenti,” ha sostenuto Scanlon.
Smart contract e sistemi finanziari: il percorso verso l’integrazione
In mezzo a questi rischi, Scanlon ha sostenuto che le reti blockchain richiedono protocolli di sicurezza standardizzati. Tuttavia, ha sottolineato che i modelli tradizionali non possono essere applicati direttamente.
Ha delineato che prima di integrare sistemi decentralizzati, le istituzioni finanziarie devono prima comprendere le sfide uniche di sicurezza poste dalla blockchain.
“Le istituzioni finanziarie che cercano di integrare sistemi decentralizzati devono capire che le transazioni blockchain non possono essere annullate. Questo significa che nella blockchain, gli exploit sono spesso irreversibili. Questa differenza fondamentale richiede un ripensamento completo della gestione del rischio, ma indica anche il valore unico della tecnologia decentralizzata,” ha rivelato Scanlon a BeInCrypto.
Scanlon ha anche messo a fuoco la necessità di evolvere gli approcci normativi. Ha notato che la finanza tradizionale e i sistemi decentralizzati non sono più ambiti distinti—stanno diventando sempre più integrati.
Tuttavia, ha sottolineato che la maggior parte dei quadri normativi attuali rimane ancorata a preoccupazioni obsolete. Si concentrano principalmente su questioni tradizionali come la conformità al Know Your Customer (KYC) e all’Anti-Money Laundering (AML) e la protezione degli investitori.
Questi quadri, ha avvertito Scanlon, trascurano i rischi tecnologici più profondi che potrebbero innescare fallimenti sistemici all’interno dello spazio blockchain. Ciò di cui l’industria ha bisogno, ha detto, è chiarezza.
“I governi dovrebbero lavorare per stabilire leggi chiare intorno alla blockchain in generale, in modo che innovatori e costruttori abbiano le risorse e la tranquillità per sviluppare catene e applicazioni sicure e protette,” ha osservato Scanlon.
Ha sostenuto che l’attenzione dovrebbe essere rivolta a creare un ambiente in cui l’innovazione della sicurezza possa prosperare piuttosto che imporre standard unici per tutti.
Perché la psicologia umana guida il successo delle truffe
Oltre ad affrontare le vulnerabilità nell’infrastruttura degli smart contract, Scanlon ha anche discusso l’aumento delle truffe con le memecoin prevalenti sulle piattaforme di social media. Recentemente, gli hacker hanno preso di mira molti celebrità, esperti del settore e leader politici, prendendo il controllo dei loro account X per promuovere token fraudolenti.
Scanlon ha spiegato che questi incidenti stanno aumentando a causa delle ricompense asimmetriche coinvolte. Con uno sforzo tecnico minimo, i truffatori possono ottenere profitti sostanziali.
“Questi attacchi di ingegneria sociale sono fondamentalmente diversi dalle vulnerabilità degli smart contract. Sfruttano la psicologia umana piuttosto che i difetti del codice,” ha condiviso Scanlon con BeInCrypto.
Per combattere queste minacce, Scanlon ha sottolineato che le piattaforme di social media necessitano di sistemi di rilevamento più sofisticati per identificare account compromessi e prevenire la promozione di truffe. Ha anche chiesto un miglioramento delle analisi on-chain per individuare e segnalare contratti di token sospetti prima che acquisiscano slancio.
Ha sottolineato l’importanza di migliorare le risorse per verificare la legittimità dei progetti. Inoltre, ha suggerito che i protocolli dovrebbero incorporare misure di verifica più forti.
Scanlon ha concluso che la soluzione a lungo termine risiede nella tecnologia migliorata. Ha enfatizzato la coltivazione di un ecosistema che dia priorità alla sicurezza a ogni livello, dalla progettazione del codice all’esperienza utente. Scanlon ha affermato che la comunità dovrebbe venire prima di tutto. Pertanto, proteggerla da queste minacce è di massima importanza.
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
