Di Trevor Traina, fondatore e CEO di Kresus
Stai leggendo queste parole perché il nostro pianeta orbita attorno al sole alla giusta distanza per non friggerci né congelarci. Il nostro pianeta è perfettamente bilanciato affinché la vita possa prosperare. E all’interno di quel mondo esistono numerose altre forze in uno stato di equilibrio ottimale: luce e oscurità, tropicale e polare, terrestre e acquatica.
Così è quando si tratta di progettare sistemi blockchain. Le loro forze più potenti devono essere bilanciate in modo tale che una non possa usurpare l’altra. La sicurezza dovrebbe essere la più elevata possibile, ma ciò deve essere bilanciato con la necessità di mantenere un decentramento sufficiente. Le tariffe di rete dovrebbero essere basse ma non così basse da indurre attacchi di spam.
Trovare la zona Goldilocks, il luogo in cui le condizioni sono giuste, è una sfida tanto ideologica quanto tecnologica. Dopotutto, i sistemi blockchain sono in definitiva progettati e utilizzati da persone che sono forti tanto quanto il loro anello più debole. I sistemi Web3 devono superare il confine tra l’ottimizzazione per la sicurezza e la decentralizzazione. È un delicato atto di bilanciamento che va al cuore di ciò che rende preziosa la blockchain.
Troppa decentralizzazione può ucciderti
Esiste troppa libertà, ed è per questo che le società hanno leggi e codici morali per regolare i peggiori eccessi del comportamento umano. Quando si tratta di Web3, è allo stesso modo possibile avere troppa libertà (cioè decentralizzazione) sotto forma di sistemi che non possono ricorrere agli scenari peggiori:
- Un membro del team perde la chiave multisig
- Un utente perde l'accesso al proprio portafoglio
- I token vengono inviati all'indirizzo sbagliato
- Un errore di codifica lascia i fondi bloccati in un contratto intelligente
- I beni vengono rubati utilizzando un exploit
Tutte queste sono “cose brutte” per gli standard Web3, eppure accadono ogni singolo giorno. Man mano che nuovi utenti entrano nello spazio, il numero di vittime di attacchi di phishing, front-end injection, wallet wrong e altri exploit continuerà ad aumentare. Gli aggressori stanno diventando sempre più sofisticati, mentre ogni ondata di utenti Web3 rimane vulnerabile quanto la precedente.
Solo di recente, i truffatori hanno utilizzato svuota-portafogli sugli annunci di Google e X per rubare risorse digitali per un valore vicino a 60 milioni di dollari. Nel frattempo, a luglio, è stato riferito che quattro diversi svuota-portafogli avevano rubato quasi 65 milioni di dollari dall’inizio del 2023.
Date a una società troppa libertà e alcuni dei suoi membri deruberanno, aggrediranno e feriranno, guidando ad alta velocità e assumendo altri comportamenti rischiosi. Date agli utenti Web3 troppa decentralizzazione e una parte verrà hackerata, verrà hackerata, perderà l'accesso ai propri portafogli e in generale farà un pasticcio.
La libertà nel mondo reale è ostacolata dalla sicurezza: forze di polizia e CCTV. E la libertà della blockchain (decentralizzazione) viene mitigata anche attraverso la sicurezza, che deve essere impostata al giusto livello per proteggere gli utenti dagli errori più comuni mantenendo le caratteristiche che rendono la blockchain così potente:
- Forte finalità della transazione
- Mancanza di controllo centralizzato
- Sostegno all’auto-sovranità finanziaria
Alcuni utenti di criptovalute desiderano il pieno controllo sulle proprie risorse mantenendo allo stesso tempo un pulsante di annullamento in caso di errore. Altri rabbrividiscono al pensiero che i portafogli non custoditi vengano “indeboliti” attraverso disposizioni come l’accesso social, il design seedless e le condivisioni chiave detenute dallo sviluppatore.
Troppa centralizzazione può ucciderti
Conosci quel detto secondo cui compiacere alcune persone qualche volta ma non tutte le persone sempre? Quello. Quando si tratta di proteggere i sistemi decentralizzati, è difficile creare un unico prodotto che soddisfi ogni tipo di utente. Metti troppe protezioni e gli utenti più accaniti ti abbandoneranno; costringi i nuovi utenti a registrare una frase seme "perdilo a tuo rischio e pericolo" e prima o poi si sbloccheranno.
Aggiungi troppe leve centralizzate a un protocollo apparentemente decentralizzato e rischi di indebolire le stesse fondamenta che gli hanno dato forza. Considera un contratto token ERC20 aggiornabile dal suo creatore. Da un lato, ciò consente di aggiornare i parametri del token per riflettere un cambiamento di direzione. D’altro canto, consente ai creatori di token senza scrupoli di fregare i propri operatori.
Come risultato di questa dicotomia, gli sviluppatori DeFi devono trovare un delicato equilibrio tra fornire agli utenti autonomia sulle proprie risorse digitali e assicurarsi che non vengano sfruttati dai truffatori che cercano il loro prossimo bersaglio. I portafogli crittografici devono essere più sicuri, ma gli sviluppatori temono di oltrepassare i limiti del portafoglio decentralizzato che hanno creato.
Scegli il frutto basso
Allora qual è la soluzione? Bene, per prima cosa, gli sviluppatori devono implementare funzionalità di sicurezza in grado di risolvere le minacce reali, non quelle teoriche. Meno "crittografia di livello militare", in altre parole, e misure più pratiche per avvisare gli utenti quando si collegano a un sito di spoofing o stanno per inviare fondi a un noto phisher.
Molto di ciò dipende da una migliore UX e da un maggiore buon senso da parte degli sviluppatori. Ad esempio, sarebbe facile filtrare tutti gli attacchi di avvelenamento degli indirizzi in cui un utente riceve una transazione Dust da un portafoglio "sosia" con cui ha interagito di recente. Allora perché nessuno lo fa?
Concentriamoci sul contrasto agli hack e alle truffe più comuni prima di passare ad affrontare le minacce derivanti dall'informatica quantistica e dagli attacchi MiTM teorici. Gli hacker non cercano l'exploit più difficile possibile; vanno per il frutto a portata di mano, ottenendo vittorie facili ove possibile. Gli sviluppatori DeFi devono seguire l'esempio, concentrandosi sulla correzione dei modi più comuni in cui gli utenti ottengono rekt.
Sicurezza e autonomia non devono necessariamente operare in conflitto tra loro: con un po' di riflessione, è possibile avere il meglio di entrambi i mondi, combinando il potere della proprietà non custodiale con un'interfaccia utente di livello web2 che demistifica tutto, dalla firma delle transazioni al backup del portafoglio.
Il nostro pianeta potrebbe essere perfettamente bilanciato affinché la vita possa prosperare, ma l’ambiente in catena ha ancora molta strada da fare. Tuttavia, alla Terra ci sono voluti milioni di anni per creare un clima ospitale per la vita intelligente. A soli 15 anni, la blockchain ha il tempo dalla sua parte.
Biografia dell'autore
Trevor Traina è il fondatore e CEO di Kresus , la SuperApp Web3 che combina un portafoglio crittografico e una piattaforma NFT. È un investitore e un imprenditore esperto che ha co-fondato cinque società acquisite da aziende del calibro di Microsoft, MasterCard e Intuit e ha prestato servizio in numerosi consigli di amministrazione no-profit come il Fine Arts Museum di San Francisco e il Venetian Heritage, tra gli altri. . Trevor è stato ambasciatore degli Stati Uniti in Austria dal 2018 al 2021.
Il post Raggiungere l'equilibrio tra sicurezza blockchain e decentralizzazione (Op-Ed) è apparso per la prima volta su CryptoPotato .