Guida DeFi: come rimanere in Sicurezza

Ciao a tutti!
Da bravo Boomer qual sono in DeFi cercare di rimanere “safe" è da sempre stata una priorità, complici i vari rug pulls presi qua e là!
Per questo motivo vi porto all’attenzione questo articolo incentrato proprio sulla gestione del rischio!

Buona lettura!

Gestire la sicurezza in DeFi: Una semplice guida alla valutazione dei Progetti

Il crollo di FTX ha dimostrato l’importanza della self-custody del proprio portafoglio crypto e della gestione del rischio.
E’ davvero facile perdere soldi in DeFi se non si sta attenti visto i numerosi exploits, rug pulls e bugs negli smart contracts tutt’intorno!
In questo articolo vorrei condividere con voi come si valuta la sicurezza di un protocollo in DeFi in modo da proteggere i vostri assets.

L’ideale sarebbe avere a che fare con sviluppatori di smart contracts esperti, in grado di verificare da sé il codice. Piccolo problema: la maggior parte di noi non lo è!

Questo, perciò, non ci lascia altra scelta se non valutare i progetti basandoci su altri dati, che coinvolgono un certo grado di “fiducia”, la famosa “trust” in ambito crypto.

Il Total Value Lock (TVL), è la prova della sicurezza di un protocollo?

Non è un segreto che la maggior parte degli investitori valuti i progetti in DeFi in base a quanto valore sia depositato negli smart contracts. Per questi il TVL è la prova di fiducia definitiva.
L’assioma che se ne potrebbe dedurre è : più alto è il TVL più ci si può fidare di un protocollo. Se ci sono un mucchio di soldi depositati significa che “qualcuno” (magari più esperto di noi) ha effettuato le sue ricerche ovvero quella che chiamiamo “due diligence” o il classico “DYOR” (Do Your Own Research) che tanto si legge in giro, perciò il protocollo è sicuro.

Peccato che non sia proprio così e che basarsi su questo principio dia solo un falso senso di sicurezza. Inoltre, seppur i protocolli con alto TVL siano quelli più bersagliati dagli hackers, ciò non vuol dire che quelli con basso TVL siano meno sicuri.

Guardate ai protocolli DeFi con TVL più alto (Defillama rende abbastanza bene l’idea!).

  • Credete che il TVL rappresenti il livello di sicurezza?
  • C’è un protocollo nel quale non investireste il vostro denaro? Perché?

Potrebbero esserci parecchi fattori confondenti se per la scelta vi basaste solo su ciò che leggete online.
Mi fido, ergo verifico?

Non fidarti, verifica” è la ragione per cui esistono gli audits degli smart contracts.
In realtà non ci sarebbe bisogno di audits perchè il codice è open source e la comunità online potrebbe serenamente esaminare e trovare problematiche nel codice da se’. Il problema è che la comunità potrebbe non essere motivata o incentivata a farlo oppure semplicemente potrebbe non avere l’expertise sufficiente a verificare il codice.

Qui entrano in gioco gli Auditors, esperti o ditte specializzate che dovrebbero avere le skills tecniche necessarie a svolgere questo compito. Alla fine dobbiamo comunque fidarci del fatto che facciano un buon lavoro!

Qualcuno ricorda la shitstorm contro Certik a causa di alcuni protocolli hackerati “nonostante” fossero stati auditati?

Anche le compagnie che offrono audit devono costruirsi la loro reputazione. Se un protocollo da loro auditato (e valutato come ”safe”) dovesse essere exploitato dimostrerebbe una mancanza di expertise da parte loro nel mancato riconoscimento di eventuali falle. Di fatto Certik ha auditato 3422 progetti alla data attuale perciò non c’è da meravigliarsi molto se alcuni di questi siano stati hackerati o abbiano avuto dei bug!

Vi svelo un segreto: il fatto di avere un audit non significa che un protocollo sia sicuro! In rete si trovano progetti che sbandierano di essere stati auditati da questa o da quella compagnia ma quando si va a leggere (lo fate vero?) l’audit la valutazione sulla loro sicurezza è scarsa.

La lezione che si dovrebbe recepire è di non fidarsi automaticamente all’annuncio dell’audit in maniera cieca ma di verificare i risultati leggendolo in maniera attenta.

Cosa succede se non leggete gli audit?

La verità è che la maggioranza degli investitori non legge gli audit.
Per semplificarci la vita e rendere “commestibili” le informazioni ricavate molte società di audit hanno delle dashboard con tutti i progetti auditati elencati per “Trust score” dove i numeri più alti implicano maggior sicurezza ovvero meno problemi riscontrati negli smart contracts. Nell’esempio qui sotto trovate la dashboard di Certik.

Anche Hacken ha una dashboard simile oppure si possono leggere i riassunti degli audit. Nella schermata sottostante, per esempio, potete vedere il riassunto dell’audit di Trader Joe compilato da Paladin. Si nota come Trader Joe abbia risolto tutti errori di severità media ed elevata ma non tutti gli errori di bassa gravità.

L’Audit è solo un inizio…

Serve molto di più per valutare la sicurezza di un progetto:

  • Test adeguati
  • Campagne con premi per chi trova errori (bounty campaigns)
  • Chiarezza dei documenti
  • Controllo da parte degli amministratori
  • Documentazione riguardante gli oracoli
    e molto altro ancora… è un incubo verificare tutto questo da soli!

Vediamo qualche risorsa che ci può rendere la vita più semplice!

Iniziamo da DefiSafety . Il suo “Process Quality Review” (PQR) verifica i protocolli e attribuisce loro un “safety score”.

in base ai risultati del PQR Liquity Protocol, Synthetix and Angle Protocol sono i progetti più sicuri di tutti i protocolli DeFi verificati finora.

Su DefiSafety potete controllare ogni elemento e verificare quale protocollo performa meglio/peggio.
Per esempio, Liquidy richiede ancora una verifica formale come illustrato chiaramente nel report sottostante.

In aggiunta potete cominciare a valutare la sicurezza del vostro portafoglio crypto su Exponential DeFi.
La sua opzione “Rate my Wallet” restituisce un’ analisi di rischio personalizzata in base ai vostri attuali investimenti. Nell’esempio 4,5M di dollari di Tetranode sono depositati in protocolli più rischiosi (categoria C)

Elemental DeFi da uno score basato sulla valutazione di ogni singolo progetto. La valutazione tiene conto del rischio degli assets, della qualità del codice compilato e della sicurezza della blockchain nella quale gli assets sono depositati. La spiegazione del rischio è molto semplice.
Per esempio, diamo un’occhiata a MIM su Abracadabra. CI avvisa che SPELL è usato come collaterale e potrebbe risultare in un debito cattivo.

Nel dubbio, chiedete!
Alla fine vi raccomando di unirvi ai community groups (discord, telegram, twitter) del progetto in questione e chiedere:

  • I fondi sono assicurati?
  • Rispondono alle domande o le evitano?
  • Cosa stanno facendo per incrementare la sicurezza?

Personalmente ho chiesto al team di Stargate se fossero assicurati in caso di hack ma spesso è più difficile del previsto ricevere una risposta il che rappresenta una “red flag”.

Comunque sia ricordiamo che la DeFi è ancora “giovanissima” perciò sarebbe saggio non depositare tutti i propri asset in un singolo protocollo.

Avete ulteriori suggerimenti o trucchetti per valutare i progetti e proteggere i vostri assets?
Follow DeFi Italia Official su Telegram e il mio account Twitter per avere approfondimenti sulla DeFi e su ciò che accade nel mondo crypto!

Fonte
:point_right:Twitter: https://twitter.com/DefiIgnas
:dollar:Website: ignasdefi.notion.site