Criptovaluta.it® Ultime Notizie Bitcoin e Crypto News | Criptovalute Oggi
ESCLUSIVA CRIPTOVALUTA.IT®: é un brutto momento per la sicurezza di diversi protocolli in DeFi. Gli attacchi aumentano, gli hacker sponsorizzati dalla Corea del Nord sottraggono milioni e c’è forse anche lo zampino dell’AI (che però non può giustificare tutto). Ne abbiamo parlato con uno dei massimi esperti globali, che fornendo servizi di sicurezza ai principali protocolli ha deciso di rimanere anonimo. E che ci ha rivelato tanto di quanto sta avvenendo dietro le quinte.
C’è tanto che è stato fatto e tanto che andrebbe invece fatto in futuro, per uno scenario crypto che cambia anche e soprattutto in termini di sicurezza.
Una nota sulla fonte
Criptovaluta.it® ha una politica molto stretta sulle fonti. Sono sempre citate nel modo corretto e con la massima trasparenza possibile. In questo caso abbiamo acconsentito a un’intervista anonima data la delicatezza dell’argomento. È più che comprensibile che chi opera al massimo livello del comparto della sicurezza è giusto che non voglia esporsi. Siamo certi della comprensione anche da parte dei nostri lettori.
Cosa sta succedendo alla sicurezza?
Criptovaluta.it®: a che punto siamo con la sicurezza nel mondo della DeFi?
Il problema nel mondo crypto si sta progressivamente spostando dalla componente onchain a quella off-chain. Negli ultimi due anni, grazie a una maggiore consapevolezza e alla crescente attività di auditing svolta dai vari protocolli, il livello di sicurezza onchain ha raggiunto standard molto elevati. Gli smart contract sono ormai estremamente sicuri: esistono best practice consolidate e errori ricorrenti ben noti da evitare. Nei casi più critici, è possibile ricorrere a tecniche come la formal verification, che consente di verificare matematicamente le proprietà fondamentali degli smart contract: in altre parole, si può avere la certezza assoluta che determinate proprietà non verranno mai violate.
Criptovaluta.it®: vista però dall’angolo dei non esperti, questo miglioramento della sicurezza degli smart contract non ha portato a un miglioramento complessivo della sicurezza di asset e protocolli. Cosa è cambiato?
Il vero problema riguarda la sicurezza tradizionale offchain, spesso trascurata dai protocolli crypto, che si sono concentrati principalmente sull’aspetto onchain. Ciò che emerge non è semplicemente una mancanza di attenzione a qualche dettaglio, ma piuttosto un approccio complessivamente superficiale alla sicurezza, che ignora anche le più basilari norme di buon senso. Ad esempio, la mancata separazione tra ambienti di sviluppo e produzione, con il rischio che negli ambienti di sviluppo vengano conservate persino chiavi private che garantiscono accesso a fondi per milioni di dollari, oppure una scarsa propensione a investire in adeguati sistemi di monitoraggio.
Criptovaluta.it®: un paradiso per gli hacker…
Gli hacker sanno bene quando colpire: può sembrare banale, ma tendono ad attaccare proprio nei momenti di minore vigilanza, come durante la notte, quando la capacità di risposta è più lenta, oppure nei fine settimana, tenendo conto anche della posizione geografica della sede principale del protocollo preso di mira. Questo perché se un protocollo non implementa sistemi di monitoring efficaci, la risposta a certi attacchi può essere effettuata solo manualmente.
Criptovaluta.it®: l’attacco a Kelp DAO è finito a cascata anche su AAVE e LayerZero, per motivi diversi. Quanto doppiamo preoccuparci?
Ciò che è emerso nel caso Kelp DAO / LayerZero / Aave ci riporta a un tema tipico della finanza tradizionale, che sembra ancora mancare nel mondo crypto di oggi: un settore noto per voler adottare una filosofia permissionless.
Aave è senza dubbio uno dei protocolli che, in termini di sicurezza, adotta alcune delle misure più avanzate e può essere considerato un vero modello di riferimento.
Dove ha fallito Aave? Qui entrano in gioco due componenti fondamentali: la due diligence, ovvero una verifica approfondita di cosa ci sia realmente dietro un asset, come funziona e da quali dipendenze esterne è influenzato, e il risk assessment, cioè la valutazione concreta dei rischi che quell’asset può introdurre nel protocollo e del loro potenziale impatto.
Nel mondo crypto, è necessario adottare un approccio quasi paranoico alla sicurezza. Un singolo errore può costare centinaia di milioni di dollari, se non miliardi. Per questo motivo, investire in sicurezza, anche quando può sembrare oneroso, è una condizione essenziale per chiunque voglia operare in questo mercato.
Del resto, usando una metafora semplice: voleresti mai con una compagnia aerea che risparmia sulla sicurezza?
