Man mano che la fiducia negli audit viene meno, la comunità DeFi valuta le alternative di sicurezza

Man mano che gli attacchi lanciati contro i popolari protocolli di finanza decentralizzata (DeFi) diventano sempre più complessi, l’efficacia degli audit delle principali società di sicurezza è stata a sua volta oggetto di esame e alcuni membri della comunità DeFi hanno già iniziato a costruire alternative interne.

“Penso che ora, dopo tutti gli hack che abbiamo avuto, fondamentalmente capiamo che se hai due audit, tre audit, non significa che sei al sicuro”, ha detto il co-fondatore di DeFi Italia Emiliano Bonassi in un’intervista a Cointelegraph. “Questo non significa che gli audit non abbiano valore in questo momento, ma non sono proiettili d’argento”.

Questa nuova realtà è ciò che ha spinto Bonassi a formare ReviewsDAO. Un semplice forum per collegare esperti di sicurezza e progetti alla ricerca di uno sguardo in più, nei tre giorni dal suo lancio ReviewsDAO ha già attirato quattro revisori volontari (tra cui Bonassi), e ha abbinato due revisori con un progetto.

La skin nel gioco è una delle regole implicite https://t.co/5y4MBhvNB7

Anon è consentito e protetto ma mettere la tua faccia (virtuale o meno) è un segno di fiducia

Ci sto offrendo il mio tempo e la mia faccia per le recensioni https://t.co/CoVRSThymG

Non essere timido, aiuta la comunità! pic.twitter.com/uq0KtV2pCV

– Emiliano Bonassi | emiliano.eth (@emilianobonassi) 15 febbraio 2023

Anche Bonassi e ReviewsDAO non sono soli. Codice 423n4 è un altro progetto che mira a dare il via a un movimento di sicurezza all’interno dell’ecosistema, sfruttando una svolta sperimentale e ludica sulle taglie dei bug. Allo stesso modo Immunefi, un’altra piattaforma di ricompense DeFi lanciata a dicembre dello scorso anno, sta rivedendo il modello di divulgazione della sicurezza spingendo per più del 10% dei fondi vulnerabili come ricompensa. 

Il modello di Immunefi, in particolare, ha già fatto scalpore, ottenendo con successo una ricompensa di 1,5 milioni di dollari per un whitehat.

Tre nuovi progetti emergenti in soli due mesi e ciascuno con il proprio modello di incentivi: è uno sforzo a livello di settore Stani Kulechov, il fondatore della piattaforma di prestito DeFi Aave, ritiene che sarà la chiave per la salute e la sicurezza dello spazio andando avanti.

“Gli auditor non sono qui per garantire la sicurezza di un protocollo, ma semplicemente aiutano a individuare qualcosa di cui il team stesso non era a conoscenza. Alla fine si tratta di revisione tra pari e abbiamo bisogno di trovare incentivi come comunità per consentire a più esperti di sicurezza nello spazio “.

“Nessun proiettile d’argento”

Bonassi dovrebbe essere un nome familiare a chiunque abbia tenuto il passo con la recente ondata di exploit. Lo sviluppatore italiano è uno della mezza dozzina o giù di lì di hacker dal cappello bianco che spesso si riuniscono sulla scia di un attacco nel tentativo di replicare l’exploit e aiutare i progetti a riparare le vulnerabilità. 

Chiedete a quasi tutti i fondatori di DeFi di Bonassi e dei suoi colleghi “war room” post-exploit, e saranno pronti a cantare le loro lodi.

“La comunità DeFi ha la fortuna di avere cappelli bianchi come Samczsun ed Emiliano. I loro sforzi […] rendono lo spazio non solo più sicuro, ma sottolinea anche la narrativa secondo cui ci sono molte persone nel nostro ecosistema che si preoccupano del successo dello spazio “, ha affermato Kulechov.

Sebbene le capacità di risposta dei whitehats siano ampiamente apprezzate, ReviewsDAO è in qualche modo uno sforzo per ridurre la frequenza con cui i progetti ne hanno bisogno.

Secondo Bonassi, la tensione tra le esigenze dei progetti e le risorse limitate delle società di revisione sta indebolendo la sicurezza dello spazio Defi in grande: i revisori sono sempre impegnati, ma i team nel bel mezzo della corsa all’innovazione DeFi devono rimanere agili. Sebbene un progetto possa richiedere un audit su alcune piccole modifiche, la disponibilità e i costi spesso richiedono un ordine più grande, con conseguente “frammentazione” del codice.

“Dal momento che non sono disponibili, di solito prepari un mucchio di cose che desideri rivedere e gliele spedisci. L’interazione è davvero, diciamo “basata su istantanee”, piuttosto che avere una collaborazione continua “, ha affermato Bonassi.

Quindi, come abilitare revisioni della sicurezza più frequenti che soddisfacessero meglio le esigenze dei progetti? Bonassi afferma di aver inizialmente considerato una sovvenzione Gitcoin per un gruppo whitehat come una soluzione, ma alla fine ha stabilito che un tale modello sarebbe stato eccessivamente centralizzato e non sarebbe stato in grado di scalare. Nessuno dei suoi coetanei Whitehat sapeva come risolvere il problema, quindi ha optato per la semplicità.

La guida definitiva su come ridimensionare i bug bounty aumenterà la sicurezza della DeFi e degli smart contract, del nostro CEO @MitchellAmador:

– I contratti intelligenti sono difficili da proteggere

– I bug bounties sono incentivi a cambiare il gioco

– Il ridimensionamento delle taglie di bug proteggerà la comunitàhttps://t.co/szvOn2JQu7

– Immunefi (@immunefi) 18 febbraio 2023

“Se non hai un’idea, parti dalle basi: avvia un forum, diciamo un” mercato “, dove le persone possono chiedere recensioni grandi o piccole e offrire anche la loro esperienza.”

Non mira a sostituire completamente gli audit e le società di audit, osserva Bonassi, e invece immagina il DAO come uno che può aiutare i progetti più giovani a prepararsi meglio per un audit fornendo “revisione continua” e “revisione liquida”.

È un modello che l’esperto di sicurezza Maurelian di OptimismPBC ritiene lasci spazio alle grandi società di revisione, pur riconoscendo che devono esserci anche altre soluzioni di sicurezza. 

“Secondo me c’è un valore reale per un audit da parte di una società di alta qualità e nient’altro serve davvero come ‘alternativa’, ma penso anche che ci sia un problema di eccessivo affidamento sugli audit per fornire sicurezza”, ha detto. 

Bonassi ritiene inoltre che ReviewsDAO potrebbe alla fine diventare una sorta di auditing “Università”, in cui le persone con conoscenze specialistiche possono espandersi in altre aree e i giovani sviluppatori possono diventare auditor a pieno titolo, sia facendo il punto sulle risorse degli sviluppatori in DeFi che rafforzandole..

“Il mio obiettivo è anche quello di mappare persone e progetti: avere un luogo trasparente in cui le persone possono scambiarsi informazioni, aiutarci a capire quante persone che sono, fondamentalmente, da un punto di vista della sicurezza abbastanza buone, sono presenti nell’ecosistema.”

Pelle nel gioco

Sebbene soddisfi una chiara esigenza del mercato, Bonassi afferma che non ci sono piani attuali per la monetizzazione o un token ReviewsDAO.

“Penso che iniziative come questa dovrebbero essere beni della comunità”, sostiene.

Questo sforzo per evitare incentivi al capitale è più che un semplice idealismo. Questi nuovi progetti di auditing stanno nascendo perché il modello attuale non è completamente sostenibile, dice Bonassi – un modello che è “transazionale”, il che significa che gli auditor non hanno la pelle nel gioco che un partner più pienamente impegnato potrebbe. Di conseguenza, l’intero panorama DeFi (quello che gli auditor dovrebbero apparentemente garantire) sta soffrendo.

“Non sono una relazione. Non è una partnership “, dice Bonassi.

Tuttavia, anche il bene pubblico ha spesso finanziamenti pubblici, ed è una questione aperta se gli sviluppatori – che sono spesso oberati di lavoro per cominciare – saranno disposti a donare tempo a quello che Andre Cronje chiama il “Tasso Emiliano Bonassi”: per nessun altro premio se non il riconoscimento.

Bonassi osserva che più importanti fondatori del protocollo DeFi hanno offerto sovvenzioni, che finora sono state rifiutate. È testardo nel vedere se gli sviluppatori sono disposti a restituire lo spazio che spesso viene loro dato così tanto, anche quando sono disponibili altre opzioni potenzialmente redditizie.

“Ciò di cui abbiamo veramente bisogno in questo ecosistema sono più persone che ci lavorino – diciamo, qualcuno potrebbe odiarmi ma, meno fork se non aggiungono valore […] Non voglio finire nell’ICO era. Non voglio tornare al 2023 “.

IL POST INTRO.

Se vuoi metterti in gioco, unisciti alla discordia e dimmi come vuoi essere coinvolto.https://t.co/7AZSlMDKS9https://t.co/3YyPmKqs6I

– Codice 423n4 (@ code423n4) 15 febbraio 2023

I primi risultati sullo sforzo sono promettenti. Copertura / protocollo assicurativo Cover è stato il primo progetto ad essere abbinato a un revisore tramite ReviewsDAO.

“È stato fantastico”, afferma Pumpkin, sviluppatore principale di Cover Protocol e Ruler Protocol. “Sono stato uno dei pochi con cui Emiliano ha condiviso l’idea prima del rilascio. Mi è piaciuto subito perché è quello che stavo cercando (per ottenere revisioni del codice esterno e più facilmente e rapidamente) […] Non sono sicuro di cosa uscirà dalla recensione, ma il forum sta sicuramente funzionando bene come previsto. “

Maurelian crede anche che ci sia speranza per il modello forse idealistico – e che potrebbe essere più transazionale di quanto sembri a prima vista.

“Ottieni quello che dai. Quindi partecipare a un progetto come questo è probabilmente una buona idea se hai intenzione di rimanere nello spazio per un lungo periodo “, ha detto.

Anche se alcuni sviluppatori donano tempo per curare favori futuri, Emiliano rimane risoluto nella sua visione secondo cui gli sforzi per proteggere l’ecosistema dovrebbero provenire da un luogo di altruismo e amore.

“Questo è l’ideale che dovremmo spingere. E poiché abbiamo molti soldi e questo settore ha molti soldi, non dovresti aver bisogno di taglie, dovresti farlo perché ami questo settore. Questa è una chiamata a tutte le persone che vogliono far crescere l’ecosistema “.