Il mercato finanziario decentralizzato è uno dei segmenti in più rapida crescita dell'economia delle criptovalute, con oltre 82 miliardi di dollari di valore rinchiusi in vari contratti intelligenti, rispetto a poco più di 55 miliardi di dollari di un anno fa.
La crescita della DeFi è straordinaria, ma non del tutto sorprendente per gli aderenti date le numerose opportunità redditizie per gli investitori del settore. Esistono centinaia di modi diversi per guadagnare denaro in DeFi, attraverso prestiti e scambi, fornendo liquidità a pool di asset, staking per proteggere le reti, yield farming e altro ancora. Queste opportunità sono reali, ma come con qualsiasi nuovo settore redditizio e in rapida crescita, i rischi sono grandi quanto le ricompense. La DeFi non è una novità al riguardo, attirando tutta una serie di truffatori che cercano di sequestrare i fondi di investitori onesti usando un assortimento di trucchi e tecniche nefaste.
Nel caso in cui ti fossi nascosto in una grotta, DeFi si riferisce al numero crescente di servizi finanziari crittografici basati su blockchain che consentono agli utenti di prendere parte a prestiti e prestiti, fornire e ottenere assicurazioni, depositare token in conti fruttiferi, investire in nuovi progetti crittografici e altro ancora.
La DeFi è come la finanza tradizionale in molti modi, con la differenza più grande che fa affidamento su contratti intelligenti rispetto a un intermediario come una banca. Gli smart contract sono il codice informatico alla base degli accordi in DeFi. In realtà sono solo algoritmi autoeseguibili che applicano gli accordi contrattuali tra le parti, facendolo automaticamente quando e quando le condizioni concordate vengono soddisfatte.
I contratti intelligenti alimentano tutto in Defi, dai protocolli di prestito agli scambi decentralizzati di criptovaluta. Ma per quanto siano essenziali, è importante non avere una fiducia cieca negli smart contract. In effetti, molti di essi contengono bug e vulnerabilità che gli aggressori possono sfruttare per prosciugare i portafogli degli utenti.
Quel che è peggio è che i bug degli smart contract sono solo uno dei numerosi rischi nel mondo della DeFi. Poiché lo spazio è interamente decentralizzato, l'onere di essere consapevole di questi rischi ricade sulle spalle dell'utente. Non solo, devono sapere anche come mitigarli, perché è altamente improbabile che qualsiasi vittima di una truffa riesca mai a recuperare i propri token.
Rischi Smart Contract
Uno dei principali pericoli della DeFi risiede negli stessi contratti intelligenti. I contratti intelligenti sono scritti utilizzando codice open source che chiunque può ispezionare ai fini della trasparenza. Tuttavia, ciò significa che anche gli aggressori tecnicamente esperti sono liberi di ispezionare il codice e, se si verificano in qualsiasi vulnerabilità, non c'è nulla che impedisca loro di approfittare per rubare fondi ad altri utenti.
In effetti, è esattamente quello che succede, troppo spesso. L'anno scorso, secondo un rapporto della società di sicurezza blockchain CertiK, gli aggressori sono riusciti a rubare fondi per un valore di oltre 1,3 miliardi di dollari sfruttando le vulnerabilità nel codice degli smart contract.
Gli smart contract hanno anche altri rischi. Ad esempio, se un utente prende una decisione sbagliata e invia fondi all'indirizzo sbagliato o utilizza la rete sbagliata, è probabile che quei token siano irrecuperabili. Non esiste un intermediario centralizzato come una banca in grado di annullare la transazione e aiutare gli utenti a recuperare i propri fondi.
Un terzo rischio inerente agli smart contract riguarda l'uso degli oracoli. Gli oracoli sono richiesti da molti contratti intelligenti che richiedono l'accesso a dati esterni di terze parti. Forniscono informazioni come i feed dei prezzi da vari scambi, ad esempio. Se quegli oracoli vacillano o vengono compromessi a causa di attività dannose, ciò crea il rischio che i contratti intelligenti vengano eseguiti in un modo non previsto.
Gli smart contract possono essere sfruttati anche in altri modi se, ad esempio, gli sviluppatori sono sciatti e lasciano scappatoie di cui possono trarre vantaggio gli aggressori sofisticati. Un recente esempio di ciò si è verificato all'inizio di questo mese, quando un utente ha realizzato un profitto di oltre 300 ETH ($ 820.000) dall'ultimo lancio di token di ApeCoin sfruttando un servizio di prestito flash che consente agli utenti di creare mercati liquidi per NFT illiquidi.
Per eliminare i rischi inerenti ai contratti intelligenti, molti servizi DeFi commissionano a società come Hacken o PeckShield l'audit del loro codice, consentendo loro di risolvere eventuali problemi che si presentano. Un altro modo in cui i progetti DeFi cercano di mitigare il rischio è offrire ricompense agli hacker white-hat tramite piattaforme come Immunefi , offrendo ricompense a chiunque sia in grado di scoprirli e informarli di bug nel loro codice. L'idea è che i bravi ragazzi scopriranno eventuali problemi prima che possano farlo gli attaccanti.
I progetti DeFi più affidabili pubblicizzeranno questi audit e programmi di ricompensa sui loro siti Web, quindi è una buona idea cercarli prima di considerare di investire in un progetto. Ciononostante, gli utenti dovrebbero fare attenzione che nessun audit è infallibile e che un certo numero di progetti che sono stati sottoposti al più alto livello di controllo sono da allora vittime di exploit .
La buona notizia è che ci sono aziende forti che mirano a fare qualcosa per la sicurezza. Nym Technologies , ad esempio, mira a migliorare la privacy attraverso il suo uso innovativo di mixnet per oscurare i dati delle transazioni. Con il suo mixnet, Nym può oscurare tutti i metadati delle transazioni blockchain, il che significa che è impossibile tracciare o tracciare i messaggi anche quando si utilizza un software di analisi avanzato per provare a farlo.
Il mixnet di Nym si basa su server proxy che mescolano tra loro i packer di metadati prima di emetterli in un ordine casuale, aiutando a nascondere l'origine e la destinazione delle transazioni. L'idea è che nascondendo le tue transazioni DeFi, sarà molto più difficile per gli hacker prendere di mira i singoli utenti
Gli utenti DeFi possono anche provare a verificare l'affidabilità del codice degli smart contract utilizzando strumenti gratuiti come Token Sniffer su Ethereum e PooCoin su Binance Chain.
Complessità dei protocolli DeFi
Uno dei maggiori rischi della DeFi di cui si parla raramente è l'incredibile complessità di alcuni dei servizi offerti. L'esperienza dell'utente in DeFi è notoriamente complicata, poiché richiede la conoscenza non solo dei protocolli ma anche di concetti come staking, fornitura di liquidità, yield farming e altro ancora.
Insieme alla moltitudine di strumenti offerti dai popolari protocolli DeFi come Aave , Curve e Compound , ci sono i rendimenti percentuali annuali incredibilmente alti che affermano di offrire, che vanno dal 5% fino al 50%. Stanno offrendo rendimenti sbalorditivi, ma il pericolo è che molti utenti non comprendano la complessità dei protocolli che stanno utilizzando e quanto sia grande il pericolo che possano vedere il loro intero deposito spazzato via in un batter d'occhio occhio se il mercato si muove nella direzione sbagliata.
Per contrastare la complessità della DeFi, i nuovi trader possono optare per un servizio come HyperDEX . È un servizio che semplifica enormemente la DeFi raggruppando prodotti finanziari complessi come "cubi" di facile comprensione che esplicitano il livello di rischio rispetto al rendimento. Gli investitori prudenti che non possono permettersi di perdere apprezzeranno i vantaggi del Fixed Income Cube di HyperDEX, che elimina la complessità dello staking e garantisce un rendimento fisso in un arco di tempo specifico semplicemente per il deposito di alcuni token. HyperDex ha anche cubi che semplificano i concetti di trading algoritmico e speculazione patrimoniale, con quei prodotti che offrono rendimenti variabili se gli investitori possono tollerare il rischio sostanziale di perdere i propri asset se fanno un'ipotesi sbagliata.
Tira il tappeto DeFi
Il vecchio "rug pull", in cui un truffatore crea un progetto falso e poi tira fuori il tappeto da sotto i piedi dei suoi investitori, è un'altra truffa comune in DeFi.
I rug pull in DeFi sono truffe di uscita in cui i predatori creano un nuovo token crittografico e un pool di liquidità per consentire lo scambio di quel token. Nel pool di liquidità, il nuovo token sarà accoppiato con un token di base come ETH o una stablecoin come USD Coin, in modo da completare gli scambi tra i due su scambi decentralizzati.
Come parte della truffa, il creatore della moneta falsa tratterrà una quantità significativa della fornitura totale dopo il lancio del token. Supponendo che abbiano avuto successo nei loro sforzi per commercializzare il nuovo token, molte persone li acquisteranno per aggiungere liquidità al pool, incentivati dalla prospettiva di guadagnare commissioni di transazione. Tuttavia, quando la liquidità raggiunge quello che il truffatore ritiene essere un livello desiderabile, scaricheranno tutti i loro token nel pool e ritireranno tutti gli ETH o USDC o qualsiasi token con cui è accoppiato. Ciò manda a zero il valore del nuovo token, mentre il truffatore vende o nasconde rapidamente gli asset che ha rimosso dal pool.
Non è sempre facile individuare gli effetti del tappeto in DeFi. Una buona indicazione che un progetto potrebbe essere una truffa è se solo pochi portafogli controllano circa la metà dell'offerta in circolazione. È possibile controllare la distribuzione dei token su un servizio blockchain explorer come Etherscan per i token ERC20.
Il pericolo di strappi non è esagerato. Uno studio del novembre 2021 ha rilevato che quasi la metà di tutti gli elenchi di token su Uniswap, uno dei DEX più popolari, erano probabilmente truffe.
Attacchi di phishing
Gli utenti DeFi devono anche stare all'erta e fare attenzione ai cosiddetti "attacchi di phishing". Il phishing è una tecnica più antica che è stata trasferita dal mondo della finanza tradizionale.
Il phishing si riferisce ai tentativi degli hacker di rubare le credenziali di accesso dei portafogli crittografici e DeFi degli utenti e lo faranno utilizzando alcuni metodi molto intelligenti. Il modo più comune è inviare un'e-mail o un messaggio contenente un collegamento che sembra indirizzare l'utente a un sito Web o portale DeFi legittimo. All'utente verrà richiesto di inserire le proprie credenziali di accesso al sito falso. Farlo è un grande no-no in quanto le credenziali di accesso verranno immediatamente inviate agli hacker, che potrebbero persino utilizzare bot dannosi per prosciugare istantaneamente i fondi del portafoglio dell'utente, anche se si rendono subito conto dell'errore.
Il numero di truffe di phishing in corso in DeFi è irreale. Twitter è uno dei veicoli preferiti dai cripto phisher, sede di sciami di bot che indirizzeranno gli utenti a un modulo di Google chiedendo loro di condividere una frase seed del portafoglio o altre informazioni sensibili. Altri si atteggiano a celebrità famose e influencer cripto, inviando messaggi agli utenti di Twitter e dando l'impressione di fare una sorta di offerta di assistenza o promozione, prima di chiedere loro di condividere informazioni sensibili.
I truffatori spesso perlustrano la blockchain e i social media alla ricerca di promettenti obiettivi di phishing. Sfortunatamente, è fin troppo facile per gli hacker determinati collegare gli utenti dei social media ai loro portafogli crittografici utilizzando la blockchain, il che significa che possono identificare alcuni obiettivi allettanti ed effettuare ripetuti tentativi di phishing attraverso più e-mail e messaggi.
Con un po' di fortuna, le cose diventeranno presto molto più difficili per i truffatori di phishing, grazie a una serie di progetti promettenti che mirano a rendere anonime le transazioni blockchain. Manta Network , ad esempio, che è un progetto sulla privacy derivante dall'ecosistema Polkadot, ha escogitato un modo per offuscare gli indirizzi dei portafogli utilizzando un sistema di livello 1 che si basa su zkSnarks. Per chi non lo sapesse, zkSnarks è una tecnica crittografica che consente a due entità di verificare le informazioni senza condividere i dati sottostanti.
Utilizzando il servizio Manta Pay, gli utenti DeFi possono mascherare l'attività del proprio portafoglio e nascondere la propria ricchezza da occhi indiscreti, che è il modo più sicuro per evitare il mirino degli attacchi di phishing.