Richard Ma, CEO e fondatore di Quantstamp, è in prima linea nel panorama dell'auditing delle criptovalute.
Con la sua azienda riconosciuta come una delle principali entità di auditing dei contratti intelligenti, la prospettiva di Ma offre informazioni preziose sulle sfide e sui paradigmi in evoluzione della sicurezza delle criptovalute.
In un'intervista con CryptoPotato tenutasi al Token2049 di Singapore, Ma approfondisce gli attuali limiti dell'auditing dei contratti intelligenti, la natura variegata degli hack crittografici che vanno oltre i semplici contratti intelligenti e offre una guida esigente sulla valutazione della credibilità degli audit di sicurezza.
Il viaggio di Richard Ma nel mondo delle criptovalute è iniziato con uno scontro diretto e personale con le sue vulnerabilità.
“Quando ho scoperto Ethereum… ho investito in DAO (2016). Poche settimane dopo, è stato violato e sono stati rubati oltre 50 milioni di dollari. Ecco perché ho lanciato Quantstamp."
Questo sfortunato incontro ha trasformato Ma da investitore a luminare intento a rafforzare il panorama della finanza digitale.
Non abbastanza: i limiti dell’audit dei contratti intelligenti
Il mondo delle criptovalute è in rapida espansione, con progetti che proliferano ogni giorno. Gli investitori e gli utenti sono costantemente alla ricerca di progetti che non solo promettano rendimenti elevati ma siano anche sicuri. È qui che entra in gioco il tag "controllato da". I progetti promuovono questo tag come distintivo di sicurezza e garanzia. Ma è sufficiente?
"Sì, gli audit non sono assolutamente sufficienti", inizia Ma, "e anche solo dire 'controllato da' non è sufficiente perché circa un terzo di tutti i progetti controllati non risolvono alcuni problemi seri che hanno."
Ha approfondito il divario tra ciò che suggeriscono i revisori e ciò che i progetti scelgono di implementare. È stata un’intuizione sorprendente che, sebbene i revisori potessero evidenziare le vulnerabilità, l’onere di correggerle ricade sui progetti.
Ma le preoccupazioni non finiscono qui. “Per molti progetti, rilasceranno molte cose senza ricevere audit e poi aspetteranno di avere un sacco di aggiornamenti e poi li sottoporranno a audit tutti in una volta. E quindi il tempo tra gli audit potrebbe essere rischioso. Ma ha esemplificato ciò citando Nomad Bridge, tra gli altri, dove piccole modifiche apportate tra gli audit sono diventate il punto focale dello sfruttamento.
Da MT. Gox: Hack – Ben oltre i contratti intelligenti
La profonda conoscenza di Ma nel campo delle criptovalute era evidente mentre approfondiva la natura sfaccettata degli hack nel settore delle criptovalute.
“Molti dei più grandi attacchi alle criptovalute non sono attacchi agli smart contract. Sono attacchi di scambio o furti da parte dei fornitori di custodia. Uno dei primi grandi hack è stato Mt. Gox, e si trattava di un exploit di scambio."
Ampliando ulteriormente l’orizzonte della conversazione, ha toccato le minacce che si trovano al di fuori del regno delle vulnerabilità degli smart contract. “Ci sono molti modi per hackerare questi scambi e fornitori di custodia. Inoltre, le persone che utilizzano Metamask spesso perdono le loro chiavi private."
Sfruttato nonostante l'audit: determinare la credibilità dell'audit
Alla domanda sulla credibilità degli audit, le intuizioni di Ma sono state acute e stimolanti.
"Il modo migliore per avere un'idea della credibilità dell'audit è semplicemente prendere cinque dei precedenti rapporti di audit e leggerli."
Un buon audit, dal punto di vista di Ma, non è quello che si limita a evidenziare i problemi comuni ma approfondisce il design e la funzionalità di un progetto.
Ha sottolineato le circostanze uniche di ciascun progetto. "Per ogni singolo progetto, ci sono sempre alcune considerazioni sulla progettazione e ci sono sempre alcune circostanze uniche in cui ciò dovrebbe essere spiegato nel rapporto di audit."
Oltre 700 audit completati
Il percorso di Quantstamp sotto la guida di Ma evidenzia l'importanza di comprendere e affrontare queste sfide frontalmente. Dopo aver eseguito oltre 700 audit e servito 600 clienti attivi, Quantstamp è in prima linea per garantire il futuro delle risorse digitali.
“Penso che sia importante ricordare che la sicurezza non è una cosa che si verifica una sola volta, ma un processo continuo. Dobbiamo evolverci, adattarci ed essere sempre vigili. Noi di Quantstamp ci impegniamo a perseguire questa visione", ha affermato Richard Ma, accennando al quadro più ampio della sicurezza delle criptovalute nei prossimi anni.
Il post CEO di Quantstamp: ecco perché "verificato da" per la sicurezza delle criptovalute nel 2023 non è sufficiente (intervista) è apparso per la prima volta su CryptoPotato .