La filiale francese del gigante KPMG ha pubblicato un rapporto in cui sottolinea l’importanza da attribuire alla sicurezza nel nostro ecosistema. Insiste in particolare sulle verifiche dei contratti intelligenti e sulla necessità di assumere più esperti per far fronte alla carenza nel settore
KPMG sottolinea l’importanza della sicurezza
KPMG, società di consulenza e contabilità leader a livello mondiale, ha pubblicato un rapporto che sottolinea l’importanza della sicurezza nelle applicazioni Web 3.0. Infatti, mentre le principali blockchain pubbliche sono costruite in modo tale da rendere difficile un attacco frontale, non è così per le applicazioni che vi si innestano.
Questa osservazione fa eco a un pensiero che il fondatore di Ethereum (ETH) Vitalik Buterin ha condiviso il mese scorso su Twitter. Ha detto di volere che Ethereum sia resistente, anche alle peggiori minacce, mentre le applicazioni costruite su di esso hanno difetti lontani dagli standard che lui auspica:
Contraddizione tra il mio desiderio di vedere Ethereum diventare una L1 in grado di sopravvivere a circostanze veramente estreme e la mia consapevolezza che molte applicazioni chiave su Ethereum si basano già su presupposti di sicurezza molto più fragili di tutto ciò che consideriamo accettabile nella progettazione del protocollo Ethereum.
– vitalik.eth (@VitalikButerin) 17 maggio 2022
La vulnerabilità dei contratti intelligenti è in effetti un angolo di attacco redditizio per gli hacker. Questo è particolarmente vero dal momento che chiunque può, in teoria, distribuire la propria dApp su blockchain come Ethereum. Con tutti i possibili problemi che questo comporta.
Sono soprattutto queste falle nella sicurezza dei contratti intelligenti che KPMG sottolinea. La società sottolinea che se si confronta il primo trimestre del 2022 con quello dell’anno scorso, i fondi rubati nei protocolli di finanza decentralizzata (DeFi) sono esplosi del 692%, portando perdite per 1,2 miliardi di dollari.
Anche noi abbiamo riportato importi simili qualche settimana fa, a seguito di un rapporto di Chainalysis. Queste cifre sono dovute principalmente agli hack Ronin e Wormhole
La carenza di esperti di revisione contabile
I risultati di KPMG sono chiari: dei 5 maggiori hack della DeFi, 4 hanno coinvolto contratti intelligenti non verificati.
A livello globale, l’azienda stima che ci siano tra i 1.000 e i 1.500 esperti specializzati nella sicurezza delle applicazioni Web3. Allo stesso tempo, il rapporto suggerisce che ci sono 18.000 sviluppatori attivi ogni mese. Sebbene sia difficile stabilire cifre esatte, è chiaro che si tratta di meno di una persona in grado di condurre un audit ogni dieci sviluppatori.
Tuttavia, secondo Immunify, all’inizio del 2022 il 10,6% della capitalizzazione totale delle criptovalute era depositato nei protocolli DeFi. Se ci riferiamo a Defi Llama oggi, troviamo un dato relativamente vicino, intorno all’8%. Questa cifra elevata illustra l’importanza che deve essere data alla sicurezza.
Numero di esperti di sicurezza nel mondo secondo KPMG
La tabella precedente mostra la distribuzione geografica degli esperti di sicurezza web3 . Vediamo che gli Stati Uniti e la Cina dominano il mercato, con l’India in misura minore.
Questi numeri sono ancora troppo bassi, considerate le ambizioni del nostro ecosistema. Inoltre, la maggior parte delle aziende specializzate è ancora giovane, essendo stata fondata solo nel 2017.
Secondo Trail of Bits, il 78% delle vulnerabilità più critiche potrebbe essere individuato con uno strumento automatico. Anche se l’azienda sottolinea allo stesso tempo che il 50% di tutti questi difetti potrebbe passare inosservato con lo stesso strumento. Comprendiamo quindi la necessità di trovare e formare talenti.
Altri importanti problemi di sicurezza identificati da KPMG
Diventare un esperto richiede tempo e anche in questo caso non è garantito che si possano trovare tutti i difetti di un’applicazione. Tuttavia, gli audit dovrebbero diventare uno standard del settore ed è probabile che la sicurezza diventi un’area in crescita in futuro.
Oltre ai contratti intelligenti, KPMG sottolinea anche tutti gli elementi che si innestano su una blockchain di primo livello. Anche le sidechain e i layer 2, come gli ZK e gli Optimistic Rollup, possono essere vettori di attacco. Proprio come gli attacchi di phishing in generale.
La sicurezza è quindi una delle principali sfide che il nostro ecosistema deve affrontare per diventare più democratico. È un processo normale per ogni nuova tecnologia. Ma come in tutti i campi, il denaro a volte attira persone poco raccomandabili, il che richiede un’attenzione particolare da parte di tutti gli attori del settore.
