Mitchell Amador, CEO di Immunefi, spiega come le aziende di sicurezza stiano correndo per prevenire il prossimo exploit da miliardi di dollari nelle stablecoin. Con la criptovaluta che avanza verso l’adozione mainstream, le stablecoin stanno diventando la spina dorsale finanziaria dell’economia on-chain. Tuttavia, mentre il capitale continua a fluire, l’infrastruttura di sicurezza che sostiene questi sistemi rimane pericolosamente sottosviluppata. Mitchell Amador crede che siamo in una “corsa contro il tempo”<\/strong>. In questa intervista, espone i veri rischi nascosti all’interno dei sistemi di stablecoin e perch\u00e9 la maggior parte delle istituzioni non \u00e8 pronta per il prossimo exploit da miliardi di dollari.<\/p>\n \nCrypto.news:<\/strong> Cosa puoi dirmi sullo stato attuale della sicurezza riguardo alle stablecoin? \nCN:<\/strong> E per quanto riguarda i rischi di hacking specificamente? \nCN:<\/strong> Quali sono le maggiori fonti di vulnerabilit\u00e0 degli smart contract nelle stablecoin? Il rischio finanziario \u00e8 reale. Lo abbiamo visto con Circle durante la crisi SVB \u2014 non a causa di cattivi collaterali, ma a causa della pressione di liquidit\u00e0. Un’ondata di riscatti pu\u00f2 creare uno scenario di “corsa agli sportelli”, anche se gli asset sono tecnicamente presenti. Il rischio legale sta aumentando anche. I governi possono e interverranno. Ma questi non sono davvero problemi di “sicurezza” nel senso degli smart contract \u2014 sono preoccupazioni di sicurezza pi\u00f9 ampie. Hai bisogno di un intero set di strumenti diverso per gestirli.<\/p>\n \nCN:<\/strong> Pensi che le istituzioni e le banche comprendano i rischi che stai descrivendo? \nCN:<\/strong> Cosa dovrebbero fare oggi i progetti crypto per gestire il rischio degli smart contract? Se esegui questo stack completo, ti dai cinque possibilit\u00e0 distinte di catturare exploit prima che causino danni. Eppure, meno dell’1% dei progetti utilizza firewall, e meno del 10% utilizza strumenti di vulnerabilit\u00e0 AI. Questo \u00e8 un enorme divario \u2014 e uno risolvibile.<\/p>\n \nCN:<\/strong> Ci sono altri fattori \u2014 come la progettazione del linguaggio o l’architettura \u2014 che rendono i contratti pi\u00f9 sicuri? \nCN:<\/strong> Pensieri finali \u2014 qual \u00e8 un problema importante di cui nessuno sta parlando abbastanza? Intervista con Mitchell Amador, CEO di Immunefi Mitchell Amador, CEO di Immunefi, spiega come le aziende di sicurezza stiano correndo per prevenire il prossimo exploit da miliardi di dollari nelle stablecoin. Con la criptovaluta che avanza verso l’adozione mainstream, le stablecoin stanno diventando la spina dorsale finanziaria dell’economia on-chain. Tuttavia, mentre il capitale continua a fluire, l’infrastruttura di sicurezza che sostiene questi sistemi rimane pericolosamente sottosviluppata. Mitchell Amador crede che siamo in una “corsa contro il tempo”. In questa intervista, espone i veri rischi nascosti all’interno dei sistemi di stablecoin e perch\u00e9 la maggior parte delle istituzioni non \u00e8 pronta<\/p>\n","protected":false},"author":3,"featured_media":10557,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[166,1381,65,7976,749,8240,2716,21,77,221],"class_list":["post-10558","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-aave","tag-compound","tag-hack","tag-immunefi","tag-makerdao","tag-mitchell-amador","tag-silicon-valley-bank","tag-tether-usdt","tag-usdc","tag-web3"],"yoast_description":"Il CEO di Immunefi, Mitchell Amador, discute l'urgenza di migliorare le misure di sicurezza nelle stablecoin per prevenire hack catastrofici in un contesto di crescente adozione.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/10558","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/comments?post=10558"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/10558\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media\/10557"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media?parent=10558"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/categories?post=10558"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/tags?post=10558"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Stato attuale della sicurezza delle stablecoin<\/h2>\n
\nMitchell Amador:<\/strong> Siamo in una sorta di nuovo mondo coraggioso. Solo ora stiamo iniziando a scoprire se le misure di sicurezza che abbiamo utilizzato negli ultimi anni hanno davvero funzionato. Da un lato, non abbiamo visto un grande hack di stablecoin da un po’. Puoi guardare indietro a incidenti come i primi hack di DeFi o problemi come il depegging di USDC durante il crollo della Silicon Valley Bank: quegli eventi sono stati seri, ma non abbiamo avuto nulla di quella portata da allora. Quindi le persone si sentono piuttosto tranquille riguardo alla sicurezza delle stablecoin. Ma la verit\u00e0 \u00e8: non sappiamo davvero se le cose siano sicure. Per darti un confronto, pensa a quanto tempo ci \u00e8 voluto per sentirsi sicuri in qualcosa come MakerDAO, Aave o Compound. Ci sono voluti anni perch\u00e9 gli utenti costruissero quella fiducia. Le stablecoin, specialmente quelle decentralizzate, sono ancora meno mature di quei protocolli. Stiamo per aggiungere un altro trilione di dollari in liquidit\u00e0 di stablecoin al sistema nei prossimi anni. La vera domanda \u00e8: siamo pronti ad assorbire cos\u00ec tanto valore senza un fallimento catastrofico? Non credo che conosciamo ancora la risposta a questo \u2014 e potremmo scoprirlo nel modo pi\u00f9 difficile.\n<\/p><\/blockquote>\nRischi di hacking e vulnerabilit\u00e0<\/h2>\n
\nMA:<\/strong> Questo \u00e8 il rischio che mi preoccupa di pi\u00f9. Abbiamo visto eventi di destabilizzazione finanziaria \u2014 depegging, disinvestimenti, persino salvataggi \u2014 e sappiamo come gestirli. Ma con gli hack, c’\u00e8 sempre un fattore di cigno nero. Un hack massiccio che colpisce le stablecoin potrebbe delegittimare tutta la criptovaluta. Immagina una vulnerabilit\u00e0 di smart contract che colpisce diverse centinaia di miliardi di dollari \u2014 o un bug in un asset di stablecoin fondamentale che alimenta altri protocolli. Non \u00e8 fantascienza. \u00c8 possibile. Dal punto di vista di Immunefi, oltre il 90% dei progetti che auditiamo ha vulnerabilit\u00e0 critiche \u2014 inclusi i sistemi di stablecoin. La buona notizia \u00e8 che abbiamo fatto molti progressi. Qualche anno fa, quasi ogni progetto con cui lavoravamo subiva una violazione entro pochi anni. Oggi, \u00e8 meno della met\u00e0 \u2014 ancora alto, ma un miglioramento. Tuttavia, stiamo essenzialmente scommettendo l’intero ecosistema su un codice che potrebbe non essere pronto. E non lo sapremo davvero fino a quando non sar\u00e0 testato sotto pressione. Lo vedo come un orologio di conto alla rovescia. Dal momento in cui una stablecoin come USDC o USDT viene distribuita, il rischio di un exploit critico inizia a scendere. Man mano che il contratto diventa pi\u00f9 complesso e guadagna pi\u00f9 funzionalit\u00e0, il rischio aumenta. Nel frattempo, dall’altra parte dell’orologio, stiamo correndo per migliorare l’infrastruttura di sicurezza \u2014 bounty per bug, firewall, scanner di vulnerabilit\u00e0 basati su AI, strumenti di blacklist. Questi stanno aiutando ad “aggiungere tempo” a quel conto alla rovescia. La corsa \u00e8: possiamo mettere in sicurezza questi sistemi abbastanza velocemente prima che si verifichi un hack catastrofico? In questo momento, siamo nel bel mezzo di quella corsa \u2014 e potremmo farcela. C’\u00e8 una possibilit\u00e0 che diventiamo abbastanza sicuri da evitare un fallimento massiccio. Ma non siamo ancora certi. I prossimi due anni saranno critici.\n<\/p><\/blockquote>\nFonti di vulnerabilit\u00e0 e responsabilit\u00e0<\/h2>\n
\nMA:<\/strong> I rischi sono simili alla maggior parte delle app DeFi \u2014 con alcune differenze. La maggior parte delle stablecoin non \u00e8 decentralizzata, quindi di solito non hai problemi legati alla governance. Ma hai due principali classi di vulnerabilit\u00e0:
\n1. Rischio di codice<\/strong> \u2014 Gli smart contract possono essere scritti in modi che li rendono vulnerabili alla manipolazione. Abbiamo visto errori matematici, logica di riscatto difettosa, oracoli mal utilizzati \u2014 tutti elementi che possono portare a grandi exploit. Questo \u00e8 come sono avvenuti alcuni dei primi hack di stablecoin.
\n2. Controllo degli accessi<\/strong> \u2014 Molte stablecoin sono centralizzate, il che significa che ci sono funzioni privilegiate \u2014 come la creazione o il riscatto \u2014 controllate dall’emittente. Se qualcuno compromette quei controlli, l’intero sistema potrebbe collassare. Potresti ricordare il problema di PayPal in cui qualcuno ha accidentalmente creato $300 trilioni in PYUSD. \u00c8 stato un errore innocuo \u2014 ma dimostra cosa \u00e8 possibile.\n<\/p><\/blockquote>\n
\nAmador:<\/strong> Non davvero. Comprendono i rischi finanziari e legali \u2014 quello \u00e8 il loro mondo. Ma quando si tratta di rischio di codice, hanno principalmente paura. Sanno di essere fuori dalla loro profondit\u00e0. Stanno cercando di imparare, stanno assumendo team nativi della criptovaluta, stanno acquistando startup di infrastruttura come Privy e Bridge. Ma la maggior parte non si sente ancora al sicuro. Vedono gli exploit degli smart contract come un problema estraneo che non sono attrezzati per risolvere \u2014 e hanno ragione. Si sentono pi\u00f9 a loro agio con la gestione delle chiavi e il controllo degli accessi \u2014 questo si adatta ai loro processi legacy. Ma una volta che si va pi\u00f9 a fondo nello stack della criptovaluta, diventa territorio alieno per loro.\n<\/p><\/blockquote>\nStrategie per la sicurezza degli smart contract<\/h2>\n
\nMA:<\/strong> Dobbiamo puntare a “sicuro per impostazione predefinita”. Questo \u00e8 l’obiettivo. Abbiamo strumenti potenti ora \u2014 fuzzing, verifica formale, analisi statica basata su AI \u2014 molti dei quali abbiamo pionierato in Immunefi. Ma l’adozione \u00e8 ancora troppo bassa. La maggior parte dei team tratta ancora audit e bounty per bug come liste di controllo una tantum. Non \u00e8 sufficiente. Ecco cosa ogni progetto serio dovrebbe fare:
\n– Rilevamento di vulnerabilit\u00e0 AI (revisioni PR):<\/strong> scansione automatizzata + umana di ogni riga di nuovo codice prima che venga unita.
\n– Audit:<\/strong> sia audit tradizionali che competizioni di audit con decine o centinaia di hacker che esaminano il codice.
\n– Bounty per bug:<\/strong> con ricompense significative legate a quanto denaro \u00e8 a rischio.
\n– Soluzioni di monitoraggio:<\/strong> rilevamento delle minacce in tempo reale dopo il deployment.
\n– Firewall:<\/strong> “buttafuori” a livello di contratto che bloccano le transazioni dannose prima che vengano eseguite.\n<\/p><\/blockquote>\n
\nMA:<\/strong> S\u00ec, ma dipende dall’app. I contratti pi\u00f9 semplici sono sempre pi\u00f9 sicuri. Ecco perch\u00e9 i contratti ERC-20 quasi mai vengono hackati \u2014 sono piccoli, compatti e ben testati. Pi\u00f9 complessa \u00e8 la tua logica, maggiore \u00e8 il rischio che assumi. L’aggiornabilit\u00e0 \u00e8 un altro grande fattore. Aggiunge flessibilit\u00e0 UX, ma introduce una porta sul retro. Idealmente, solo tu la usi \u2014 ma abbiamo visto molti casi in cui \u00e8 stata abusata. Tuttavia, la maggior parte dei progetti oggi sceglie l’aggiornabilit\u00e0 perch\u00e9 il compromesso vale la pena per l’adozione.\n<\/p><\/blockquote>\nConclusioni e riflessioni finali<\/h2>\n
\nMA:<\/strong> Assolutamente. Uno dei pi\u00f9 grandi punti ciechi riguarda la responsabilit\u00e0 del protocollo. Man mano che pi\u00f9 denaro fluisce nei sistemi on-chain, il panorama legale cambier\u00e0 rapidamente. A un certo punto, qualcuno chieder\u00e0: Chi \u00e8 responsabile quando qualcosa si rompe? Non abbiamo ancora una risposta chiara a questo \u2014 ma sta arrivando, e cambier\u00e0 il modo in cui i protocolli vengono costruiti e governati. Un’altra cosa a cui penso \u00e8 quanto sta cambiando la cultura della criptovaluta. Sta diventando finanza. Puoi sentirlo. I primi costruttori erano ideologi \u2014 veri credenti nella decentralizzazione e nei sistemi aperti. Ora stiamo vedendo un’ondata di professionisti della finanza che si avvicinano a questo spazio in modo molto diverso. Non \u00e8 necessariamente negativo, ma sta cambiando l’etica, e non sappiamo ancora quali saranno le conseguenze a lungo termine di quel cambiamento. E poi c’\u00e8 la questione della reversibilit\u00e0. Man mano che le istituzioni si spostano on-chain, inizieranno a richiedere funzionalit\u00e0 che attualmente non esistono nella maggior parte delle catene pubbliche. Una di queste \u00e8 la possibilit\u00e0 di annullare le transazioni. Penso che vedremo pi\u00f9 catene, forse anche importanti, iniziare a offrire quella capacit\u00e0, specialmente in ambienti autorizzati o semi-autorizzati. Questo crea una nuova classe di infrastruttura blockchain che si comporta pi\u00f9 come la finanza tradizionale \u2014 giardini recintati con ponti nel mondo aperto. Tutto questo si collega a qualcosa che penso le persone stiano trascurando: la sicurezza della criptovaluta sta per avere il suo momento. \u00c8 ancora sottovalutata oggi, ma sta diventando chiaro che ogni attore importante \u2014 da fondi a DAO a banche \u2014 alla fine far\u00e0 affidamento su binari on-chain. E questo significa che avranno tutti bisogno di una protezione seria. Penso che siamo solo all’inizio di una grande esplosione nell’infrastruttura di sicurezza, e nessuno \u00e8 davvero pronto per come sar\u00e0.\n<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"