Divulgazione: Le opinioni espresse qui appartengono esclusivamente all'autore e non rappresentano le opinioni e le opinioni della redazione di crypto.news.

Gli audit di sicurezza sono vitali, ma i loro risultati di solito non vengono contestati, mentre una singola revisione non può sempre individuare tutte le vulnerabilità. Gli audit pubblici, che spingono gli hacker white-hat a controllare nuovamente i risultati dell'audit attraverso incentivi DeFi, potrebbero aumentare la sicurezza dell'intero web3, poiché renderebbero i bug bounty accessibili anche per progetti di piccole dimensioni.

Potresti anche essere interessato: I portafogli crypto possono proteggere i tuoi dati personali | Opinione

Perché gli audit tradizionali non sono sempre sufficienti

Secondo il rapporto di sicurezza Q3 di Hacken, l'industria web3 ha perso una cifra strabiliante di 1,8 miliardi di dollari solo nel 2024. Quasi il 40% di queste perdite è stato causato da problemi prevenibili come le vulnerabilità dei contratti intelligenti e gli attacchi di reentrancy. Allarmante, il 90% dei progetti hackerati non aveva mai subito alcun audit, evidenziando una grave lacuna nella sicurezza.

Gli audit di sicurezza tradizionali sono essenziali: offrono recensioni approfondite e guidate da esperti in punti critici del ciclo di vita di un progetto, garantendo la sicurezza dei fondi degli utenti. Tuttavia, a causa della natura centralizzata di questi audit, di solito non c'è opportunità di contestarne i risultati, a meno che un progetto non investa in un secondo audit, il che è un evento raro. Aspettarsi che una singola revisione colga tutto è irrealistico, poiché anche gli auditor più diligenti sono soggetti a errori umani.

La soluzione a questo problema risiede nell'etica della decentralizzazione del web3. I progetti crypto potrebbero coinvolgere una comunità più ampia di hacker white-hat per audit pubblici, fornendo così recensioni di sicurezza decentralizzate, continue e guidate dalla comunità.

Audit di sicurezza decentralizzati: Principi & vantaggi

Il problema numero uno nella progettazione di audit decentralizzati è fornire forti incentivi a auditor indipendenti assicurandosi che non comportino costi aggiuntivi per i progetti. Lasciami tracciare un possibile modo per trovare questo equilibrio attraverso strumenti DeFi.

Immagina che la piattaforma di sicurezza lanci un pool di ricompense dedicato basato su contratti intelligenti ogni volta che ha un nuovo cliente che richiede un audit. L'azienda riempie questo pool con una quota del costo dell'audit mentre i suoi detentori di token aggiungono di più impegnando i token della piattaforma. Dopo che la piattaforma completa il proprio audit, ricercatori di sicurezza indipendenti si uniscono al gioco e controllano di nuovo il codice del cliente. Quando l'audit della comunità è completo, auditor e stakers indipendenti raccolgono ricompense dal pool.

Ecco come funzionano i DualDefense Flash Pools in Hacken. Ogni cliente che paga per un audit privato riceve un audit pubblico aggiuntivo, creando un modello di sicurezza a doppio strato. E nello spirito autentico della DeFi, la partecipazione della comunità è incentivata con ricompense di staking.

Questo approccio ha benefici di vasta portata: la comunità guadagna uno strumento APY a rendimento reale elevato, gli auditor accolgono il test tra pari dei loro risultati e gli hacker white-hat guadagnano ricompense per scoperte di bug valide, anche per trovare codice pulito. Per i progetti crypto, significa una maggiore certezza della sicurezza del loro codice. Per l'intera industria web3, offre un approccio fattibile per aumentare la sicurezza e combattere la criminalità informatica.

Gli audit decentralizzati democratizzano l'accesso alla sicurezza per i progetti web3, specialmente quelli nascenti. Molti startup crypto hanno ottimi MVP ma spesso mancano delle risorse per i tradizionali bug bounty, che possono essere costosi: nessuno può prevedere quanti bug gli hacker etici potrebbero scoprire. Il modello che proponiamo affronta questo problema con un pool di ricompensa fisso, finanziato dalla comunità, rendendo la sicurezza accessibile e prevedibile fin dall'inizio.

Implementare questo modello comporta un rischio tangibile per le aziende di audit: mette in gioco la reputazione della piattaforma consentendo a auditor esterni di verificare il proprio lavoro. In questo modo, tuttavia, l'azienda ottiene un incentivo aggiuntivo per affrontare ogni audit con ancora più attenzione, sapendo quanto pubblici saranno i risultati del proprio lavoro: in ultima analisi, questo avvantaggerebbe l'intero settore. Gli auditor di contratti intelligenti non dovrebbero allontanarsi dopo un audit: è tempo di essere audaci e assumersi la responsabilità.

Infine, i pool di audit pubblici introducono qualcosa che alla DeFi manca: ricompense supportate da denaro reale. Questo modello garantisce che i rendimenti degli utenti non siano guidati da emissioni inflazionistiche di token, che spesso portano a una crescita insostenibile e al declino del valore nel tempo. Invece, gli utenti guadagnano da attività di mercato reali, facendo un passo verso modelli finanziari più sostenibili nella DeFi.

Combinare audit tradizionali con audit sostenuti dalla comunità apre la strada a un modello di sicurezza resiliente che si adatta a progetti di tutte le dimensioni. Gli audit pubblici, supportati da incentivi guidati dalla DeFi, segnano un passo trasformativo verso una cultura della sicurezza accessibile, robusta e proattiva nel web3.

Leggi di più: L'istruzione è la chiave per una più ampia adozione della crypto | Opinione

Autore: Dyma Budorin

Dyma Budorin è co-fondatore e CEO di Hacken, il principale auditor di sicurezza blockchain, co-presidente dell'EEA DRAMA (un gruppo di gestione e contabilità del rischio DeFi) e co-autore di standard dell'industria crypto. Dopo oltre otto anni di esperienza in audit presso Deloitte, ha servito come consulente per audit presso Ukrspetsexport e vice CEO di strategia e sviluppo presso Ukrinmash (entrambe agenzie statali ucraine). Essendo un appassionato di crypto e esperto di cybersecurity, le intuizioni di Dyma sono state pubblicate da BBC, Wired, Cointelegraph, Coindesk e altre fonti mediatiche rispettabili. È anche vicepresidente dell'Associazione Blockchain dell'Ucraina.