Le vittime di attacchi alle criptovalute si trovano spesso a essere nuovamente sfruttate da aziende di recupero senza scrupoli, afferma Harry Donnelly<\/strong>, CEO di Circuit. L’adozione delle criptovalute \u00e8 in aumento e un numero crescente di persone si sta avvicinando a questo mondo. Tuttavia, nonostante anni di innovazione, le criptovalute continuano a deludere alcuni dei loro utenti pi\u00f9 vulnerabili. In un recente incidente, un pensionato statunitense ha perso 3 milioni di dollari<\/strong> in XRP dopo aver compromesso inconsapevolmente il proprio portafoglio freddo. Questo episodio dimostra che la sicurezza rimane il problema principale nel settore delle criptovalute.<\/p>\n Per questo motivo, crypto.news ha parlato con Harry Donnelly, CEO della societ\u00e0 di sicurezza crypto Circuit, che ha spiegato perch\u00e9 l’ecosistema ha perso oltre 3 miliardi di dollari<\/strong> a causa di attacchi solo quest’anno e perch\u00e9 il recupero \u00e8 solitamente molto difficile.<\/p>\n \nCrypto.news:<\/strong> Abbiamo visto un recente incidente di sicurezza in cui un detentore di portafoglio ha perso i propri risparmi di una vita in un attacco. Cosa ci dice questo sulla sicurezza degli asset crypto? \nCrypto.news:<\/strong> ZacXBT ha detto che molte aziende di recupero sono discutibili. Qual \u00e8 la tua opinione? \nCrypto.news:<\/strong> Quindi sembra che il recupero sia una possibilit\u00e0 remota. Qual \u00e8 l’alternativa? \nCrypto.news:<\/strong> Quindi, chi controlla quel grande pulsante rosso? \nCrypto.news:<\/strong> Chi utilizza attualmente questo servizio? \nCrypto.news:<\/strong> E come scelgono gli utenti i loro portafogli di backup? Dovrebbe essere un altro portafoglio hardware, un conto exchange o un custode? \nCrypto.news:<\/strong> Hai effettivamente avuto casi in cui qualcuno ha dovuto utilizzare il pulsante rosso? \nCrypto.news:<\/strong> E per le istituzioni, qual \u00e8 lo scenario tipico di fallimento? \nCrypto.news:<\/strong> Hai menzionato in precedenza che gli aggressori stanno diventando pi\u00f9 sofisticati. Qual \u00e8 la tua prospettiva su come l’industria crypto si sta adattando a questo? Cosa sta cambiando nella sicurezza? \nCrypto.news:<\/strong> Quando gli exchange centralizzati congelano i fondi rubati, le persone di solito capiscono. Ma quando i protocolli DeFi congelano i portafogli o mettono in pausa i contratti intelligenti, c’\u00e8 spesso critica riguardo alla centralizzazione. Qual \u00e8 la tua opinione su questo? \nCrypto.news:<\/strong> Ma qualcuno potrebbe dire, se un protocollo ha la capacit\u00e0 di congelare i portafogli o mettere in pausa i contratti intelligenti, non hanno anche la capacit\u00e0 di drenare il pool? Qual \u00e8 la tua opinione su questo? \nCrypto.news:<\/strong> C’\u00e8 qualcosa a cui hai pensato di recente che pensi l’industria stia trascurando? Introduzione Le vittime di attacchi alle criptovalute si trovano spesso a essere nuovamente sfruttate da aziende di recupero senza scrupoli, afferma Harry Donnelly, CEO di Circuit. L’adozione delle criptovalute \u00e8 in aumento e un numero crescente di persone si sta avvicinando a questo mondo. Tuttavia, nonostante anni di innovazione, le criptovalute continuano a deludere alcuni dei loro utenti pi\u00f9 vulnerabili. In un recente incidente, un pensionato statunitense ha perso 3 milioni di dollari in XRP dopo aver compromesso inconsapevolmente il proprio portafoglio freddo. Questo episodio dimostra che la sicurezza rimane il problema principale nel settore delle criptovalute. Intervista con Harry<\/p>\n","protected":false},"author":3,"featured_media":10455,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[76,8887,65,8,2038,2562,46],"class_list":["post-10456","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-chainalysis","tag-ellipal","tag-hack","tag-ripple","tag-tornado-cash","tag-trm-labs","tag-usa"],"yoast_description":"Harry Donnelly, CEO di Circuit, discute la sicurezza delle criptovalute, smontando il mito del recupero e sottolineando l'importanza della prevenzione per proteggere gli asset.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/10456","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/comments?post=10456"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/10456\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media\/10455"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media?parent=10456"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/categories?post=10456"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/tags?post=10456"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Intervista con Harry Donnelly<\/h2>\n
\nHarry Donnelly:<\/strong> Questo \u00e8 l’incidente del portafoglio XRP: un presunto pensionato statunitense ha perso circa 3 milioni di dollari in XRP, i suoi risparmi per la pensione. ZacXBT ne ha parlato su Twitter. La vittima ha detto di aver cercato di presentare una denuncia alla polizia, ma non \u00e8 riuscita a contattare le forze dell’ordine. I fondi sono stati poi riciclati attraverso circa 120 transazioni. Non abbiamo conferma completa del vettore esatto perch\u00e9 la vittima non \u00e8 esperta di criptovalute; senza accesso al proprio laptop per tracciare i passaggi, \u00e8 difficile essere certi. Ma casi come questo spesso coinvolgono malware che scansiona un dispositivo per frasi seed e altri segreti. In questo caso, la persona pensava di avere un portafoglio freddo \u2014 acquistato da Ellipal \u2014 ma ha importato la frase seed sul proprio laptop. Questo annulla la protezione del cold storage: una volta che la frase seed esiste su una macchina connessa a Internet, la protezione del portafoglio hardware \u00e8 effettivamente persa.\n<\/p><\/blockquote>\n
\nHarry Donnelly:<\/strong> \u00c8 del tutto giusto. Quando le persone sono disperate, i cattivi attori si approfittano di loro. I peggiori attori spesso ottimizzano SEO le loro pagine in modo che appaiano per prime quando qualcuno cerca freneticamente “recuperare criptovalute rubate”. Il recupero legittimo \u00e8 difficile. Le criptovalute sono un asset al portatore: il possesso della chiave equivale alla propriet\u00e0. Non puoi chiamare una banca e annullare un trasferimento on-chain. Le aziende di recupero legittime sono tipicamente studi legali che lavorano con le forze dell’ordine, utilizzano strumenti di analisi blockchain come Chainalysis o TRM Labs, tracciano i fondi e cercano di far congelare gli account degli exchange con avvisi legali. Ma questo funziona solo se i fondi arrivano a un exchange KYC disposto e in grado di cooperare e se la giurisdizione \u00e8 cooperativa. Gli aggressori spesso instradano i fondi verso exchange non cooperativi o servizi di mixing; l’anno scorso, meno del 5% degli asset \u00e8 stato recuperato con questi metodi. Le aziende predatrici addebitano somme elevate, come 10.000 dollari, per scansioni di base e producono rapporti che forniscono informazioni false alle vittime. Ad esempio, dicono loro di inviare un’email a Tornado Cash, il che \u00e8 inutile.\n<\/p><\/blockquote>\n
\nHarry Donnelly:<\/strong> Poich\u00e9 le probabilit\u00e0 di recupero sono basse, la prevenzione \u00e8 fondamentale. Circuit si concentra sulla prevenzione delle perdite piuttosto che fare affidamento sul recupero post-hack. Una volta che i fondi lasciano un portafoglio, le possibilit\u00e0 di recupero sono scarse; fermare il furto prima che accada ha una probabilit\u00e0 di successo molto pi\u00f9 alta. Ci sono due modalit\u00e0 di perdita: (1) perdi l’accesso alla tua chiave privata (i fondi sono inaccessibili) o (2) qualcun altro ottiene la tua chiave privata (i fondi sono rubati). Circuit affronta entrambi i problemi proteggendo direttamente gli asset piuttosto che proteggere solo la chiave. Costruiamo quello che chiamiamo estrazione automatica degli asset. Invece di proteggere solo una chiave privata, pre-creiamo transazioni firmate che spostano i fondi in un portafoglio di backup predefinito. Queste transazioni vengono create in anticipo, criptate e memorizzate \u2014 mai trasmesse a meno che l’utente legittimo non le attivi.\n<\/p><\/blockquote>\n
\nHarry Donnelly:<\/strong> L’utente lo controlla. Accede alla nostra web app, verifica la propria identit\u00e0 utilizzando 2FA e preme il pulsante. Questo decripta e trasmette la transazione, e i fondi si spostano nel portafoglio di backup. Memorizziamo la transazione pre-firmata, criptata, ma l’utente \u00e8 l’unico che pu\u00f2 decrittarla e attivarla. Definiscono in anticipo l’indirizzo di destinazione e non possiamo cambiare quell’indirizzo. Una volta firmato, \u00e8 bloccato. Il nostro sistema lo tiene semplicemente al sicuro e consente all’utente di attivarlo quando necessario.\n<\/p><\/blockquote>\n
\nHarry Donnelly:<\/strong> Al momento, sono tutte istituzioni e aziende. Non serviamo ancora utenti retail. I nostri partner sono exchange, gestori di asset e desk OTC. Queste sono persone che gestiscono grandi somme e asset dei clienti. Per loro, il downtime o la perdita di accesso possono essere catastrofici. Un esempio \u00e8 Shift Markets. Stiamo implementando la nostra tecnologia su 150 exchange con cui lavorano. Questi exchange non possono permettersi di perdere l’accesso ai fondi, nemmeno per poche ore. Per le istituzioni, non si tratta solo di prevenire il furto. A volte qualcuno smarrisce un dispositivo di firma, o un servizio come Fireblocks si guasta. Questo pu\u00f2 fermare tutte le operazioni \u2014 nessun deposito, nessun prelievo. Con Circuit, possono recuperare in pochi minuti invece di rimanere fermi per giorni. E per loro, questo pu\u00f2 significare salvare la loro reputazione \u2014 e milioni in fidelizzazione dei clienti.\n<\/p><\/blockquote>\n
\nHarry Donnelly:<\/strong> Ottima domanda. Raccomandiamo che il portafoglio di backup sia altrettanto sicuro quanto il principale. Quindi significa utilizzare diversi fornitori di portafogli, memorizzare le chiavi in diverse posizioni e assicurarsi che l’infrastruttura non sia co-locata. Non vuoi entrambe le serie di chiavi nello stesso caveau o server. Inoltre, imponiamo approvazioni di quorum \u2014 politiche a 4 occhi o 6 occhi \u2014 per evitare qualsiasi punto di fallimento singolo. La maggior parte delle grandi istituzioni gi\u00e0 opera in questo modo. Alcuni utilizzano diverse configurazioni MPC o multisig per i portafogli principali e di backup. Altri utilizzano diverse strutture sicure o persino diverse giurisdizioni. L’idea \u00e8: se un disastro colpisce un sistema, l’altro non \u00e8 colpito. Lavoriamo anche con grandi compagnie assicurative, e riconoscono questo come un riduttore di rischio. Molte richieste di risarcimento per assicurazione crypto riguardano l’accesso perso o i fondi rubati. Aggiungendo la tecnologia di Circuit, le aziende diventano un rischio inferiore. Cos\u00ec i fornitori di assicurazione offrono sconti ai clienti che ci utilizzano. Questo rende l’assicurazione pi\u00f9 accessibile e, a sua volta, porta pi\u00f9 capitale istituzionale nelle criptovalute.\n<\/p><\/blockquote>\n
\nHarry Donnelly:<\/strong> S\u00ec, abbiamo utilizzato il pulsante rosso, sia in casi reali che in test controllati. Abbiamo persino dato accesso intenzionalmente agli aggressori in ambienti white-hat o di simulazione per cercare di rubare i fondi. Ogni volta, ha retto. Il nostro team di ingegneri ha lavorato duramente per assicurarci di aver coperto i casi limite e le minacce del mondo reale. Stiamo lavorando con alcuni dei pi\u00f9 grandi attori del settore che lo hanno testato in modo indipendente. Avremo un annuncio pubblico nei prossimi uno o due mesi per mostrare alcune di quelle validazioni.\n<\/p><\/blockquote>\n
\nHarry Donnelly:<\/strong> Dipende dalla loro configurazione del portafoglio. Se utilizzano servizi non custodiali come Fireblocks, l’istituzione ha una certa responsabilit\u00e0 \u2014 deve essere in grado di accedere ai propri portafogli anche se Fireblocks \u00e8 inattivo o non disponibile. Se utilizzano soluzioni completamente custodiali come Coinbase o Anchorage, quei fornitori gestiscono tutto end-to-end. Ma con Fireblocks, hai comunque bisogno del tuo accesso sicuro ai frammenti di chiave o ai dispositivi di firma. Quindi immagina un exchange che fa affidamento su Fireblocks e perde un dispositivo \u2014 magari il telefono di qualcuno o un YubiKey. Questo pu\u00f2 temporaneamente escluderli, bloccando prelievi e depositi.\n<\/p><\/blockquote>\n
\nHarry Donnelly:<\/strong> \u00c8 simile alla cybersecurity Web2; \u00e8 un gioco del gatto e del topo. Emergere nuovi attacchi, costruiamo difese, gli aggressori evolvono di nuovo, e cos\u00ec via. All’inizio, la grande innovazione \u00e8 stata il multisig, che richiede pi\u00f9 chiavi per approvare le transazioni. Poi sono arrivati i portafogli MPC (calcolo multi-party), che migliorano il multisig. In una configurazione multisig, compromettere due su tre chiavi ti d\u00e0 informazioni parziali sulla terza. In MPC, non \u00e8 cos\u00ec, poich\u00e9 ogni frammento non ti d\u00e0 informazioni sul tutto, rendendolo pi\u00f9 resiliente. Aziende come Fireblocks hanno avuto molto successo con MPC. Poi, oltre a ci\u00f2, sono arrivati i motori di policy \u2014 regole che bloccano le transazioni in determinate condizioni. Ad esempio: “blocca tutti i trasferimenti superiori a 1 milione di dollari” o “non consentire trasferimenti a indirizzi non autorizzati”. Poi sono arrivati gli strumenti di rilevamento, che sono servizi che monitorano l’attivit\u00e0 della catena e segnalano comportamenti sospetti. Ma oggi, la maggior parte di questi richiede ancora un intervento umano per agire sull’allerta. In alcune configurazioni, potresti aver bisogno di approvazioni da persone negli Stati Uniti, in Europa e in Asia, il che potrebbe richiedere ore. Nel frattempo, gli attacchi avvengono in minuti o addirittura secondi. Abbiamo visto questo nell’hack di SwissBorg\/Kiln: 41 milioni di dollari scomparsi in tre minuti. Gli esseri umani semplicemente non rispondono cos\u00ec velocemente.\n<\/p><\/blockquote>\n
\nHarry Donnelly:<\/strong> Guarda, alla fine, penso che se puoi prevenire il furto di decine o centinaia di milioni di dollari, e ci\u00f2 che serve \u00e8 fermare un contratto intelligente per alcune ore, allora penso che dovresti farlo. So che ci sono sostenitori molto forti della decentralizzazione, ma la decentralizzazione non si affermer\u00e0 se le persone non la adotteranno. E le persone non la adotteranno se perderanno tutti i loro fondi. Alla fine della giornata, penso che sia cos\u00ec semplice. Se credi veramente in questo e vuoi che venga adottato dal mainstream \u2014 da aziende reali, istituzioni reali \u2014 dovranno avere fiducia in esso. E per tutti i sostenitori che dicono “lascia che venga hackerato” o “il codice \u00e8 legge”, penso che il problema sia che questo fermer\u00e0 fondamentalmente la crescita dello spazio tanto quanto ci piacerebbe che crescesse. E penso che ci siano due aree che vedrai. Avrai pool e protocolli che continueranno a fare le cose come sono \u2014 lasciando semplicemente che le cose funzionino. E poi avrai infrastrutture pi\u00f9 focalizzate sulle istituzioni e sulle aziende, dove hanno effettivamente salvaguardie, dove hanno effettivamente sistemi di sicurezza, e dove c’\u00e8 assicurazione integrata nei pool. Questo sta gi\u00e0 accadendo. E sono in quei pool che vedrai molto pi\u00f9 liquidit\u00e0 depositata, perch\u00e9 \u00e8 l\u00ec che il vero capitale \u2014 le istituzioni \u2014 si sente sicuro nel mettere i propri fondi. E quando pensi a quale sia il pi\u00f9 grande effetto di rete nel DeFi, molto di esso si riduce alla liquidit\u00e0. Quindi, se guardi dove andr\u00e0 molta liquidit\u00e0, nel tempo dovrebbe spostarsi verso i luoghi che hanno salvaguardie e controlli in atto \u2014 perch\u00e9 d\u00e0 alle persone maggiore fiducia.\n<\/p><\/blockquote>\n
\nHarry Donnelly:<\/strong> S\u00ec, e penso che sia un punto giusto. Se qualcuno ha la capacit\u00e0 di metterlo in pausa e mettere in atto salvaguardie, significa anche che pu\u00f2 fare qualsiasi cosa voglia con i fondi? Penso che la bellezza dei contratti intelligenti \u2014 se li fai bene \u2014 sia che sono immutabili e trasparenti. Puoi definire parametri rigorosi in anticipo. Puoi codificare le regole: quando viene messo in pausa, perch\u00e9 viene messo in pausa e cosa succede ai fondi dopo? Vengono spostati? Se s\u00ec, dove? Possono essere spostati solo in una posizione specifica? Dopo la pausa, vengono restituiti? Tutto questo pu\u00f2 essere codificato. Non deve essere discrezionale. Quindi s\u00ec, se dai alle persone il pieno controllo di fare ci\u00f2 che vogliono, non \u00e8 ottimale. Le persone non vorranno depositare fondi in quei protocolli. Ma se ci sono parametri ben definiti su ci\u00f2 che \u00e8 possibile \u2014 e parte di questo include congelare o mettere in pausa in caso di emergenza \u2014 allora questo d\u00e0 effettivamente maggiore fiducia alle persone. Perch\u00e9 anche i protocolli pi\u00f9 grandi \u2014 come Euler, che aveva un enorme TVL \u2014 sono stati hackerati. E avevano passato pi\u00f9 audit, revisioni del codice, tutto. Ma c’era ancora una piccola vulnerabilit\u00e0 che qualcuno \u00e8 riuscito a sfruttare. Stiamo migliorando nel rilevare queste cose, ma nuovi problemi emergeranno sempre. E come hai detto, \u00e8 un gioco del gatto e del topo. Costruisci una difesa, poi qualcuno trova un nuovo attacco. Poi costruisci una nuova difesa, e cos\u00ec via.\n<\/p><\/blockquote>\n
\nHarry Donnelly:<\/strong> Una delle cose su cui spendiamo molto tempo internamente \u00e8 cercare di rendere l’assicurazione crypto realmente accessibile \u2014 perch\u00e9 quando torniamo a ci\u00f2 di cui abbiamo parlato, giusto? Ci saranno sempre nuovi attacchi, e poi le persone costruiranno nuove difese. Ma qualcosa deve colmare quel divario nel frattempo. Penso che l’assicurazione DeFi \u2014 come ci\u00f2 che Nexus Mutual stava cercando di fare \u2014 non sia realmente scalata nel modo in cui le persone speravano. E una grande parte di questo \u00e8 perch\u00e9 per offrire un’assicurazione significativa, hai bisogno di enormi pool di capitale dietro di essa. \u00c8 cos\u00ec che funziona l’assicurazione. Il mondo assicurativo tradizionale ha gi\u00e0 miliardi di dollari seduti in riserve. Sanno come sottoscrivere il rischio. Se possiamo portare quegli attori nello spazio crypto \u2014 e dare loro fiducia in come vengono mitigati i rischi \u2014 allora sblocchiamo qualcosa di davvero grande. Perch\u00e9 la verit\u00e0 \u00e8 che, se vogliamo che le grandi banche o le istituzioni finanziarie serie si coinvolgano nel DeFi e nella finanza on-chain, avranno bisogno di assicurazione. Punto e basta. Quindi, se possiamo abilitare questo \u2014 se possiamo dare agli assicuratori tradizionali gli strumenti e i dati di cui hanno bisogno per valutare il rischio e offrire effettivamente copertura \u2014 allora all’improvviso hai molto pi\u00f9 capitale che si sente a proprio agio nel venire nello spazio. E quando ci\u00f2 accade, tutto cresce. I protocolli crescono, l’infrastruttura matura, gli utenti beneficiano. Quindi s\u00ec \u2014 penso che sbloccare una vera assicurazione crypto sia una delle cose pi\u00f9 importanti che possiamo fare in questo momento.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"