Nell’evoluzione del panorama Web3, la sicurezza rimane una preoccupazione fondamentale per le aziende cripto. La maggior parte di queste aziende fa affidamento su audit di smart contract pre-deployment, credendo che tali audit proteggeranno i loro progetti e i fondi dei clienti da attacchi. Tuttavia, i dati recenti rivelano una verità sconcertante: il 90% degli smart contract hackati aveva subito audit pre-deployment. Questa statistica evidenzia una lacuna critica nell’attuale approccio alla sicurezza Web3.
Verificato, ma comunque hackerato: Il ruolo critico del monitoraggio in tempo reale nel Web3
Questo articolo è stato pubblicato più di un anno fa. Alcune informazioni potrebbero non essere più attuali.
SCRITTO DA
CONDIVIDI
Il seguente editoriale di opinione è stato scritto da Michael Pearl, VP Go-To-Market, Cyvers.ai.
Il Ruolo degli Audit degli Smart Contract
Gli audit degli smart contract sono indubbiamente un elemento cruciale nell’architettura di sicurezza di qualsiasi progetto cripto. Questi audit aiutano a identificare vulnerabilità tipiche e bug correlati alla sicurezza prima del deployment del contratto. Condurre più audit da diverse aziende è una pratica comune, intesa a garantire che qualsiasi potenziale problema venga individuato e risolto.
Tuttavia, sebbene gli audit riducano gli endpoint e la probabilità di un attacco, non rendono un sistema infallibile. Gli audit sono solo una parte del quadro generale. Possono trovare vulnerabilità comuni, ma non possono tenere conto di nuovi e sofisticati vettori di attacco che possono emergere post-deployment. Pertanto, fare affidamento esclusivamente sugli audit non equivale a fare tutto il possibile per garantire un sistema sicuro.
Studi di Caso: Auditati, Poi Hackati
La lista dei progetti che sono stati hackati, nonostante abbiano avuto i loro smart contract auditati—spesso più di una volta e da più di un fornitore di audit—è purtroppo molto lunga. Diversi esempi recenti illustrano la discrepanza tra aspettative e risultati effettivi.
- Dough Finance è stata hackata il 12 luglio di quest’anno e ha perso $1,8M. I contratti del progetto sono stati auditati da almeno una società di audit nel novembre 2023 e sono stati persino etichettati come “basso rischio” dall’auditor.
- UwU Lend è stata hackata due volte, il 10 e 13 giugno di quest’anno, e ha perso $19,3M. I contratti smart della società sono stati auditati da almeno una società di audit.
- Radiant Capital è stata hackata il 3 gennaio di quest’anno e ha perso $4,5M. La società ha affermato che i suoi contratti sono stati sottoposti ad audit da quattro diverse società, descritte come “migliori del mondo” nella documentazione della società.
- I contratti intelligenti di Euler Finance sono stati sfruttati il 13 maggio dello scorso anno, con una perdita di $197M. Secondo la società, i loro contratti sono stati auditati da quattro società leader del settore.
- Il protocollo DeFi LI.FI è stato sfruttato il 16 luglio di quest’anno, perdendo circa $11M. Due anni prima dell’attacco, la società ha pubblicato un post sul blog, che presentava con orgoglio il fatto che aveva subito un audit da due fornitori di audit.
L’Elemento Mancante: Monitoraggio in Tempo Reale e Screening Pre-Transazione
Molte aziende trascurano l’importanza del monitoraggio in tempo reale e dello screening pre-transazione per la valutazione del rischio. Questi componenti sono essenziali per una strategia di sicurezza completa.
Il Monitoraggio in Tempo Reale fornisce una supervisione continua dei contratti smart deployati, rilevando e rispondendo a problemi di sicurezza, truffe, frodi e altri incidenti dannosi mentre accadono. Questo approccio proattivo riduce significativamente la finestra di opportunità per i hacker e consente azioni immediate per mitigare i danni potenziali.
Lo Screening Pre-Transazione valuta il rischio delle transazioni prima che vengano eseguite, aiutando a bloccare attori malevoli e prevenire attività fraudolente. Integrando questo processo di screening, le aziende possono garantire che vengano elaborati solo le transazioni legittime, migliorando ulteriormente la loro posizione di sicurezza.
La Necessità di Meccanismi di Gestione delle Crisi
Oltre al monitoraggio in tempo reale e allo screening pre-transazione, è cruciale implementare meccanismi di gestione delle crisi come funzioni di pausa e altri interruttori di circuito. Questi possono essere automatizzati o manuali e sono vitali per rispondere in tempo reale agli avvisi dai sistemi di monitoraggio e rilevamento.
Conclusione
Gli audit degli smart contract sono una parte essenziale della sicurezza Web3, ma non sono sufficienti da soli. Per garantire veramente i progetti cripto, le aziende devono adottare un approccio olistico che includa monitoraggio in tempo reale, screening pre-transazione e robusti meccanismi di gestione delle crisi. Integrando queste misure di sicurezza avanzate, le aziende cripto possono migliorare significativamente la loro posizione di sicurezza, proteggendo i loro progetti e i fondi dei clienti dalle minacce in continua evoluzione nello spazio Web3.
Cosa pensi della prospettiva e dell’opinione dell’esecutivo di Cyvers.ai? Condividi i tuoi pensieri e opinioni su questo argomento nella sezione commenti qui sotto.
