Punti chiave
- I recenti commenti del fondatore di Openzeppelin, Manuel Aráoz, hanno riacceso i timori sulla sicurezza della DeFi.
- Heinrich, CEO di 0G Labs, ha osservato un aumento del 98% nella sicurezza dei prestiti dal 2020, smentendo le affermazioni secondo cui tutta la DeFi sarebbe insicura.
- Un sostenitore di Cysic prevede un aumento di cinque volte delle assicurazioni entro il 2029, esortando le autorità di regolamentazione a concentrarsi sulla sicurezza operativa piuttosto che sul codice AI.
Dal dramma ai dati
Quando Manuel Aráoz, co-fondatore ed ex Chief Technology Officer (CTO) di Openzeppelin, ha definito la finanza decentralizzata (DeFi) del tutto insicura, ha scosso un settore già in difficoltà a causa di un picco di attacchi hacker. Evidenziando tale vulnerabilità, una recente analisi della società di sicurezza blockchain Peckshield ha rilevato che, solo gli exploit dei protocolli cross-chain hanno prosciugato 328,6 milioni di dollari tra l’inizio dell’anno e la metà di maggio.
Gli avvertimenti virali di Aráoz hanno costretto Openzeppelin a prendere pubblicamente le distanze da alcune delle sue affermazioni, ma le osservazioni sono riuscite a scatenare un acceso dibattito sulla sicurezza della DeFi. Tuttavia, i critici hanno liquidato il suo linguaggio drammatico come un tentativo egoistico di fomentare paura e panico. Altri, come Leo Fan, fondatore di Cysic, ritengono che l’impostazione minacci la credibilità di un messaggio che ha un nucleo reale.
“Racchiuderlo in un ‘uscire da tutto’ trasforma un avvertimento necessario in un contenuto catastrofico”, ha detto Fan. “Non c’è bisogno di drammaticità per smuovere le persone in questo settore; servono i numeri.” Lo stesso sentimento è condiviso da Michael Heinrich, co-fondatore e CEO di 0G Labs, che sottolinea il miglioramento di circa il 98% nella sicurezza dei prestiti DeFi rispetto al 2020. Heinrich sottolinea inoltre i tassi di perdita giornalieri nettamente ridotti sui principali protocolli di prestito, ora intorno allo 0,001%, come un altro fattore che smentisce i commenti di Aráoz secondo cui “tutta la DeFi è insicura”. “Dire ai piccoli investitori di uscire da blue chip come Aave e Maker non corrisponde al quadro reale corretto per il rischio”, ha dichiarato Heinrich a Bitcoin.com News.
Nel sostenere la sua tesi contro la DeFi, Aráoz ha insistito sul fatto che gli agenti di codifica basati sull’intelligenza artificiale (AI) sono diventati incredibilmente avanzati nello scansionare gli smart contract open-source e nell’identificare complessi difetti sfruttabili alla velocità di una macchina. La minaccia rappresentata da questi agenti è così grande che ha consigliato in privato ai suoi amici e alla sua famiglia di uscire completamente dalle loro posizioni nei principali protocolli DeFi “blue-chip” di lunga data.
La fine dell’audit statico
Tuttavia, Heinrich e Fan sostengono che l’ascesa di aggressori AI sovrumani non significa che i difensori debbano abbandonare la nave. Al contrario, affermano che ciò richiede un cambiamento fondamentale nel modo in cui il settore affronta la sicurezza. “L’audit puntuale è già morto; semplicemente non si è ancora tenuto il funerale”, ha affermato Fan. Ha avvertito che passare interamente dagli audit ai bug bounty è una lezione sbagliata. “Non si sostituisce la prevenzione con il monitoraggio: si colma il divario tra i due.” Secondo Heinrich, affidarsi a un audit annuale non è più una difesa credibile. Il futuro della sicurezza degli smart contract si basa invece su una pipeline di difesa a più livelli, veloce come una macchina, in cui gli audit fungono da primo punto di controllo piuttosto che da evento singolo. Ha delineato uno stack di sicurezza a quattro livelli: audit pre-implementazione assistiti dall’IA abbinati a una revisione umana, monitoraggio continuo post-implementazione, bug bounty ben finanziati e IA verificabile sul lato difensivo. L’obiettivo finale, ha osservato Heinrich, è incorporare la verifica formale sui percorsi critici — utilizzando prove matematiche piuttosto che revisioni soggettive — insieme a revisioni continue potenziate dall’IA eseguite sui contratti attivi nello stesso modo in cui operano gli aggressori.
“Gli audit non scompariranno”, ha affermato. “Diventeranno il primo punto di controllo in una pipeline di difesa alla velocità delle macchine.” Al di là delle pipeline di sicurezza preventive, la discussione sulla mitigazione del rischio si sposta inevitabilmente sull’assicurazione, un elemento fondamentale che, secondo Heinrich, rimane gravemente sottosviluppato nell’ecosistema crypto. Secondo Heinrich, alcuni ostacoli strutturali limitano il settore assicurativo decentralizzato. In primo luogo, i pool assicurativi immobilizzano capitali che potrebbero altrimenti generare rendimenti attivi altrove nella DeFi.
Per illustrare questo punto, Heinrich cita il leader di mercato Nexus Mutual, che detiene circa 190 milioni di dollari a fronte di un mercato DeFi più ampio che ha oscillato tra i 40 e gli oltre 100 miliardi di dollari di valore totale bloccato. Heinrich osserva che questo coefficiente di capitale è strutturalmente esiguo. Un altro ostacolo è definire cosa costituisca un exploit on-chain, cosa che egli descrive come un esercizio non banale.
Nonostante questi ostacoli, Heinrich sostiene che imporre obblighi assicurativi a tutti i protocolli sia lo strumento sbagliato per favorirne l’adozione. L’industria deve invece innovare a livello di prodotto. “Ciò che fa davvero la differenza sono i prodotti parametrici on-chain che pagano automaticamente in base a segnali verificabili, e i protocolli che integrano l’assicurazione nel prodotto, proprio come funzionano le commissioni di compensazione nei mercati tradizionali”, ha affermato Heinrich.
Regolamentare le operazioni, non solo il codice
Sebbene l’attuale rete di sicurezza sia limitata, la domanda di mercato sta accelerando. Secondo una previsione di Coinlaw del marzo 2026, il mercato assicurativo decentralizzato dovrebbe crescere di quasi cinque volte entro il 2029.
“Il capitale sta arrivando”, ha osservato Heinrich. “Ciò che manca è la superficie di prodotto su cui implementarlo.” Il cambiamento interno del settore verso una difesa alla velocità delle macchine e reti di sicurezza automatizzate solleva questioni più ampie sulla supervisione normativa. Mentre i responsabili politici esaminano sempre più attentamente la sicurezza delle risorse digitali, Fan avverte che le autorità di regolamentazione rischiano di concentrarsi eccessivamente sulle minacce sbagliate, come lo spettro dei sistemi di IA canaglia.
“L’istinto normativo più intelligente non è quello di farsi prendere dal panico specificamente per gli attacchi dell’IA”, ha detto Fan. “È quello di concentrarsi sul livello operativo da cui il denaro effettivamente esce: custodia delle chiavi, governance multisig, sicurezza dei bridge e risposta agli incidenti.”
Fan sostiene che, applicando rigorosi standard di sicurezza operativa su questi specifici vettori, gli organismi di vigilanza potrebbero eliminare la stragrande maggioranza delle perdite di capitale nel mondo reale. Concentrarsi esclusivamente sul codice degli smart contract trascurando le operazioni quotidiane, ha avvertito, equivale a “regolamentare il 10% e trascurare il 90%”. Inoltre, Fan ha sottolineato un elemento tecnico che i responsabili politici sottovalutano costantemente: la crittografia avanzata.
“La prova crittografica, come le prove a conoscenza zero, di quale codice è stato eseguito e che è stato eseguito correttamente è un elemento di conformità di gran lunga migliore rispetto a un rapporto di audit in formato PDF”, ha affermato Fan. “È verificabile matematicamente, non sulla base della fiducia. È in questa direzione che vorrei che si concentrassero gli sforzi normativi”.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Alan Inman
Source link
