Facebook 
Pinterest Capire chi è la colpa dei persistenti problemi di sicurezza di DeFi
Il settore della finanza decentralizzata continua a guadagnare una popolarità senza precedenti poiché il valore totale delle attività bloccate nei prodotti DeFi è raddoppiato a oltre $ 4 miliardi a luglio ed è ora avvicinandosi il segno di $ 5 miliardi.
Allo stesso tempo, una maggiore richiesta di tali applicazioni da parte di utenti e sviluppatori ne fa un obiettivo per i cattivi attori, vista la tentazione dell’accesso diretto ai fondi. Negli ultimi mesi, gli hacker hanno sottratto oltre 27 milioni di dollari dai progetti DeFi e si prevede che altri attacchi arriveranno nel prossimo futuro. Se questo è il caso, il settore DeFi fa molto affidamento su Ethereum per la sicurezza e il lancio di ETH 2.0 porterà ulteriori miglioramenti in quell’area?
Le app DeFi sono nuovi scambi crittografici per gli hacker
Mentre nel 2023-2023 gli scambi di criptovaluta erano l’obiettivo numero uno degli attacchi degli hacker, nel 2023 è il mercato finanziario decentralizzato che è sul radar. Ciò è ampiamente reso possibile dalle vulnerabilità negli smart contract delle piattaforme e dai meccanismi di sicurezza tecnicamente imperfetti. Allo stesso tempo, come mostra la storia degli hack, gli aggressori utilizzano non solo le vulnerabilità ma anche varie capacità legittime della blockchain per eseguire attacchi.
È così che gli hacker hanno attaccato Opyn all’inizio di agosto, un protocollo che ironicamente afferma di occuparsi della protezione DeFi. Circa $ 371.000 sono stati rubati a causa di un exploit del token nativo del progetto, per cui è stato implementato un attacco a doppia spesa sulle opzioni put di Ethereum, garantendo l’accesso ai fondi degli utenti.
In precedenza, una vulnerabilità nel codice del contratto intelligente ha portato a un altro hack del progetto DeFi in cui $ 25 milioni sono stati rubati dal protocollo di prestito decentralizzato Lendf.me e dallo scambio crittografico decentralizzato Uniswap. Entrambi i gruppi di sviluppatori hanno creato i propri componenti aggiuntivi sul protocollo ERC-777, rendendo gli smart contract vulnerabili agli attacchi di rientro. Durante un tale attacco, gli hacker ritirano ripetutamente i fondi fino a quando la loro transazione originale non viene approvata o rifiutata.
Un altro hack si è verificato il 28 giugno, sempre a causa di una vulnerabilità del codice. Gli hacker hanno rubato oltre $ 500.000 in ETH e altri altcoin dalla piattaforma Balancer tramite un exploit del suo meccanismo di deflazione dei token che distrugge l’1% dell’importo della transazione a ogni trasferimento di fondi.
È Ethereum da incolpare?
Evidentemente, il tallone d’Achille dei progetti DeFi sono bug e vulnerabilità nei codici degli smart contract, ma cosa o chi è esattamente la colpa per questo? Sono gli sviluppatori DeFi che non testano o controllano correttamente il codice prima di avviare le loro app o la colpa è dell’architettura di Ethereum, il che significa che poco dipende dalle piattaforme?
Da un lato, come Brian Kerr, CEO della piattaforma di prestito DeFi Kava Labs, ha detto in precedenza a Cointelegraph, l’architettura della blockchain di Ethereum non è in grado di rispondere alle esigenze di sicurezza del settore DeFi perché testare possibili bug è quasi impossibile nel linguaggio di programmazione Solidity.
Tuttavia, la maggior parte delle piattaforme DeFi sono costruite sul framework blockchain di Ethereum e, pertanto, stanno sperimentando il codice sorgente originale, soprattutto se il risultato di questi esperimenti non viene verificato a fondo prima del lancio della versione finale del prodotto, aprendo potenzialmente le porte agli hacker.
Shayan Eskandari, ingegnere di sicurezza e revisore presso ConsenSys Diligence, ha dichiarato a Cointelegraph che la maggior parte degli hack DeFi sono stati preceduti da modifiche apportate dagli sviluppatori poco prima del lancio della piattaforma. Ad esempio, ERC-20 non è stato implementato in modo standard o alcuni nuovi design di token hanno aggiunto funzionalità che hanno modificato il comportamento del token ERC-20, causando problemi imprevedibili. Secondo Eskandari, tali cambiamenti hanno portato ad attacchi al pool di Balancer e all’hacking di Lendf.me.
Ciò suggerisce che in alcuni casi, la colpa è dei team che lavorano su piattaforme particolari. In una conversazione con Cointelegraph, Arnie Hill, CEO di Plutus DeFi – un aggregatore DeFi full-stack – ha osservato che la maggior parte degli sviluppatori DeFi non presta abbastanza attenzione alla sicurezza, poiché si trova nella fase iniziale dello sviluppo del prodotto: “Oggi gli sviluppatori pagano maggiore attenzione al lato tecnico e alla capitalizzazione, concentrandosi su come costruire servizi di prestito su blockchain, piuttosto che sulla sicurezza dei contratti intelligenti “.
Inoltre, la complessità dei prodotti DeFi gioca uno scherzo crudele con loro, secondo a Larry Sukernik, investitore del Digital Currency Group: “Ci sono persone con un grande cervello che devono essere messe al lavoro. E quando vengono messi all’opera, il risultato è spesso un prodotto complesso, brillante, ma estremamente inutilizzabile “.
Charlie Lee, il creatore di Litecoin (LTC), ha affermato in precedenza che la decentralizzazione è la colpa di tutto. La decentralizzazione in realtà è stata la ragione per l’hacking del protocollo delle opzioni Opyn, poiché il team non poteva controllarlo o disabilitarlo temporaneamente in caso di attacco.
Tuttavia, la presenza di hacker è un evento naturale, dato che il settore è giovane. Tuttavia, con l’evoluzione del settore DeFi, i suoi sviluppatori dovrebbero diventare estremamente consapevoli dei crescenti rischi per la sicurezza e lavorare per ridurli, secondo Hill:
“Il ridimensionamento del mercato richiede l’uso di meccanismi di protezione più seri e la cooperazione con le autorità di regolamentazione e i revisori. Alla fine della giornata, questa non è più solo una rete di DApp, ma un mercato finanziario multimiliardario che è nella fase iniziale del suo sviluppo e, quindi, gli hack sono inevitabili, lo stesso che era con il digitale settore bancario alcuni anni fa. ”
Secondo l’ultimo rapporto pubblicato dalla società di ricerca Dgen in collaborazione con un protocollo DeFi open source Aave, da quando i progetti DeFi sono diventati obiettivi di hacking, gli sviluppatori hanno iniziato a lavorare su sandbox e framework chiari per la risoluzione delle controversie. Gli analisti hanno anche notato che fintanto che il ridimensionamento è la massima priorità per gli sviluppatori DeFi in questo momento, è probabile che si verifichino di nuovo importanti attacchi simili all’incidente DAO del 2016.
Un altro possibile problema alla base dei progetti di finanza decentralizzata è che si basano su oracoli di dati per fornire dati critici come i prezzi delle attività. L’accelerazione della crescita delle piattaforme e dei prodotti DeFi con la loro composizione unica crea interdipendenze e richiede una solida fonte di dati sui prezzi degli asset, come spiegato da Paul Claudius, co-fondatore di DIA – una piattaforma oracle DeFi svizzera open source – che ha detto a Cointelegraph:
“Attualmente, la maggior parte dei progetti DeFi non dispone di una soluzione di dati sui prezzi trasparente, open source e affidabile. Molti non condividono nemmeno le metodologie utilizzate dagli oracoli per i dati sui prezzi. Ciò crea rischi sostanziali in quanto i malintenzionati possono sfruttare sia le vulnerabilità tecnologiche che metodologiche con fonti di dati inaffidabili “.
Audit, due diligence e assicurazioni
Quindi, c’è qualcosa che i team DeFi possono fare per mitigare i rischi per la sicurezza, dato che ci sono molti prodotti che mantengono con successo un alto livello di sicurezza per i propri fondi e quelli degli utenti??
Marc Zeller, responsabile dell’integrazione presso Aave, ha sottolineato l’importanza di condurre procedure di due diligence prima di aggiungere un nuovo token a una piattaforma DeFi per evitare importanti hack all’interno dei protocolli. Ha anche osservato che i progetti che si occupano di finanza decentralizzata possono utilizzare i servizi delle compagnie di assicurazione per proteggere ulteriormente i fondi degli utenti, sebbene ciò non sia sempre sufficiente.
Parlando del ruolo delle assicurazioni nella lotta agli hack, Kain Warwick, fondatore della piattaforma di asset sintetici Synthetix, disse che l’assicurazione DeFi è molto limitata, aggiungendo: “La DeFi ha ancora un significativo rischio di coda, quindi è probabile che l’assicurazione rimanga molto costosa a breve termine, ma man mano che i protocolli maturano, i costi dovrebbero […] diminuire consentendo una più semplice e più utile assicurazione per emergere. “
L’assicurazione è buona se l’attacco è già avvenuto, ma se il compito è prevenirlo, l’auditing e il tracciamento delle transazioni sospette è ciò di cui i progetti DeFi hanno bisogno per rilevare e correggere le vulnerabilità nella rete prima che i difetti del codice vengano sfruttati dagli hacker. Gli analisti sottolineano che gli scambi di criptovalute svolgono un ruolo significativo nel tracciamento e nel blocco delle criptovalute che potrebbero provenire da piattaforme compromesse.
Correlati: L’hack DeFi: cosa dovrebbe e non dovrebbe essere la finanza decentralizzata?
Con la scalabilità del settore, diventa sempre più importante per gli sviluppatori DeFi collaborare con le autorità di regolamentazione e lavorare sia su sandbox sia su framework chiari che consentano la risoluzione delle controversie e l’arbitrato in caso di hacking. Secondo Hill:
“Il ridimensionamento del mercato richiede l’uso di meccanismi di protezione più seri e la cooperazione con le autorità di regolamentazione e i revisori. Alla fine della giornata, questa non è più solo una rete di DApp, ma un mercato finanziario multimiliardario che è nella fase iniziale del suo sviluppo “.
ETH 2.0 porterà più sicurezza?
Alcuni credono che insieme alla scalabilità, gli aggiornamenti di rete porteranno sicurezza alla DeFi, mentre altri affermano che la transizione di Ethereum 2.0 all’algoritmo proof-of-stake metterà il settore DeFi in pericolo ancora maggiore. Sulla base di una ricerca dell’analista Tarun Chitra, l’investitore di Dragonfly Capital Haseeb Qureshi è venuto alla conclusione che i protocolli DeFi siano in contrasto con il meccanismo di sicurezza della rete basato sull’algoritmo PoS. Il problema è che i fondi bloccati nel prestito DeFi non partecipano allo staking e, quindi, sono una garanzia.
Analisti di MolochDao confermato che il passaggio a ETH 2.0 potrebbe aprire nuovi vettori di attacco per le applicazioni DeFi. Tuttavia, c’è un lato positivo: gli attacchi su ETH 2.0 sono più facili da scalare rispetto agli attacchi su ETH 1.0.
Correlati: Metti a frutto: Ethereum accumula numeri seri per impostare benchmark
Prima del lancio, l’industria DeFi dovrà affrontare molti nuovi attacchi, secondo gli analisti di Consensys Tanner Hoban e Tom Borgers, soprattutto durante le prime fasi della transizione a Ethereum 2.0. Il motivo è che all’inizio della transizione, i validatori devono bloccare il loro ETH fino a quando la catena del proof-of-work non è completamente fusa con la catena del proof-of-stake. Ciò ridurrà la liquidità e, secondo gli autori dello studio, può portare alla centralizzazione.
Quindi è probabile che i prodotti DeFi affronteranno di nuovo importanti attacchi, ma con lo sviluppo di strumenti assicurativi e di audit, nonché l’ingresso nel mercato da parte delle autorità di regolamentazione globali, alla fine diventerà più sicuro. Ethereum 2.0 può aggiungere il suo vantaggio, ma con un lancio lento e graduale del nuovo modello e test sufficienti, è probabile che i rischi siano ridotti al minimo.