Solo pochi giorni fa, l’exchange Velocore ha perso circa 10 milioni di dollari a causa di una violazione della sicurezza sulle sue blockchain, evidenziando la gravità delle crisi di sicurezza che minacciano l’industria delle criptovalute.

Naturalmente, questo non è il primo incidente di sicurezza di cui sentiamo parlare di scambi centralizzati e decentralizzati. Molte tattiche di hacking e non hanno rubato miliardi al settore delle criptovalute, in particolare il disastro da 1,4 miliardi di dollari dello scorso anno. 

Queste violazioni della sicurezza si sono verificate e continueranno fino a quando gli scambi di criptovaluta non dedicheranno una parte maggiore delle proprie risorse alla copertura dei punti ciechi e all’implementazione di misure preventive. 

Attualmente, la maggior parte degli attacchi agli scambi di criptovalute avviene attraverso una di queste porte, alcuni su scambi centralizzati e altri su DEX: 

  • Contratti intelligenti

  • Vulnerabilità concatenate

  • Manipolazioni dei prezzi

Errori di codifica e contratti intelligenti imperfetti

Nonostante la loro natura innovativa, i contratti intelligenti non sono infallibili. Uno dei casi più noti è lo scenario di attacco di rientro, in cui un utente malintenzionato può chiamare una funzione più di una volta prima che la prima chiamata sia terminata. 

Lo stesso vale per i CEX in molti scenari, il che dimostra solo che c’è ancora spazio per un rafforzamento della sicurezza.

Nel complesso, la maggior parte dei problemi proviene da queste due fonti:

Fori di codifica

Quando si tratta di violazioni della sicurezza, le persone di solito si aspettano qualcosa di molto più glorioso di un problema tecnico di codifica. La codifica, sebbene piuttosto semplice, è ancora il fondamento di qualsiasi progetto crittografico. Piccoli errori nel codice possono avere un grande impatto sui profitti. Un buon esempio è l’attacco DAO del 2016 che ha fatto perdere 50 milioni di dollari agli hacker, solo a causa di una falla di sicurezza nel codice.

Mancanza di un controllo adeguato 

Molti progetti vengono avviati senza un controllo approfondito da parte di un soggetto esterno, il che li rende più suscettibili alle vulnerabilità. Un assalto alla rete Ronin nel 2022 ha quasi distrutto Axie Infinity, rubando 173.600 Ethereum e 25,5 milioni di USDC, ovvero quasi 700 milioni di dollari.

Vulnerabilità concatenate

Ci sono pro e contro nel modo in cui gli scambi e i protocolli lavorano insieme. Più funzionalità aggiungono, più complicate sono le connessioni che mostrano. Una singola violazione in un protocollo può causare problemi negli altri, un po’ come nel caso della mela marcia.

Crisi di interoperabilità e integrazioni compromesse

Un difetto in un protocollo potrebbe avere un effetto domino su altri protocolli a causa della loro interconnessione. La violazione di Cream Finance del 2021 è stata solo un altro progetto DeFi compromesso da attori opportunisti. I criminali hanno rubato beni per un valore di oltre 130 milioni di dollari da altre reti approfittando di una falla di sicurezza nella rete Cream Finance.

Lo stesso scenario può praticamente applicarsi ai CEX e alla loro mancanza di due diligence quando collaborano con un servizio di liquidità di terze parti o con portafogli e gateway di pagamento non sicuri. Naturalmente, in molti casi, il monitoraggio centralizzato può attutire i danni.

Prestiti lampo

Con i prestiti flash, i mutuatari non hanno bisogno di fornire garanzie purché restituiscano i soldi tutti in una volta. Alcuni malintenzionati hanno approfittato dei prestiti lampo per gonfiare artificialmente i prezzi di uno scambio e rubare denaro da protocolli più deboli che sono suscettibili di manipolazione.

Sebbene il danno sia spesso limitato ai DEX, può portare a simili manipolazioni di mercato sui CEX, che porteranno al controllo normativo e gravi colpi alla loro reputazione.

Manipolazioni dei prezzi

Giocare in modo sleale è il trucco più basilare per qualsiasi mercato finanziario. Gli scambi centralizzati e decentralizzati non sono diversi. Soffrono in molti modi, tra cui: 

In prima linea

Gli hacker con un occhio attento al profitto potrebbero utilizzare i bot per eseguire i loro affari a una tariffa più elevata, individuando quelli redditizi seduti nel pool. Un buon esempio è il Merlin DEX. Per ottenere il controllo dei token LP, gli hacker hanno fatto irruzione nell'exchange e hanno sfruttato una falla nello smart contract. Inserendo token falsi nel pool, hanno prosciugato quelli reali dall'exchange e hanno lasciato l'exchange con enormi perdite.

Spoofing e stratificazione

Gli spoofer manipolano i prezzi di mercato creando un'apparenza ingannevole di domanda e offerta. Lo fanno effettuando ordini di grandi dimensioni senza alcuna intenzione di esecuzione, solo per annullarli prima che vengano eseguiti. Una tattica simile è nota come stratificazione, in cui i trader effettuano più ordini a diversi livelli di prezzo per dare la falsa impressione di una significativa profondità di mercato.

Quali sono le soluzioni?

Sebbene gli scambi di criptovaluta lavorino costantemente per aumentare la sicurezza degli utenti, a volte è difficile tenere il passo con gli hacker. Ma possono rafforzare il loro quadro con diverse misure:

Controlli regolari e incentivi Bug Bounty

Per individuare difetti di sicurezza nelle app DeFi come i contratti intelligenti prima che possano essere utilizzati per scopi dannosi, sono essenziali controlli approfonditi del codice. Anche i programmatori più esperti potrebbero non notare alcuni difetti e falle di sicurezza; audit approfonditi da parte di società di sicurezza terze affidabili possono aiutare.

Gli schemi di bug bounty incoraggiano anche gli esperti di sicurezza e gli hacker white hat a rivelare le vulnerabilità, il che è fondamentale per il settore DeFi. Oltre a rafforzare la sicurezza dopo il lancio, questi passaggi preparano il terreno per l’aggiornamento e il miglioramento periodici degli standard di sicurezza.

Rapporti ordine/negoziazione

Ci si aspetta che i trader mantengano un giusto rapporto tra gli ordini effettuati e le transazioni effettive, e i CEX hanno il compito di monitorare e far rispettare questo rapporto. Successivamente, devono penalizzare le persone che superano i rapporti ordini/negoziazioni stabiliti. Ciò impedirà alle persone di effettuare troppi ordini senza pianificare di eseguirli.

Misure del livello 2

È possibile ridurre i prezzi del gas e del traffico utilizzando le tecnologie Layer 2. Tuttavia, i DEX devono fare attenzione che queste soluzioni non rendano insicure le attività on-chain o aprano la porta a nuove vulnerabilità.

Assicurazione DeFi

Avere un'assicurazione nella DeFi è fondamentale perché protegge gli utenti dalla perdita di denaro a causa di hacker, exploit o altri problemi operativi.

Gli utenti possono stare tranquilli e vedere le piattaforme DeFi come alternative interessanti ai sistemi bancari convenzionali poiché forniscono protezione contro una varietà di minacce.

Trasparenza e reporting

I trader possono discernere meglio tra comportamenti giusti e ingiusti se hanno accesso a dati e approfondimenti di mercato completi. Consentire ai trader di rivelare in modo anonimo manipolazioni del mercato o attività discutibili.

I criminali dietro queste operazioni sono sempre un passo avanti rispetto agli scambi quando si tratta di innovazione tecnologica. Per proteggere i propri clienti da malintenzionati, queste piattaforme devono sviluppare e implementare continuamente nuove misure di sicurezza.

Il post Fortificazione dello scambio di criptovaluta: sfide e soluzioni strategiche è apparso per primo su Metaverse Post.