Il Web3 ci ha promesso una nuova era di privacy e sicurezza, ma una serie di recenti importanti hack fa sembrare tutto ciò una bugia.
La promessa del Web3 è che avremo tutte le cose che ci piacciono di Internet, ma con più privacy e un’architettura basata su blockchain per mantenere i nostri dati più sicuri di prima.
Bene, questa è la teoria. In realtà, il Web3 sta diventando un incubo per la sicurezza poiché una serie di recenti hack ha lasciato alcuni a chiedersi se dovremmo semplicemente consegnare i nostri soldi e dati privati a Mark Zuckerberg.
Il Web3 e la sicurezza informatica
L’ultimo disastro della sicurezza riguarda il gioco play-to-earn Axie Infinity, che dovrebbe essere il figlio del Web3. Se te lo sei perso, gli hacker hanno fatto irruzione nel “bridge” Ronin tra Axie e la blockchain di Ethereum e lo hanno derubato per un importo di 552 milioni di dollari all’epoca (ora del valore di 630 milioni, dato che l’ETH è in rialzo), una cifra sbalorditiva.
Ancora più scioccante è il modo in cui è avvenuto l’attacco. Come spiega l’ingegnere Molly White, il team dietro Axie ha allestito il bridge in modo tale da richiedere solo nove validatori, il che significa che un hacker doveva solo compromettere cinque account per ottenere le chiavi e quindi il controllo. Ed è quello che è successo. Ancora peggio, il team di Axie ha impiegato sei giorni per notare che 630 milioni di dollari in ETH erano stati saccheggiati.
Se un team di sicurezza presso una banca o un’azienda Web2 si comportasse in questo modo, verrebbe licenziato e sarebbe accusato di negligenza civile o addirittura penale. Ma dal momento che è Web3, la leadership di Axie ha offerto solo vaghi borbottii sull’effetto di quanto sia un peccato. Il fondatore di Axie Jeff Zirlin ha twittato martedì:
“È una giornata difficile” e due ore dopo, “Questo è il momento in cui mostriamo di che pasta siamo fatti.”
Come ha osservato Matt Levine di Bloomberg, “Nessuno si preoccupa di meno della sicurezza delle informazioni rispetto ai developer dei progetti crittografici.”
Il fallimento di Axie
La debacle di Axie non è certo una tantum. Due mesi fa, gli hacker hanno rapinato Wormhole. Un popolare bridge verso la blockchain di Solana, per un importo di 320 milioni di dollari. Fortunatamente per gli utenti, i venture capitalist di Wormhole, riconoscendo la terribile ottica, hanno deciso di coprire le perdite anche se gli ingegneri responsabili hanno quasi alzato le spalle. La scorsa settimana, 28 milioni di dollari sono stati sottratti al protocollo di stablecoin di Solana Cashio. Lo scorso agosto, Poly Network è stata violata per oltre 600 milioni di dollari.
Esistono numerosi altri esempi di utenti Web3 derubati perché le piattaforme che utilizzano sono piene di lacune nella sicurezza.
Nel frattempo, più di due dozzine di aziende Web3, tra cui Circle e BlockFi, hanno rivelato il mese scorso di essere state colpite da un attacco in stile Web2. In tal caso, gli hacker hanno compromesso uno dei loro fornitori di informazioni relative al marketing. Impossessandosi di una serie di dati dei clienti che vengono già utilizzati per condurre campagne di phishing e altre truffe.
Il futuro del Web3 è incerto
Di questo passo, il Web3 rischia di ereditare i peggiori fallimenti di sicurezza della precedente Internet, ma senza prendersene la responsabilità. Almeno le grandi banche dispongono di un’assicurazione per proteggere i propri clienti quando vengono derubati. Mentre le aziende Big Tech implementano sofisticati team di sicurezza per proteggere i loro dati. Molti nomi di spicco del Web3, al contrario, sembrano concentrati sul diventare ricchi. Scaricando token senza dare un fico agli utenti lasciati a navigare da soli in un paesaggio predatorio.
La corsa all’oro dei token ha portato molti a dimenticare i valori che hanno dato origine alle criptovalute in primo luogo. Questi includono la costruzione di un’architettura sicura e il ricordo del “trilemma blockchain” del fondatore di Ethereum Vitalik Buterin. L’idea è che sia facile raggiungere due dei tre obiettivi quando si tratta di decentralizzazione, scalabilità e sicurezza, ma molto difficile da raggiungere tutti e tre. A proposito, Vitalik ha parlato dei bridge a gennaio, avvertendo che semplicemente non sono sicuri come i progetti Layer 1 come Ethereum o Bitcoin.
E parlando di Bitcoin, penso che questa sia un’occasione in cui il più ampio mondo Web3 dovrebbe considerare di imparare dai massimalisti di Bitcoin. Per quanto odiosi possano essere, i massimi hanno ragione sul fatto che non c’è niente di più testato e sicuro della blockchain di Bitcoin. Uno dei grandi motivi per cui la creazione di Satoshi rimane la criptovaluta più preziosa al mondo. I fondatori del Web3 dovrebbero impiegare più tempo per costruire i loro progetti in modo simile piuttosto che finire il progetto in fretta nella speranza di un rapido guadagno. In caso contrario, il Web3 rischia di perdere la poca credibilità che si è costruita.