#TrendingTopic L'anno scorso è stato una montagna russa per la crypto. Ci sono state azioni regolatorie aggressive, condanne penali di alto profilo e furti scioccanti.
Eppure – la capitalizzazione totale del mercato delle criptovalute è aumentata a oltre 1,4 trilioni di dollari nel 2023, con una crescita anno su anno di oltre il 70,7%.
Nuovi utenti e istituzioni si stanno coinvolgendo.
Nel 2023, il numero di #investors crypto è cresciuto del 2,8% al mese, e Goldman Sachs l'ha definito l'anno in cui la crypto è diventata istituzionalizzata.
I tori e gli orsi hanno entrambi ragione – c'è un'enorme opportunità nel mercato in questo momento, ma anche un rischio allarmante.
Il rischio non è solo radicato nella volatilità del mercato, o persino nelle azioni criminali sfacciate dei manager di scambio – è insito nei meccanismi stessi della crypto #transactions .
I contratti intelligenti stessi sono un obiettivo vulnerabile e allettante per gli hacker, e i nostri metodi per proteggerli ci stanno deludendo.
Ecco un rapido riassunto. Un contratto intelligente è un contratto auto-esecutivo utilizzato nelle transazioni blockchain. I termini della transazione sono scritti direttamente nelle righe di codice.
Questi contratti sono un obiettivo succulento per gli hacker – sono usati per gestire grandi somme e token di alto valore.
Se puoi manipolare il contratto, puoi dirigere i token come vuoi.
Le entità blockchain si proteggono con audit dei contratti intelligenti, in cui revisori indipendenti ispezionano il contratto intelligente per difetti di design, vulnerabilità di sicurezza, efficienza e altri problemi di codifica.
Gli auditor emettono un rapporto pubblico, elencando tutti i problemi riscontrati e i passi intrapresi per mitigarli.
Finora, tutto chiaro – gli audit aiutano le aziende blockchain a garantire che i loro contratti intelligenti siano sicuri e aiutano gli investitori a prendere decisioni informate.
Il processo è tutt'altro che infallibile, però. Non ci sono standard ampiamente adottati per la verifica dei contratti intelligenti, e nessun audit può davvero garantire che un contratto intelligente sia privo di bug.
Di conseguenza, molte vulnerabilità sfuggono alle crepe, spesso con risultati devastanti.
Ecco alcuni esempi solo del 2023.
LendHub – exploit da 6 milioni di dollari – gennaio 2023
LendHub ha lasciato una versione obsoleta del token IBSV nel suo contratto intelligente durante un aggiornamento. Entrambe le versioni, vecchia e nuova, erano attive nel contratto allo stesso prezzo.
Gli attaccanti sono stati in grado di acquistare la vecchia versione e #swap per la nuova, portando via 6 milioni di dollari in valore aggiuntivo.
BonqDAO – exploit da 120 milioni di dollari – febbraio 2023
Gli attaccanti sono stati in grado di manipolare la funzione ‘update price’ nel contratto intelligente di BonqDAO, permettendo loro di cambiare il prezzo del token ALBT di AllianceBlock.
Gli hacker hanno poi coniato e scambiato grandi quantità di token, portando infine alla vasta svalutazione e liquidazione di ALBT.
Euler Finance – exploit da 197 milioni di dollari – marzo 2023
Una falla nel contratto intelligente di Euler Finance ha permesso a un attaccante di depositare garanzie e prendere in prestito contro di esse senza attingere alla garanzia iniziale.
Hanno utilizzato questo bug per eseguire un attacco flash loan che ha consentito loro di ritirare quasi 200 milioni di dollari in beni basati su #ETH in pochi istanti.
Non possiamo fermare questa emorragia con più audit. Il contratto intelligente di Euler Finance ha subito 10 audit diversi da sei diverse aziende e ha comunque subito uno dei più grandi attacchi singoli dell'anno.
Parte del problema è che gli audit sono retrospettivi. Si concentrano su vulnerabilità note, perdendo exploit nuovi.
Gli hacker sono subdoli e creativi – abbiamo bisogno di misure di sicurezza che possano anticipare e rispondere a approcci completamente nuovi.
$AI potrebbe essere utile per sigillare le crepe nel processo di audit del contratto intelligente.
Negli esperimenti usando GPT-4 di OpenAI, OpenZeppelin è stata in grado di utilizzare l'IA per identificare vulnerabilità in 20 su 28 sfide del gioco di hacking dei contratti intelligenti Ethernaut.
Tuttavia, i veri contratti intelligenti sono molto più complessi, e le opportunità di sfruttarli sono più varie rispetto a qualsiasi cosa in un ambiente controllato come un gioco.
E c'è di più – catturare il 70% delle vulnerabilità non è affatto sufficiente.
Se il tuo team di sicurezza di rete potesse fermare solo il 70% degli attacchi, verrebbero tutti licenziati.
Dovremo aspettare almeno un'altra generazione prima che l'IA possa seriamente assistere nella sicurezza dei contratti intelligenti, e abbiamo bisogno di soluzioni ora.
Queste misure aggiuntive possono essere applicate a livello di wallet in modo che le transazioni siano verificate prima di essere inviate on-chain.
Tali misure potrebbero includere l'indirizzamento dell'ispezione per prevenire attori sleali dall'eseguire contratti, la storia del contratto intelligente che traccia qualsiasi modifica contrattuale alle loro origini o front-running per fermare qualsiasi transazione sospetta prima che i token vengano trasferiti.
Molti exploit dei contratti intelligenti si basano sulla velocità. Costruendo più attrito nelle transazioni, possiamo renderle più sicure e meno attraenti per gli attori cattivi.
Il 2024 è iniziato con la crypto nella posizione più forte che ha occupato in anni, ma le vulnerabilità dei contratti intelligenti hanno gettato un'ombra su questo progresso.
Questo è un punto di inflessione, dove la promessa della blockchain incontra la realtà dei suoi rischi.
Ora, il nostro compito è prendere sul serio la sicurezza in ogni fase delle transazioni blockchain.
Daniel Chong è il CEO e co-fondatore di Harpie, la piattaforma di sicurezza crypto. Mentre perseguiva una laurea in Matematica presso la Duke University, Daniel ha lavorato come consulente nello sviluppo e nella sicurezza per varie aziende crypto, portando progetti premiati alla vittoria in conferenze tra cui $ETH Denver. È dedicato a mettere fine alla minaccia del furto di crypto e rendere i contratti intelligenti sicuri e accessibili a tutti.
Dichiarazione: Le opinioni espresse su The @WISE PUMPS non sono consigli di investimento. Gli investitori dovrebbero fare le loro dovute indagini prima di effettuare investimenti ad alto rischio in Bitcoin, criptovaluta o beni digitali. Si prega di notare che i vostri trasferimenti e scambi sono a vostro rischio, e qualsiasi perdita che potreste subire è sotto la vostra responsabilità. The @WISE PUMPS non raccomanda l'acquisto o la vendita di criptovalute o beni digitali, né The @WISE PUMPS è un consulente finanziario.