La DeFi continua a dissanguare milioni di dollari agli hacker ogni mese, spingendo un esperto di sicurezza a offrire una soluzione controversa al problema: ovvero la centralizzazione di alcuni aspetti dei protocolli decentralizzati.
Nanak Nihal Khalsail co-fondatore della startup di sicurezza Web3 Olonimoha affermato di comprendere che l’introduzione della centralizzazione sarebbe certamente controversa in un settore che si vanta di essere “incensurabile”. Ma sostiene che è possibile che i protocolli DeFi raggiungano un delicato equilibrio che impedisca a chiunque di bloccare le transazioni quotidiane e allo stesso tempo impedisca il furto di grandi quantità di fondi.
“Se vogliamo che la gente comune utilizzi le criptovalute, dovremmo sforzarci di progettare e implementare modi per prevenire ‘transazioni spaventose’, e questo può essere fatto aggiungendo la centralizzazione in luoghi che possono essere centralizzati”, ha detto Khalsa.
I commenti di Khalsa sono arrivati in reazione a a recente rapporto dalla società di sicurezza crittografica Scudoche ha rivelato che i protocolli DeFi hanno perso 85,5 milioni di dollari a causa degli hacker a novembre, portando la perdita annuale del settore a oltre 2,43 miliardi di dollari finora nel 2024.
Il mese scorso, Peckshield ha registrato più di 30 attacchi di hacking separati, con i maggiori perdenti Thala, che ha perso 25,5 milioni di dollari in fondi crittografici, e DEXX, che è stato prosciugato di 21 milioni di dollari tramite un attacco al protocollo.
Il rapporto evidenzia come i protocolli DeFi siano sempre più presi di mira dagli hacker, a causa della continua prevalenza di vulnerabilità nel codice sottostante e nei contratti intelligenti. Sebbene le perdite di novembre siano state inferiori ai 102,42 milioni di dollari rubati a ottobre, dalle piattaforme DeFi è stato rubato più denaro rispetto al mese precedente.
Insieme a Thala e DEXX, anche piattaforme come Gifto, Polter Finance e Delta Prime sono state vittime di attacchi informatici multimilionari il mese scorso.
Khalsa afferma che questi ultimi incidenti danno più peso alla tesi secondo cui il settore DeFi non sarà mai in grado di fare affidamento solo sugli audit dei contratti intelligenti, poiché semplicemente non è possibile scoprire ogni vulnerabilità che si insinua nel loro codice.
“Gli audit sono già un po’ maturi”, ha sottolineato Khalsa. “Non credo che vedremo ulteriori grandi passi avanti in termini di controlli di sicurezza.
Piuttosto, l’industria Web3 deve imparare dalle sue controparti Web2, che soffrono relativamente meno di incidenti di hacking a causa del modo in cui i suoi sistemi sono centralizzati, ha affermato Khalsa. Ha affermato che Web2 è diventato molto bravo nel prevenire le frodi perché ha messo a punto vari sistemi e strumenti in grado di rilevare quando gli hacker stanno tentando di elaborare una transazione dannosa e impedire loro di prelevare fondi.
“Questo è ciò che fanno la tua carta di credito e la tua banca, ed è per questo che sono considerate sicure dalla maggior parte delle persone”, sostiene Khalsa. “Se le banche permettessero agli utenti di eseguire qualsiasi transazione senza prima verificarne la sicurezza, vi garantisco che gli attacchi informatici avverrebbero in quel settore molto più frequentemente, e per importi molto maggiori, di quanto vediamo ora. Le perdite supererebbero di gran lunga quelle di Web3.”
Il problema è che, se un protocollo DeFi fosse in grado di bloccare le transazioni sospette, avrebbe anche la capacità di bloccare i prelievi legittimi. Ciò significherebbe che non è più resistente alla censura, e sarebbe estremamente controverso, poiché le criptovalute si fondano sull’ideale di essere resistenti alla censura.
Tuttavia, Khalsa sottolinea che è possibile introdurre solo un grado limitato di centralizzazione nei protocolli Defi.
“Non dobbiamo centralizzare l’intero protocollo, poiché è possibile introdurre un intero spettro di controlli”, ha affermato. “Ad esempio, possiamo programmare contratti intelligenti per bloccare solo le transazioni superiori a 1 milione di dollari, se soddisfano criteri specifici che le contrassegnano come sospette. Ciò eviterebbe enormi drenaggi di protocolli, senza censurare le attività quotidiane degli utenti”.
Khalsa ha anche chiesto che i protocolli DeFi lavorino di più per prevenire incidenti come gli attacchi di phishing, che rimangono una delle cause più comuni degli hack DeFi.
“Ci sono un sacco di strumenti là fuori, come Blockaid, Tenderly, Alchemy, Blowfish e GoPlus”, ha detto. “Essi [protocols] dovrebbero essere sicuri di avvisare gli utenti o applicare politiche basate sui cambiamenti di equilibrio e sulle potenziali minacce rilevate da questi strumenti.
Inoltre, ha esortato i protocolli DeFi a restare sul pezzo, sottolineando che la rapida risposta del team di Thala ha consentito di recuperare 25,2 milioni di dollari del totale di 25,5 milioni di dollari rubati, grazie alle azioni rapide intraprese.
“Il tempo di risposta conta molto; prima rispondi, prima potrai impedire a un utente malintenzionato di ritirare i fondi su mixer o scambi”, ha osservato Khalsa. “Le aziende più grandi spesso addestrano i propri dipendenti a rispondere in modo rapido ed efficace agli incidenti di sicurezza, e molto spesso funziona”.
Il post sui continui problemi di sicurezza della DeFi che richiede un ripensamento radicale è apparso per la prima volta su TechBriefly.
Source: I continui problemi di sicurezza della DeFi richiedono un ripensamento radicale
