Divulgazione: Le opinioni espresse qui appartengono esclusivamente all'autore e non rappresentano le opinioni e le visioni della redazione di crypto.news.
Per gran parte del 2024, mi sono sentito come se stessi vivendo nel futuro. Google ha svelato un chip di calcolo quantistico che può facilmente eseguire calcoli che richiederebbero a un computer tradizionale più tempo di quanto l'universo sia esistito. I veicoli autonomi di Waymo hanno trasportato oltre 150.000 persone settimanalmente. Modelli di intelligenza artificiale come AlphaFold hanno continuato a risolvere complesse sfide biologiche con precisione.
Potresti anche essere interessato a: Decentralizzare la cybersecurity: Gli audit pubblici beneficiano dell'industria del web3 | Opinione
Nonostante i massicci progressi tecnologici altrove, parti della nostra stessa industria sembravano ferme, specialmente per quanto riguarda la sicurezza. Mentre tecnologie avanzate stanno trasformando quasi ogni settore, la sicurezza del web3 rimane frustrantemente rotta.
Il passaggio dal modello centralizzato del web2 all'architettura decentralizzata del web3 ha ampliato drammaticamente la superficie di attacco. Mentre la decentralizzazione è la spina dorsale dell'innovazione del web3, ha creato un paradosso di sicurezza intrinseco: la stessa natura aperta e distribuita che offre libertà agli utenti crea anche una superficie di attacco espansiva e permanentemente esposta. Con centinaia di miliardi di volume di transazioni annuali, le scommesse per ottenere la sicurezza giusta non sono mai state così alte.
Eppure, nonostante la crescita sismica della superficie di attacco e miliardi che scorrono attraverso i protocolli, la nostra industria si aggrappa a audit reattivi e manuali come sua base di sicurezza. Questo approccio––un tempo considerato il gold standard della sicurezza del web3––si è dimostrato estremamente insufficiente e obsoleto. E i dati confermano questa realtà; il 90% dei contratti sfruttati hanno subito audit.
Proprio come lo sviluppo software del web2 è evoluto ben oltre il testing manuale per includere una serie di strumenti e tecniche—integrazione continua, testing automatizzato, monitoraggio in tempo reale, per citarne alcuni—il web3 ora richiede una trasformazione simile nel modo in cui affrontiamo lo sviluppo e, infine, implementiamo per le masse.
Le sfide uniche del web3
Lo stato delle pratiche di sicurezza dei contratti intelligenti è particolarmente allarmante quando viene confrontato con il livello di rischio di una violazione della sicurezza del web3. Ci sono tre motivi chiave per questo:
Immutabilità: Quando implementi un contratto intelligente, il suo codice diventa permanente—l'immutabilità è una caratteristica fondamentale, non un bug. Questo significa che, a differenza delle applicazioni del web2, dove gli sviluppatori possono rapidamente correggere le vulnerabilità, correggere i difetti dei contratti intelligenti richiede una complessa coordinazione attraverso l'intero protocollo.
Visibilità: A complicare questa sfida è la natura pubblica del codice blockchain, dove i potenziali attaccanti hanno visibilità nel codice sorgente. Se esistono vulnerabilità, gli attori malintenzionati possono (e troveranno) trovarle.
Controllo diretto sugli asset: In modo cruciale, le vulnerabilità del web3 mettono gli asset reali a rischio immediato. Mentre gli attacchi del web2 mirano tipicamente ai dati, le sfruttamenti dei contratti intelligenti portano a perdite finanziarie dirette, spesso irreversibili.
Ciò che rende rivoluzionario il web3—la sua immutabilità, trasparenza e controllo diretto degli asset—è esattamente ciò che richiede di ripensare la sicurezza da zero.
Perché gli audit da soli non bastano
Lasciami essere chiaro: non sto argomentando contro gli audit. Svolgono un ruolo essenziale nell'implementazione di contratti intelligenti sicuri, ma non dovrebbero essere la nostra prima e unica linea di difesa. Quando gli audit sono tutto ciò che abbiamo, gli asset degli utenti rimangono esposti. Prendi ad esempio l'hack di Euler Finance nel 2023; le perdite hanno superato i 200 milioni di dollari, nonostante il protocollo avesse subito dieci audit diversi.
Il problema più fondamentale con il fare affidamento su audit manuali è che anche gli auditor più avanzati non possono catturare tutto; gli esseri umani sono fallibili. I contratti intelligenti stanno diventando sempre più complessi, e ogni nuova funzionalità moltiplica esponenzialmente i potenziali vettori di attacco, rendendo praticamente impossibile per qualsiasi revisione manuale identificare ogni potenziale debolezza. Il fatto che un progetto possa subire dieci audit diversi e ancora essere hackato dimostra questo punto––non si tratta dell'abilità dei singoli auditor ma piuttosto delle limitazioni intrinseche della revisione manuale.
Il caso per una sicurezza proattiva
In breve, l'affidamento della nostra industria sugli audit ha creato quello che credo sia uno status quo irresponsabile per la sicurezza del web3—uno in cui la sicurezza proattiva dei contratti intelligenti è l'eccezione piuttosto che la regola. La realizzazione che il web3 aveva innovato mentre la sicurezza era rimasta nel passato è esattamente ciò che mi ha portato a fondare Olympix, una piattaforma di sicurezza web3 orientata agli sviluppatori che consente agli sviluppatori di proteggere il codice mentre lo scrivono, nel 2022.
Il nostro obiettivo è automatizzare il più possibile il processo di audit, attualmente catturando il 20-50% delle vulnerabilità prima che il progetto raggiunga anche il suo primo audit. Questo consente agli esperti di sicurezza di concentrare il loro tempo sulla ricerca delle vulnerabilità più ad alto impatto e innovative invece che su questioni di routine. E funziona; un'analisi interna ha mostrato che nel terzo trimestre del '24 da sola, 60 milioni di dollari in contratti precedentemente auditati e sfruttati sarebbero stati prevenuti se i team avessero utilizzato i nostri strumenti. Ciò include hack di alto profilo come Pendle (6,5 milioni di dollari) e LIFI (600.000 dollari). Tuttavia, come gli audit, strumenti avanzati come Olympix non sono una soluzione completa. Le sfide uniche del web3 richiedono un approccio sofisticato e multilivello che combina strumenti proattivi orientati agli sviluppatori con audit tradizionali, programmi di bounty per bug e monitoraggio on-chain per creare molteplici livelli di protezione.
La strada da percorrere: Da reattiva a proattiva
Dai un'occhiata al tuo approccio alla sicurezza oggi. Si basa su audit una tantum? La sofisticazione delle tue pratiche di sicurezza corrisponde alla complessità e al livello di rischio del progetto che hai implementato? Scommetterei che per una vasta maggioranza, il divario di sicurezza rimane pericolosamente ampio.
La realtà è che nel 2025 abbiamo tutto ciò di cui abbiamo bisogno per trasformare la sicurezza del web3. La tecnologia per implementare in sicurezza i contratti intelligenti è qui, e gli strumenti esistono–Olympix essendo uno di essi.
Credo fermamente che il futuro della nostra industria sarà determinato dalla fiducia, a partire dalla nostra capacità di proteggere gli asset che i nostri pari ci affidano. Sì, il web3 è trasformativo, ma è anche spietato. Con miliardi in gioco, la robustezza e la longevità del web3 sono sulle nostre spalle. Sicurezza il nostro futuro in modo proattivo.
Leggi di più: Cosa ci riserva il 2025 per cripto e asset digitali? | Opinione
Autore: Channi Greenwall
Channi Greenwall è la fondatrice di Olympix, un'azienda di strumenti di sicurezza proattivi per lo sviluppo del web3 che ha garantito oltre 10 miliardi di dollari di valore totale bloccato attraverso i protocolli. Dopo solo pochi anni di esistenza, la piattaforma è già utilizzata da oltre il 30% degli sviluppatori di Solidity per la sicurezza dei contratti intelligenti. Prima di Olympix, ha progettato infrastrutture di sicurezza mission-critical presso JP Morgan Chase, seguita da un ruolo come leader di prodotto presso Security Scorecard. Ha conseguito una laurea in Informatica e un master in Ingegneria della Sicurezza presso la NYU.