La caccia all'APY del 50% è un regalo per gli hacker

Ho passato gli ultimi anni a guardare persone che trattano la DeFi come se fosse un conto deposito ad alto rendimento, ma senza alcuna assicurazione. È un gioco pericoloso. Quando vedete un protocollo che offre rendimenti che sembrano impossibili, non siete voi il cliente; siete la liquidità per l'exit di qualcun altro o semplicemente il bersaglio per un ragazzino con qualche script. Molti si limitano a controllare se un progetto ha un badge "verificato" e poi depositano, ma se state mettendo i vostri ETH o BTC in un contratto, dovete capire cos'è un audit di uno smart contract e perché un singolo PDF non rende i vostri soldi sicuri.

La risposta breve

Un audit di uno smart contract è una revisione professionale del codice di un protocollo effettuata da una società di sicurezza esterna. Gli auditor cercano bug, errori logici e vulnerabilità che gli hacker potrebbero sfruttare per svuotare i fondi. Però, un audit è una fotografia istantanea, non una garanzia di sicurezza.

Come funziona davvero

Quando gli sviluppatori scrivono uno smart contract, stanno essenzialmente scrivendo una legge che non può essere cambiata una volta distribuita sulla blockchain. Se c'è un refuso o un errore logico in quella "legge", un hacker può usarlo a proprio vantaggio.

Gli auditor usano un mix di revisione manuale e strumenti automatici per trovare questi buchi. Provano a "rompere" il codice in un ambiente sandbox prima che vada online. Se trovano un bug, gli sviluppatori lo risolvono e l'auditor verifica la correzione. Una volta finito, la società rilascia un report.

Ne ho letti abbastanza per sapere che la qualità varia enormemente. Alcuni sono analisi tecniche profonde. Altri sono semplici "timbri" dove la società ha appena controllato gli errori più banali senza guardare davvero la logica. Se vedete un progetto che vanta un audit ma non pubblica il link al report completo, per me è un segnale d'allarme enorme.

Dove si commettono gli errori

L'erroppo più grande che vedo è credere che "audited" significhi "inhackable". Non è affatto così.

Primo, gli audit coprono solo il codice che è stato effettivamente revisionato. Se uno sviluppatore cambia una piccola parte del contratto dopo l'audit, il report originale non serve a nulla. Secondo, alcuni dei furti più grandi della storia sono capitati a protocolli auditati. Abbiamo già parlato del problema della complessità della DeFi e di come i protocolli a più livelli creino rischi che anche i migliori auditor si perdono.

Poi c'è il problema delle chiavi di amministrazione. Un contratto può essere perfetto, ma se gli sviluppatori tengono le "chiavi divine" in un hot wallet e subiscono un phishing, l'audit non conta più nulla. Gli hacker usano le chiavi per ordinare al contratto di inviare tutto il denaro al proprio indirizzo. È esattamente così che si manifestano molti rischi dei wallet DeFi nel mondo reale.

Metterlo in pratica

Se siete determinati a inseguire il rendimento, dovete smettere di comportarvi da scommettitori e iniziare a ragionare come un gestore del rischio.

Smettete di fidarvi delle narrative basate sul "fidati di me, fratello". Se spostate somme significative, toglietele dal wallet del browser. Io preferisco usare Ledger Stax perché ha una funzione di controllo delle transazioni che aiuta a scovare le truffe DeFi prima di firmare. Lo schermo E Ink curvo rende molto più semplice leggere davvero cosa si sta firmando, che è proprio dove la maggior parte delle persone sbaglia.

Prima di depositare un singolo token, chiedetevi queste tre cose:

1. Chi ha fatto l'audit e il report completo è pubblico?
2. Il protocollo è multisig o le chiavi sono in mano a una sola persona?
3. Il rendimento proviene da una fonte reale o stanno solo "stampando" token per attirare liquidità?

Il mercato attuale è strano. Vediamo un crollo massiccio dei volumi, con lo spot giù del 32% e i derivati quasi al 40%. Quando il mercato tace e il sentiment diventa neutro, è spesso il momento in cui appaiono le "opportunità di rendimento" più predatorie per attirare capitali annoiati. Non lasciate che il silenzio vi inganni facendovi correre rischi che non capite.

Opera sulle news con l'exchange scelto dalla nostra redazione: MEXC