19 dic 2021 · 5 min read

Cosa abbiamo imparato dall'hack di MonoX?

Sicurezza DeFi

Fonte: Adobe/Maksim Kabakou

Gleb Zykov è il co-fondatore e capo della tecnologia di HashEx, una società di consulenza blockchain e audit di sicurezza.
_____

Il recente attacco informatico a MonoX Finance che ha portato al furto di 31 milioni di dollari, indica ancora una volta l'insufficiente sicurezza nei protocolli di finanza decentralizzata (DeFi). Per eseguire il backup di questa recente istanza con più dati, diamo un'occhiata ai numeri in un rapporto su frode e furto in DeFi dal 2020 fatto da una società di analisi dei dati Elliptic. Il rapporto afferma che 12 miliardi di dollari sono stati rubati dallo spazio DeFi dal 2020 al 18 novembre 2021, con 10,5 miliardi di dollari segnati per gli undici mesi incompiuti del 2021.

Questi dati rispecchiano praticamente la crescita della stessa DeFi e inviano un messaggio chiaro sull'importanza della sicurezza nella finanza decentralizzata a tutti i suoi partecipanti e alle comunità di vari protocolli DeFi. Lo vediamo come il più grande ostacolo per il settore che va avanti perché DeFi non sarà in grado di diventare un'alternativa sostenibile alla finanza centralizzata finché i suoi utenti esporranno i loro fondi a livelli di rischio così elevati.

In questo articolo, spiegherò come si è concretizzato l'attacco MonoX e parlerò dell'importanza degli audit di sicurezza in DeFi e di come i fondatori e i trader di progetti possono proteggere i fondi bloccati negli smart contract.

Spiegazione dell'attacco swap MonoX

MonoX è un exchange decentralizzato multi-blockchain (DEX) che consente a investitori e trader di fornire liquidità per le blockchain Ethereum (ETH)  e Polygon (MATIC). Questo tipo di protocolli DeFi è stato ritenuto il più vulnerabile alle minacce informatiche poiché il loro livello di complessità del codice è superiore a quello dei protocolli DeFi distribuiti su una singola blockchain. Tuttavia, l'exploit che ha portato alla perdita dei fondi degli utenti da MonoX Finance è una cosa piuttosto elementare.

I truffatori hanno utilizzato il bug che ha permesso loro di utilizzare il token MONO nativo di MonoX Finance come asset di base e quotazione in un'unica operazione di swap. Ciò ha quindi permesso loro di elevare il prezzo di MONO senza alcuna liquidità reale. Dopo averlo fatto, hanno semplicemente scambiato il loro MONO con asset come WETH, LINK, IXM, MIM, DUCK, GHST, lasciando ai fornitori di liquidità token digitali praticamente senza valore.

Tuttavia, MonoX Finance era stata verificata da Halborn e Peckshield e aveva un ampio elenco di problemi identificati nel rapporto di verifica. Questo è indicativo della scarsa qualità del codice della base di codice del progetto, che rende molto più difficile non ignorare un bug o un altro. Pertanto, non è solo un errore da parte dei revisori trovare un importante exploit, ma anche un errore degli sviluppatori nel fornire codice di facile lettura dei loro contratti intelligenti.

In questo contesto vorrei sottolineare quanto sia importante scrivere codice di facile lettura, che è compito dei programmatori. Inoltre, prima di consegnarlo ai revisori, il team di sviluppatori farebbe meglio a eseguire alcuni test di funzionalità per assicurarsi che ogni contratto intelligente funzioni come previsto.

Cosa può aiutare a risparmiare fondi

Non c'è dubbio che gli audit siano un modus operandi per rendere più sicuro un contratto intelligente DeFi. Ma quali sono gli altri modi per risparmiare i soldi bloccati in un contratto intelligente dal furto? Ci sono diverse tattiche per investitori e proprietari.

Per i fondatori di DeFi

Multifirma o DAO

Per guadagnare la fiducia della comunità, un progetto DeFi onesto deve adottare misure per garantire che non ci sia alcun tipo di sabotaggio, ovvero denaro rubato all'interno del progetto. La prima cosa da fare in questo senso sarà decentralizzare la proprietà del contratto intelligente tra diversi membri del team. Significa che per eseguire modifiche o comandi in un contratto intelligenti, sarà necessaria l'autorizzazione da diverse chiavi private.

La DAO (decentralized autonomous organization - organizzazione autonoma decentralizzata) è un altro modo per ridurre al minimo la minaccia del sabotaggio. Un DAO consente la distribuzione del potere di voto tramite token che saranno necessari per apportare modifiche al contratto intelligente della DAO. Per votare per le modifiche, i titolari di token dovranno bloccare i propri token nel contratto intelligente fino al termine del voto. Pertanto, se il fondatore del progetto non dispone della stragrande maggioranza dei token, non sarà in grado di apportare modifiche al contratto da solo.

Ritardo nell'esecuzione del comando

Un'altra opzione è abilitare un ritardo nell'esecuzione del comando in un contratto intelligente per i comandi immessi utilizzando la chiave privata. Non consentirà l'esecuzione immediata dei comandi ma solo dopo un certo ritardo. Gli utenti che hanno depositato fondi nel contratto intelligente possono monitorare le transazioni in coda e saranno in grado di avvisare la comunità prima che sia troppo tardi.

Per gli investitori

Controllare la squadra

Cerca i membri del team sui social media e verifica se i loro dati personali corrispondono attraverso diversi social network. Se la squadra non rivela le loro vere identità, potrebbe essere un segnale di preoccupazione.

Vedere il sito

Il sito del progetto dovrebbe essere presentabile e il testo su di esso dovrebbe essere alfabetizzato. Lo stesso vale per la documentazione del progetto: dovrebbe essere ben strutturata e scritta in un buon linguaggio. Il linguaggio mediocre sul sito è un grande motivo di preoccupazione.

Vedere i rapporti di audit

Se non si parla di audit del progetto, è un problema serio e dovrebbe allarmare immediatamente un potenziale investitore. Se ci sono collegamenti a rapporti di audit, dovresti esaminarli e vedere cosa ha dichiarato l'auditor sul codice del progetto. È importante vedere anche cosa hanno scritto sulla qualità del codice.

Conclusione

Con i progetti DeFi che diventano più complessi, la probabilità che siano presenti bug nel codice è aumentata, ma ciò non ha influenzato la procedura degli audit. Tuttavia, oltre il 90% del lavoro consiste nella verifica manuale del codice. Solo i nuovi tipi di exploit richiedono un controllo del codice aggiuntivo oltre a quello che stavamo facendo in precedenza.

Gli investitori dovrebbero anche fare la propria due diligence: ricercare il sito del progetto, la documentazione e i rapporti di audit come minimo. Anche stare in guardia è molto importante quando si ha a che fare con la DeFi finché questo mercato finanziario comporta un livello così alto di minaccia per i fondi degli utenti.

______

Seguici sui nostri canali social: 

Telegram: https://t.me/ItaliaCryptonews

Twitter: https://twitter.com/cryptonews_IT
 _______

Clicca sui nostri link di affiliazione:

- Per acquistare le tue criptovalute su PrimeXBT, la piattaforma di trading di nuova generazione

- Per proteggere le tue criptovalute su portafogli come Ledger e Trezor

- Per effettuare transazioni in modo anonimo con NordVPN

______
Per saperne di più:
- Bitmart rimborserà gli utenti dopo un hack da 200 mln di USD
- AnubisDAO Points at ‘Critical Mistake’ After Losing USD 60M of Investors Money

- Bitcoin & Crypto Wallet Hygiene 101
- 6.000 clienti di Coinbase sono stati derubati

- Vulcan Forged rimborsa la maggior parte di utenti hackerati
- Badger DAO ha perso oltre 62 milioni di USD in un hacking