Gli hack nel mondo DeFi sono sempre nelle notizie. I protocolli DeFi dovrebbero iniziare a utilizzare set di regole di gestione del rischio e strumenti già utilizzati nella finanza tradizionale, afferma Kate Kurbanova di Apostro .
Una singola vulnerabilità nei contratti intelligenti può costare ai progetti DeFi milioni di fondi per gli utenti. Mentre le vulnerabilità tecniche e i bug sono i primi vettori di attacco che gli hacker cercano, non si possono dimenticare altri mezzi utilizzati per rubare fondi dai protocolli DeFi.
Verifica formale, stress test, audit e simulazioni: i protocolli DeFi hanno un ampio elenco di pratiche e strumenti tra cui scegliere quando si tratta di audit tecnico e controllo approfondito del codice per bug e vulnerabilità nascoste.
Tuttavia, anche tutto quanto sopra non garantisce la sicurezza del protocollo poiché alcune vulnerabilità derivano da difetti nella logica aziendale del prodotto e dalla dipendenza dai mercati esterni e dai blocchi costitutivi della DeFi. Queste sono le cosiddette vulnerabilità economiche: richiedono un audit economico aggiuntivo e sono molto più difficili da intercettare in generale, poiché lo spazio è in continua evoluzione e qualsiasi aggiornamento del codice può portare a nuove possibilità di exploit.
Pertanto, lo spazio di sicurezza DeFi deve fare un passo avanti e adottare migliori pratiche di gestione del rischio per proteggere utenti e protocolli allo stesso modo dalle minacce economiche.
Gli hack continuano a incombere
Molti protocolli hanno subito exploit nel corso degli anni, con i vettori di attacchi più comuni che sono stati documentati e riparati ormai. Tuttavia, ci sono ancora modi per sfruttare il protocollo influenzando indirettamente la logica del contratto o la logica aziendale del protocollo. Potrebbe trattarsi di una manipolazione del mercato o dell'oracolo, dell'influenza sui protocolli connessi o del monitoraggio continuo di possibili backdoor create dagli aggiornamenti del codice.
Exploit di questo tipo possono utilizzare più protocolli durante l'esecuzione. In particolare, una delle possibilità sarebbe l'utilizzo di attacchi di prestito flash per manipolare l'oracolo del prezzo del protocollo. Per capirlo meglio, possiamo esaminare un esempio specifico.
L'exploit della finanza di fantasia
Ciò è accaduto nel novembre 2021 e ha comportato una perdita di $ 130 milioni. L'attaccante ha manipolato il prezzo di yUSD gonfiando la liquidità e sfruttando l'oracolo del prezzo, il che ha portato il sistema a credere che 1 yUSD fosse uguale a $ 2 e il deposito iniziale dell'attaccante di $ 1,5 miliardi in yUSD aveva un costo corrispondente di $ 3 miliardi. Quindi l'hacker ha convertito il suo deposito in yUSD in $ 3 miliardi e ha utilizzato $ 1 miliardo di profitto per drenare tutta la liquidità di Cream Finance (~ $ 130 milioni).
Fagiolo
Un altro recente hack ha utilizzato una vulnerabilità nel sistema di governance Beanstalk. L'hacker ha utilizzato una backdoor nella governance del protocollo acquisendo due terzi di tutto il potere di governance tramite un prestito flash. Ciò ha consentito loro di eseguire le proposte di governance che hanno creato con un solo giorno di ritardo (al contrario del solito ritardo di 7 giorni necessario per la revisione).
Le proposte apparentemente sicure si sono rivelate un contratto dannoso. Questo si è attivato al momento del prestito flash e ha sostanzialmente prosciugato il protocollo di $ 182 milioni (al momento dell'exploit).
Entrambi gli attacchi hanno sfruttato la logica aziendale del protocollo abusando dell'economia dietro di esso. Questi tipi di exploit mostrano quanto sia importante disporre di strumenti di gestione del rischio e monitoraggio continuo in atto, poiché possono facilmente cogliere e prevenire tali opportunità.
Hack: adozione di strumenti di gestione del rischio per migliorare la sicurezza
Per fornire un ulteriore livello di sicurezza contro tali tipi di attacchi, i protocolli DeFi dovrebbero iniziare a utilizzare set di regole di gestione del rischio e strumenti già collaudati da anni di pratica nel mondo della finanza tradizionale.
Ad esempio, uno dei metodi qui sarebbe l'implementazione del ritardo sulle transazioni nel protocollo. Una funzione del genere può ritardare le transazioni sospette al protocollo, avvisare gli sviluppatori di attività dannose e dare loro il tempo di mitigare l'eventuale impatto negativo. Questo può essere ulteriormente migliorato combinando il ritardo con gli strumenti di monitoraggio per ritardare o sospendere automaticamente le transazioni che rappresentano minacce al protocollo.
Un'altra grande pratica è il limite di liquidità, che limita il numero di fondi che possono essere trasferiti in una transazione. Sebbene non influisca sugli utenti medi, il limite di liquidità può ritardare o prevenire attacchi simili all'exploit Cream Finance, rendendo più difficile e costoso per gli hacker eseguire l'attacco.
Il campo della sicurezza DeFi può trarre grandi vantaggi dall'esperienza di sicurezza informatica della finanza tradizionale in quanto porterebbe competenze e specialisti aggiuntivi per lavorare verso una maggiore sicurezza e un'infrastruttura più forte dei protocolli Web3.
Hack in DeFi: il passo successivo
Mentre la rapida crescita del settore DeFi è allettante sia per gli utenti medi che per gli investitori, la mancanza di pratiche e soluzioni di sicurezza rimane uno dei principali inconvenienti per un'adozione più ampia e per gli investitori istituzionali.
Il pubblico generale ha bisogno di maggiori garanzie quando si tratta della sicurezza dei propri fondi e le conoscenze e le pratiche della finanza tradizionale possono spingere la scena DeFi al livello successivo di sviluppo. Adozione di strumenti di gestione del rischio, pratiche di sicurezza operativa, limiti di sicurezza e monitoraggio continuo: il settore DeFi può trarne grande vantaggio con la giusta applicazione.
Circa l'autore
Kate Kurbanova , una veterana della blockchain e commerciante di azioni, è la co-fondatrice e COO di Apostro . Apostro è un protocollo di gestione del rischio che protegge dalle minacce alla sicurezza esterna, che si tratti di uno stupido bug in un codice o di un exploit attraverso la manipolazione di oracoli.
Hai qualcosa da dire su TradFi, hack DeFi o qualsiasi altra cosa? Scrivici o partecipa alla discussione nel nostro canale Telegram. Puoi anche trovarci su Tik Tok , Facebook o Twitter .
Il post Hacks: la finanza decentralizzata dovrebbe rubare idee dalla finanza tradizionale è apparso per la prima volta su BeInCrypto .