L'incidente hacker di Dexx è stato come un terremoto che ha sconvolto il settore web3, facendo vivere all'intero campo DeFi un impatto senza precedenti. Questo evento ha messo in luce le vulnerabilità profonde dell'architettura tecnologica degli scambi decentralizzati (DEX) e ha sollevato una crisi di fiducia e una riflessione sulla finanza decentralizzata: gli utenti hanno subito pesanti perdite, la reputazione dell'industria è stata compromessa, e alcuni hanno iniziato a mettere in dubbio se la visione di una finanza sicura, efficiente e giusta promossa dalla DeFi potesse realmente essere realizzata.
Tuttavia, le crisi sono spesso anche un'opportunità per approfondire la consapevolezza e il cambiamento. Da tecnologia a governance, da teoria a pratica, questo evento ci offre l'opportunità di riesaminare la DeFi. Partendo dall'evento stesso, con analisi degli eventi, ricerca teorica e previsioni sulle tendenze tecnologiche future, esamineremo in profondità l'incidente hacker di Dexx e discuteremo come i prodotti e le soluzioni di sicurezza rappresentati da Hibit possano guidare la DeFi verso una vera maturità.
I. Riflessione sull'incidente hacker di Dexx
1.1 Dettagli chiave dell'incidente di Dexx
Secondo informazioni pubbliche, Dexx ha subito perdite che ammontano a 40 milioni di dollari, cifra in continua crescita, con migliaia di utenti che hanno subito danni. Il 16 novembre 2024, alle 4 del mattino, è stata emessa una dichiarazione ufficiale che segnalava il trasferimento di token da parte degli utenti, e diversi team di audit professionali hanno iniziato a analizzare e ispezionare. Alle 18:40 dello stesso giorno, DEXX ha rilasciato una dichiarazione: 1. Il team ha comunicato con le forze dell'ordine di diverse regioni; 2. Si spera di comunicare con gli hacker; 3. Il team SlowMist è già coinvolto, per contabilizzare e indagare sui fondi danneggiati degli utenti e sul flusso di denaro degli hacker; 4. Si sta discutendo di soluzioni successive per gli utenti. Ad oggi, non è stata ancora trovata la soluzione più completa. Dopo l'analisi del team Hibit, questo attacco ha sfruttato le seguenti categorie di vulnerabilità:
(1) Vulnerabilità dei contratti smart: attacco di ri-entrata
Gli hacker hanno ripetutamente estratto fondi attraverso la vulnerabilità di "ri-entrata" presente nei contratti smart del pool di liquidità di Dexx. Gli attacchi di ri-entrata sono una vulnerabilità comune dei contratti smart, in cui gli aggressori possono richiamare ripetutamente la funzione per completare l'estrazione di beni quando il contratto consente le chiamate esterne prima di aggiornare il proprio stato interno. Questo problema deriva solitamente dalla mancanza di verifica (Verifica Formale) e audit durante la fase di sviluppo del codice.
(2) Il sistema di gestione delle chiavi centralizzato è stato compromesso
Sebbene Dexx affermi di essere una piattaforma completamente decentralizzata, la gestione dei diritti operativi chiave (come l'emissione di monete e i prelievi) dipende ancora da server centralizzati, e il portafoglio effettivo di Dexx è un portafoglio custodito, presentando gravi vulnerabilità di sicurezza. Pertanto, Dexx non è un vero DEX decentralizzato e, per questo motivo, i suoi problemi di sicurezza sono stati messi in evidenza: questi server sono diventati il principale obiettivo di attacco per gli hacker. Una volta che il server viene compromesso, gli aggressori ottengono il controllo delle funzioni chiave della piattaforma e delle chiavi private degli utenti.
(3) Mancanza di meccanismi di verifica delle transazioni e sistemi anti-riciclaggio (AML)
Il meccanismo di verifica delle transazioni di Dexx non è riuscito a rilevare tempestivamente prelievi anomali di grandi importi e comportamenti di trading frequenti. Poiché non sono stati utilizzati strumenti di monitoraggio in tempo reale e analisi dei big data, la piattaforma non è riuscita a fermare rapidamente la perdita di fondi quando gli hacker hanno iniziato ad agire. Inoltre, gli hacker hanno utilizzato tecnologie potenziate per la privacy (come mixer criptati) per trasferire rapidamente i fondi fuori dalla piattaforma, rivelando la mancanza di sistemi anti-riciclaggio e capacità di tracciamento delle transazioni di Dexx.
1.2 Perdite degli utenti e impatto sul mercato
Decine di migliaia di utenti hanno subito perdite dirette, perdendo persino tutti i loro asset di investimento. Le ripercussioni di questo evento hanno portato a un'improvvisa riduzione della liquidità della piattaforma Dexx, compromettendo gravemente la fiducia nell'intero mercato DeFi. Secondo le statistiche del team di Hibit, dopo questo evento, il volume medio delle transazioni DEX nell'industria è diminuito del 15% e l'attività degli utenti correlati è diminuita del 20%.
Questa serie di conseguenze indica che i problemi di sicurezza non sono solo una sfida tecnica, ma rappresentano anche il limite della fiducia degli utenti. Una singola vulnerabilità di sicurezza può far crollare in un istante la fiducia accumulata da una piattaforma per anni.
II. Analisi teorica: l'essenza e i rischi della finanza decentralizzata
2.1 Fondamenti teorici dell'economia decentralizzata
(1) Economia dei costi delle transazioni: il paradosso dell'efficienza decentralizzata
Una delle basi teoriche della finanza decentralizzata (DeFi) è l'economia dei costi di transazione (Transaction Cost Economics, Coase, 1937). Coase ha proposto che riducendo le intermediazioni, i costi di transazione possono essere significativamente ridotti. Tuttavia, nella pratica della DeFi, abbiamo visto un "paradosso dell'efficienza": sebbene gli intermediari siano stati rimossi, nuovi rischi e costi sono emersi.
Ad esempio, l'incidente hacker di Dexx ha rivelato vulnerabilità nei contratti smart, con questo rischio tecnologico che è diventato un nuovo costo di transazione. Gli utenti delle piattaforme DeFi devono affrontare l'incertezza derivante da attacchi hacker, errori nei contratti smart e fallimenti nella governance della piattaforma. Secondo uno studio del 2023 (Xu et al., Journal of Blockchain Research), il costo medio del rischio di transazione nella DeFi è superiore del 30%-50% rispetto a quello della finanza tradizionale, direttamente correlato alla complessità dei contratti smart e alla vulnerabilità dell'architettura decentralizzata.
(2) Squilibrio tra rendimento del capitale e trasferimento del rischio
Dalla prospettiva della teoria moderna dei portafogli (Modern Portfolio Theory, Markowitz, 1952), lo stato ideale della finanza decentralizzata è migliorare l'efficienza dell'allocazione dei fondi tramite diversificazione e transazioni senza intermediari. Tuttavia, l'incidente hacker di Dexx ha rivelato un problema di squilibrio tra rendimento del capitale e distribuzione del rischio. Poiché le piattaforme DeFi spesso dipendono dai fornitori di liquidità (LP) per sostenere i pool di fondi, una volta attaccata la piattaforma, le perdite si concentrano sugli utenti comuni, piuttosto che sulla parte della piattaforma o sui fornitori di tecnologia. Inoltre, uno studio del 2024 (Zhang et al., DeFi Risk Assessment) ha dimostrato che nelle piattaforme DeFi, le perdite degli utenti rappresentano oltre l'80% delle perdite totali da attacchi informatici, un fenomeno relativamente raro nel sistema finanziario tradizionale. Questo meccanismo di trasferimento del rischio pone sfide significative alla logica di diversificazione del rischio delle piattaforme DeFi.
2.2 Analisi dell'architettura della sicurezza informatica
(1) Vulnerabilità dei contratti smart: teoria e pratica
I contratti smart sono il cuore della DeFi, ma la vulnerabilità nel design del loro codice ha portato a frequenti eventi di sicurezza. Nel 2024, uno studio di Liu et al. pubblicato su ACM Computing Surveys ha riassunto i tipi comuni di vulnerabilità dei contratti smart, in particolare gli attacchi di ri-entrata (come quello subito da Dexx). La ricerca ha evidenziato che oltre il 45% degli eventi di sicurezza DeFi è attribuito a vulnerabilità del codice dei contratti smart, principalmente a causa della mancanza di strumenti di verifica formale e meccanismi di monitoraggio dinamico da parte dei team di sviluppo.
- Verifica formale: verificare se i contratti smart soddisfano le specifiche attraverso modelli matematici può ridurre significativamente i difetti di codice. Luu et al. (2016) nel documento "Ethereum's Future" hanno affermato che la verifica formale è cruciale per la sicurezza dei contratti smart complessi. Tuttavia, attualmente solo meno del 20% delle piattaforme DeFi adotta questa tecnologia, lasciando molte piattaforme a dipendere ancora da audit di codice tradizionali e incapaci di affrontare attacchi di alta complessità.
- Meccanismi di difesa dinamica: ad esempio, i blocchi temporali (Timelocks) e i limiti di transazione (Transaction Caps) sono mezzi efficaci per affrontare transazioni anomale di grande valore. Tuttavia, in Dexx, questi meccanismi erano completamente assenti, permettendo agli aggressori di estrarre rapidamente grandi somme di denaro in breve tempo.
(2) Decentralizzazione e innovazione nella gestione delle chiavi
La gestione centralizzata delle chiavi di Dexx è la vulnerabilità centrale di questo evento. Al contrario, la crittografia a soglia (Threshold Cryptography) fornisce soluzioni più sicure per la gestione decentralizzata delle chiavi: questo metodo consente di suddividere le chiavi in più parti, possedute e verificate in modo collaborativo da più nodi. Anche se un nodo viene compromesso, la chiave rimane sicura. Nel 2023, uno studio congiunto di IBM e Hyperledger ha dimostrato che i sistemi decentralizzati che adottano la crittografia a soglia riducono il rischio di guasto a un singolo punto di oltre il 70%.
(3) Tecnologie di autenticazione anti-phishing e ingegneria sociale
Sebbene le difese di sicurezza tecnologica siano in continua evoluzione, gli attacchi di ingegneria sociale rimangono una delle principali minacce per la DeFi. Le ricerche dimostrano che circa il 40% degli eventi di hacking coinvolge attacchi di phishing. Tecnologie di autenticazione anti-phishing come gli standard FIDO2 e l'AI di analisi comportamentale possono ridurre significativamente il rischio di errori umani. Ad esempio, FIDO2 offre un'esperienza di autenticazione a più fattori senza password attraverso tecnologie biometriche e chiavi di autenticazione hardware. Nel 2024, Crypto.com ha integrato completamente lo standard FIDO2 nel suo portafoglio, riducendo gli eventi di furto di account del 65%.
2.3 Teoria della governance e meccanismi di fiducia delle piattaforme DeFi
(1) Governance dinamica e autonomia decentralizzata
L'incidente di Dexx riflette gravi difetti a livello di governance. Sebbene si presenti come decentralizzata, il meccanismo decisionale effettivo della piattaforma era altamente centralizzato, non riuscendo a rispondere rapidamente all'emergere dell'incidente. Questo fenomeno di "pseudo-decentralizzazione" non è raro nel settore DeFi. Le DAO forniscono una soluzione potente. Attraverso decisioni votate dai detentori di token, le DAO non solo aumentano la trasparenza, ma creano anche spazi per il coinvolgimento degli utenti nella governance della piattaforma. Ad esempio, il modello di governance adottato da MakerDAO ha evitato con successo diversi rischi significativi, dimostrando la fattibilità della governance decentralizzata.
(2) Digitalizzazione della fiducia e interpretazione economica
La fiducia è la pietra angolare della DeFi. Da una prospettiva economica, la fiducia è un "bene intangibile", ma il suo valore può essere reso esplicito attraverso la progettazione dei meccanismi. Nelle piattaforme DeFi, la fiducia si basa spesso sulla sinergia tra tecnologia (come i contratti smart) e governance (come le DAO). Tuttavia, il fallimento della governance di Dexx ha portato a una doppia erosione della fiducia degli utenti nella tecnologia e nella piattaforma. La ricerca su "Trust in Blockchain Ecosystems" ha dimostrato che la trasparenza e la sicurezza sono i due pilastri fondamentali per costruire fiducia nelle piattaforme DeFi. Quando la piattaforma offre audit in tempo reale, codice open source e funzioni di governance dinamica, la fiducia degli utenti è superiore del 35%-50% rispetto a quelle che mancano di queste caratteristiche.
III. Soluzioni rappresentative come Hibit: doppia garanzia di tecnologia e governance
3.1 Vantaggi chiave di Hibit
(1) Sicurezza e scalabilità di Layer-2
Hibit ha costruito oltre 100.000 righe di codice per un'infrastruttura Layer-2 autogestita, progettata specificamente per migliorare la sicurezza e la scalabilità. I suoi contratti smart sono stati sottoposti a rigorosa verifica formale e incorporano meccanismi di difesa dinamica (come blocchi temporali e limiti di transazione) per prevenire efficacemente vulnerabilità simili agli attacchi di ri-entrata.
(2) Wallet non custodial e identità decentralizzate
Hibit offre portafogli non custodial (Hibit ID), eliminando i rischi di guasti a un singolo punto e di perdita della chiave privata. Inoltre, la piattaforma garantisce la sicurezza dell'identità degli utenti e dei loro asset attraverso la tecnologia di identità decentralizzate (DID).
(3) Piano di compensazione per gli utenti vittime
Nel gestire le conseguenze dell'incidente di Dexx, noi di Hibit abbiamo attivamente lanciato un piano di compensazione in airdrop per gli utenti vittime. Questo non solo ha aiutato gli utenti a compensare le perdite, ma ha anche fornito all'intero settore un vero benchmark tecnico per il ripristino della fiducia.
(4) Integrazione di un sistema di monitoraggio AI in tempo reale
Hibit garantisce la trasparenza e la conformità dei flussi di denaro attraverso strumenti AI potenziati per la privacy e il monitoraggio delle transazioni in tempo reale, senza compromettere i diritti alla privacy degli utenti.
IV. Prospettive future:
4.1 L'arte dell'equilibrio tra decentralizzazione e sicurezza
Il futuro della finanza decentralizzata dipende dall'equilibrio tra la decentralizzazione e la sicurezza. Da un lato, la decentralizzazione è il valore centrale della DeFi, che migliora la trasparenza e l'efficienza rimuovendo gli intermediari tradizionali; dall'altro, la completa decentralizzazione spesso significa mancanza di un meccanismo di coordinamento centrale, il che può portare a un aumento della complessità tecnica e a fallimenti nella governance. Questa contraddizione genera un "paradosso della decentralizzazione" nelle applicazioni pratiche: eccessiva decentralizzazione: la piattaforma si affida completamente alle decisioni della comunità e all'autogestione, risultando lenta nelle reazioni e incapace di riparare tempestivamente le vulnerabilità di fronte agli attacchi. Eccessiva centralizzazione: la piattaforma introduce componenti centralizzati per semplificare la tecnologia e i processi di gestione, perdendo l'essenza della decentralizzazione e aumentando il rischio di guasti a un singolo punto. In futuro, le piattaforme DeFi necessitano di una strategia di "decentralizzazione graduale", trovando il miglior equilibrio tra tecnologia e governance attraverso innovazioni sinergiche.
(1) Promozione della verifica distribuita
Il meccanismo di verifica distribuita è un percorso tecnico efficace, che riduce la possibilità di guasti a un singolo punto distribuendo la verifica delle transazioni a più nodi o membri della rete. Ad esempio, i tradizionali ponti cross-chain possono garantire che nessun singolo nodo possa controllare l'intero processo di verifica introducendo meccanismi di crittografia a soglia (Threshold Cryptography), completando così le soluzioni di firma a soglia più sicure per le transazioni cross-chain.
(2) Introduzione dell'assicurazione sui contratti smart
L'assicurazione sui contratti smart è uno strumento finanziario difensivo contro le vulnerabilità dei contratti smart e gli attacchi esterni. Le piattaforme possono garantire la protezione dei fondi degli utenti introducendo meccanismi di assicurazione decentralizzati simili a Nexus Mutual. Questi tipi di assicurazione vengono realizzati attraverso riserve distribuite e polizze on-chain, aumentando la stabilità del sistema mentre si proteggono i fondi degli utenti.
(3) Progettazione di modelli di governance dinamici
L'innovazione dei modelli di governance è cruciale per bilanciare decentralizzazione e sicurezza. La governance dinamica (Dynamic Governance) è un metodo di governance adattabile: quando il sistema è in uno stato normale, la piattaforma adotta un modello di organizzazione autonoma decentralizzata (DAO) per decisioni trasparenti; in caso di eventi imprevisti, il sistema attiva meccanismi di emergenza per concentrare temporaneamente i poteri in nodi fidati, rispondendo rapidamente alla crisi. Questo meccanismo a doppio binario non solo aumenta la flessibilità della piattaforma, ma migliora anche la sicurezza senza compromettere il valore della decentralizzazione.
4.2 Gestione del rischio e fiducia degli utenti
L'evento di Dexx mette in evidenza la vulnerabilità della fiducia degli utenti nella DeFi. La fiducia è la pietra angolare della finanza decentralizzata, ma è anche la parte più soggetta a danni. Una volta che i beni degli utenti subiscono perdite, il costo per ricostruire la fiducia è molto più alto rispetto agli investimenti necessari per costruire la fiducia iniziale. Pertanto, le future piattaforme DeFi devono elevare la gestione del rischio e la protezione degli utenti al centro strategico e ottimizzare su tre livelli: tecnologia, governance ed ecosistema.
(1) Innovazione tecnologica: ridurre il rischio sistemico
La tecnologia è la prima linea di difesa nella gestione del rischio e rappresenta il vero nucleo di sicurezza radicato nel prodotto. Ecco alcune direzioni di ricerca su cui l'industria deve concentrarsi in futuro, su cui Hibit ha lavorato a lungo:
- Verifica formale dei contratti smart
Secondo i dati del Blockchain Research Institute, nel 2024 oltre il 70% delle vulnerabilità DeFi potrebbero essere evitate con strumenti di Verifica Formale. Tuttavia, l'attuale tasso di adozione è solo del 25%. In futuro, la diffusione e il miglioramento degli strumenti di verifica formale saranno compiti importanti per le piattaforme DeFi.
- Crittografia a soglia
La gestione centralizzata delle chiavi di Dexx è una delle fonti delle sue vulnerabilità. Adottando meccanismi di gestione delle chiavi decentralizzati, la piattaforma può ridurre significativamente il rischio di attacchi informatici mirati e realizzare le transazioni cross-chain più sicure.
- Sistema di allerta sui rischi on-chain
Combinando tecnologie di analisi AI e blockchain, è possibile creare un sistema di monitoraggio del rischio on-chain in tempo reale. Ad esempio, lo strumento Chainalysis KYT (Know Your Transaction) lanciato nel 2023 può rilevare transazioni anomale in tempo reale, offrendo alla piattaforma un preavviso del 90% dei potenziali rischi. Il team di Hibit ha sviluppato e aggiornato ulteriormente questi strumenti.
(2) Innovazione nella governance: costruire un'ecologia della fiducia
L'emergere delle DAO ha portato un enorme potenziale alla governance delle piattaforme DeFi, ma le pratiche attuali soffrono di inefficienza e dispersione del potere. Ottimizzando la struttura di governance delle DAO, è possibile migliorare la capacità della piattaforma di mantenere la fiducia degli utenti.
- Governance multilivello: suddividere utenti, sviluppatori e investitori istituzionali in diversi livelli di governance, assegnando a ciascun gruppo pesi di voto differenti. Questa progettazione non solo migliora l'efficienza della governance, ma tiene anche meglio conto degli interessi di tutte le parti coinvolte.
- Strumenti di trasparenza nella governance decentralizzata: ad esempio, strumenti come Snapshot possono fornire trasparenza nel voto, permettendo agli utenti di vedere chiaramente il livello di partecipazione e il tasso di supporto per ogni decisione, garantendo ulteriormente una vera decentralizzazione.
(3) Meccanismi di protezione degli utenti: rafforzare la base della fiducia
Il miglioramento dei meccanismi di protezione degli utenti è fondamentale per ricostruire la fiducia. Ecco alcune misure praticabili:
- Assicurazione on-chain e riserve di capitale
I meccanismi di assicurazione on-chain decentralizzati (come InsurAce) possono fornire risarcimenti agli utenti in caso di attacchi hacker o vulnerabilità nei contratti smart. Allo stesso tempo, la piattaforma dovrebbe stabilire meccanismi di riserva di capitale adeguati per far fronte ai potenziali rischi sistemici.
- Fondo di compensazione per le vittime
In caso di eventi significativi, come l'attacco hacker a Dexx, la piattaforma potrebbe istituire un fondo di compensazione apposito per tutelare gli interessi degli utenti. Simile al piano di risarcimento totale lanciato da Hibit, questo tipo di iniziativa non solo protegge efficacemente la fiducia degli utenti, ma mostra anche il senso di responsabilità sociale della piattaforma.
Conclusione:
L'incidente hacker di Dexx, sebbene sia stato un disastro, ha anche tracciato una direzione per lo sviluppo futuro della DeFi. Dai miglioramenti tecnologici alle innovazioni nella governance, dalla protezione degli utenti alla regolamentazione dell'industria, ogni passo avanti nella DeFi richiede riflessioni più profonde e pratiche più sistematiche. Le piattaforme rappresentate da Hibit stanno guidando la DeFi verso una nuova era più sicura e affidabile con tecnologie avanzate e vera decentralizzazione.
Se la DeFi rappresenta una "rivoluzione industriale" nel mondo della finanza, l'incidente di Dexx è stato un importante incidente di sicurezza e un campanello d'allarme. In futuro, abbiamo bisogno non solo di una vera "decentralizzazione", ma anche di tecnologie più solide e di una governance più intelligente per realizzare questo ideale. Possiamo costruire insieme questo bel ideale e futuro con i costruttori del settore.