Standard di contratti intelligenti: rendere più sicure le transazioni DeFi su Ethereum
La finanza decentralizzata continua a fare il suo impatto sul mercato delle criptovalute e con oltre 13 miliardi di dollari di valore totale delle attività bloccato, I progetti DeFi stanno chiaramente risuonando con entusiasti investitori crittografici. Eppure, mentre lo spazio DeFi ha progredito nell’ultimo anno, una serie di progetti illegittimi sono giunti a buon fine, ricordando in parte il boom delle ICO del 2023 e il suo successivo fallimento.
Ad esempio, Harvest Finance, un importante protocollo decentralizzato, è stato recentemente violato. L’autore dell’attacco ha rubato 24 milioni di dollari dai pool di Harvest Finance. Più di recente, Value DeFi, il protocollo di finanza decentralizzata, è caduto vittima di un exploit di prestito flash da 6 milioni di dollari. E, naturalmente, uno dei più grandi eventi dell’anno per DeFi ha coinvolto SushiSwap, dove il creatore ha venduto $ 13 milioni di fondi per lo sviluppo, causando un crollo del mercato.
È importante sottolineare che la maggior parte dei progetti DeFi sono basati sulla blockchain di Ethereum. Secondo il sito web DeFiPrime, ci sono attualmente oltre 200 progetti DeFi sulla rete Ethereum. Eppure, mentre Ethereum sembra essere la piattaforma più adatta per i progetti DeFi, le vulnerabilità della rete hanno svolto un ruolo importante negli hack e nelle attività fraudolente.
Le transazioni di contratti intelligenti su Ethereum richiedono sicurezza
In particolare, i contratti intelligenti che alimentano Ethereum sono noti per essere irto con problemi di sicurezza, che, a loro volta, hanno avuto un forte impatto sui progetti DeFi. Inoltre, i contratti intelligenti applicati a progetti DeFi del valore di miliardi di dollari spesso non vengono verificati in anticipo.
Tom Lindeman, un precedente ricercatore veterano presso Microsoft ed ex amministratore delegato di Ethereum Trust Alliance – un gruppo di società blockchain che lavorano su un sistema di sicurezza per contratti intelligenti – ha detto a Cointelegraph che attualmente non ci sono buoni modi per identificare se un contratto intelligente è sicuro prima di iniziare una transazione:
“Lo spazio DeFi ora vale miliardi di dollari, ma molti di questi contratti intelligenti utilizzati non vengono mai controllati. In quanto tale, il settore DeFi continua a vedere una raffica di attività che vede individui e organizzazioni che approvano contratti token, scambiano token e aggiungono liquidità ai pool in rapida successione senza essere in grado di controllare facilmente la sicurezza del contratto “.
Nel tentativo di risolvere le sfide alla sicurezza legate agli smart contract, Lindeman si è unito al nuovo “EthTrust Security Levels Working Group” dell’Enterprise Ethereum Alliance come suo co-presidente. Secondo Lindeman, la missione del gruppo di lavoro sarà quella di continuare i progressi inizialmente avviati dalla Ethereum Trust Alliance, o ETA, che mirano a stabilire standard per transazioni di contratti intelligenti e sicure condotte sulla blockchain di Ethereum.
Un sistema di registro per smart contract valutati
Lindeman ha spiegato che l’ETA ha lavorato al suo progetto EthTrust per quasi un anno, anche prima che lo spazio DeFi iniziasse a esporre le vulnerabilità dei contratti intelligenti di Ethereum. Per coincidenza, il progetto EthTrust ha unito le forze con l’Enterprise Ethereum Alliance proprio mentre lo spazio DeFi stava guadagnando terreno.
Daniel Burnett, direttore esecutivo dell’Enterprise Ethereum Alliance, ha detto a Cointelegraph che i tempi per il nuovo gruppo di lavoro sono stati puramente casuali per quanto riguarda l’ascesa della DeFi. Secondo Burnett, il nuovo progetto EthTrust dimostra ulteriormente che la rete Ethereum sta maturando. “Vogliamo aiutare a risolvere i problemi che molti dei nostri membri hanno espresso riguardo a Ethereum”, ha detto.
In particolare, il nuovo gruppo di lavoro prevede di affrontare le vulnerabilità di sicurezza negli smart contract creando uno standard e un sistema di registro per aiutare gli utenti ad acquisire una maggiore consapevolezza su come differenziare quali contratti sono stati sottoposti a rigorosi controlli di sicurezza. Sebbene il progetto sia ancora in fase di elaborazione, l’obiettivo è definire alcuni requisiti che gli smart contract devono presentare per essere considerati sicuri.
Ad esempio, Pierre-Alain Mouy, membro di Enterprise Ethereum Alliance, ex proprietario del prodotto ETA e amministratore delegato di NVISO Security in Germania, ha dichiarato a Cointelegraph che ci sono tre livelli di convalida che un contratto intelligente può raggiungere per aiutare le persone a comprendere il suo livello di fiducia :
“Abbiamo avviato il progetto includendo tre diversi livelli di badge che i contratti intelligenti possono guadagnare per dimostrare il suo livello di fiducia. Il primo livello consiste in uno smart contract che subisce un lavoro attraverso l’automazione. I livelli due e tre sono audit manuali effettuati da persone per garantire che i contratti siano sicuri e protetti “.
Mouy ha condiviso che, affinché uno smart contract ottenga un badge di livello uno, verrà eseguito uno strumento di scansione di sicurezza automatizzato in base al contratto. Lo strumento basato sull’intelligenza artificiale è progettato per verificare una serie specifica di requisiti che il gruppo di lavoro sta attualmente definendo.
Se uno smart contract continua al livello due, le persone eseguiranno un controllo di sicurezza. “Ci saranno definizioni per le società di audit, che spiegheranno quanto tempo hanno bisogno di scavare in questi contratti intelligenti”, ha detto Mouy, aggiungendo ulteriormente: “Alla fine, verrà creato un rapporto di audit per il gruppo di lavoro da esaminare manualmente. Tuttavia, non siamo revisori dei conti. Il gruppo di lavoro funge da router per verificare che questi passaggi vengano eseguiti “.
Infine, se uno smart contract arriva al livello tre, verranno eseguite specifiche aggiuntive e casi di test scritti per verificare le proprietà nel contratto. Secondo Mouy, questo è chiamato “processo di verifica formale”.
Una volta che uno smart contract è stato sottoposto a questo processo di verifica passo passo, il sistema di registro dell’iniziativa consentirà agli scambi, ad esempio, di richiedere un livello di classificazione specifico prima che vengano elencati nuovi token. Questo sistema potrebbe essere applicato anche a un consorzio multi-membro che fa affidamento su contratti intelligenti per scopi aziendali.
Interesse crescente per contratti intelligenti sicuri
Secondo Lindeman, il progetto EthTrust ha già suscitato l’interesse degli utenti quotidiani di Ethereum che vogliono vedere cose nuove, come l’agricoltura di rendimento. Ha inoltre condiviso che la società Big Four PricewaterhouseCoopers ha espresso interesse nell’utilizzo di questo sistema per fornire valutazioni di contratti intelligenti per le aziende interessate allo spazio blockchain.
Il crescente interesse per contratti intelligenti sicuri è particolarmente importante man mano che l’infrastruttura di Ethereum progredisce e i vantaggi promessi di Ethereum 2.0 si realizzano. Burnett ritiene che l’ecosistema Ethereum vedrà una maggiore fiducia in futuro, che sarà dimostrata dai nuovi progetti utilizzati dalle aziende, come il lavoro svolto dal protocollo di base.
Sebbene innovativi, è importante sottolineare che il nuovo gruppo di lavoro di Enterprise Ethereum Alliance e il progetto EthTrust non sono i primi ad affrontare le sfide legate alla sicurezza degli smart contract. Ad esempio, la società di sicurezza blockchain Quantstamp esegue audit di contratti intelligenti e controlli di sicurezza per le società blockchain dal 2023. I clienti dell’azienda includono importanti attori nel settore come Binance ed eToro. Quantstamp ha recentemente annunciato che controllerà un nuovo progetto DeFi sulla blockchain Polkadot.
Oltre alle società di sicurezza che eseguono audit, le aziende stanno anche trovando modi per garantire contratti intelligenti sicuri. Ad esempio, Vaiot, una società blockchain che utilizza l’intelligenza artificiale per creare servizi digitali per le imprese, sfrutta l’intelligenza artificiale per fornire sicurezza e prestazioni del software in contratti intelligenti. Jakub Kobeldys, lo sviluppatore principale di Vaiot, ha detto a Cointelegraph che sebbene nessuna quantità di intelligenza artificiale possa proteggere completamente dai difetti nel codice, la tecnologia può aiutare gli sviluppatori in modo significativo:
“Le tecniche di apprendimento senza supervisione potrebbero rintracciare nuovi difetti in modo automatizzato, o almeno restringere l’area di ricerca e fornire alcuni suggerimenti per gli esperti umani. Potrebbe anche portare allo sviluppo più dinamico di framework che aiutano gli sviluppatori a programmare in modo sicuro “.