Rivelazioni scioccanti emerse da nuove ricerche sulla sicurezza delle criptovalute. Solo 18 dei 1.500 principali progetti su blockchain sono sicuri.
Le ricerche di Hacken Scout suggeriscono che il 20% dei progetti non è riuscito a correggere bug critici di sicurezza. Questi errori nel codice mettono potenzialmente in pericolo i propri utenti.
Hacken Scout ha chiesto l’aiuto di 111 appassionati di sicurezza informatica per eseguire un audit completo del settore DeFi in cambio di una sostanziosa ricompensa. Ecco quali sono le principali informazioni a cui fare attenzione.
Sicurezza criptovalute: ecco tutto quello che devi sapere
Secondo CER.live, che ha verificato i loro risultati, solo l’1,2% delle criptovalute sulla lista ha finito per superare un’indagine a pieni voti.
Per essere considerati completamente sicuri, i progetti devono avere un programma di ricompense per chi trova dei bug nei codici. Un’assicurazione dovrà garantire che il codice distribuito per la loro piattaforma ed eventualmente il token nativo, corrispondessero al codice sottoposto all’audit di sicurezza.
Nel frattempo il 6,5% dei progetti è stato descritto come “well secured“. Tuttavia anche questi progetti sono privi di una polizza assicurativa che proteggerebbe gli investitori nel caso qualcosa andasse storto.
Complessivamente il 32% dei progetti esaminati utilizza attualmente un codice che non corrisponde a quello esaminato dalla società di sicurezza. Questo significa che potrebbero ingannare gli investitori, poiché non sono sottoposti a nessun tipo di revisione.
Le ricompense per chi trova bug ed errori di sistema
Un’altra statistica preoccupante rivela che solo il 21% delle piattaforme dispone di un programma pubblico di ricompense di bug attivo. Si tratta di schemi che incentivano gli hacker white-hat a scoprire potenziali exploit che potrebbero essere utilizzati da utenti malintenzionati a scopo di lucro.
È inoltre emerso che il 20% dei progetti non è riuscito a correggere bug critici di sicurezza. Questi sono stati identificati in precedenza attraverso un audit, mettendo potenzialmente in pericolo i propri utenti.
CER.live ha affermato che i risultati mostrano che ci sono “gravi problemi di sicurezza” nello spazio Web 3.0, aggiungendo:
“I progetti continuano a sottovalutare la sicurezza informatica, sebbene sia uno dei principali fattori che influiscono sulle decisioni di investimento degli utenti“.
Ognuna delle 1.500 criptovalute esaminate riceverà una valutazione. Si spera che i progetti con un punteggio scarso saranno incoraggiati a prestare maggiore attenzione alla sicurezza. Oltre a ricevere dei benefici in reputazione, altri vantaggi includono la protezione degli investimenti da parte di nuovi utenti e la riduzione del rischio di un hacking di risorse.
La cosa più importante per gli investitori
Gli esperti della sicurezza informatica che si sono offerti volontari per indagare su ciascuna criptovaluta, hanno guadagnato complessivamente 352.000 token Hacken, del valore di $24.000 agli attuali tassi di mercato.
Hacken e CER.live affermano che di solito ci vogliono mesi per raccogliere dati su 1.500 criptovalute. Tuttavia questo approccio ha accelerato notevolmente le cose offrendo un incentivo finanziario ai volontari.
Entrambe le organizzazioni affermano che molti progetti non utilizzano più un codice verificato dagli auditor. Peggio ancora, alcune piattaforme non sono riuscite a pubblicare il codice dei loro progetti su GitHub.
Gli investitori sono invitati a ricontrollare se i progetti crittografici a cui sono interessati sono supportati da polizze assicurative che proteggono la piattaforma da furti o incidenti di hacking. Questo è fondamentale per gli interessi finanziari degli utenti finali.
Verificate inoltre se gli audit di sicurezza di una piattaforma coprono tutti gli smart contract in funzione. Molti progetti di criptovalute offrono exchange di token, possibilità di farming, staking e molto altro ancora. Nonostante questo è possibile che il team abbia esaminato solo uno smart contract, lasciando un alto rischio di vulnerabilità negli altri.
Infine gli audit sono in grado di identificare le vulnerabilità della sicurezza, ma poi il team deve intervenire per correggerle. CER.live accusa alcuni progetti di aver trascurato queste azioni per mancanza di tempo o di risorse.