"I programmi su Solana sono fondamentalmente più sicuri" - Il fondatore di OtterSec commenta il basso tasso di exploit di Solana

Nonostante il diligente lavoro degli auditor di tutto il settore, gli hack e gli exploit di blockchain sono ancora comuni. 

Tuttavia, i dati indicano che alcune reti e macchine virtuali sono molto più a rischio di altre, con Solana che gode di un numero significativamente ridotto di hack rispetto ai suoi rivali.

Solana e l'SVM sono intrinsecamente più sicuri dei suoi concorrenti? Parlando con SolanaFloor, il fondatore di OtterSec Robert Chen ha sfatato alcuni dei miti che circondano la sicurezza delle blockchain.

L'EVM è un terreno di caccia più felice per gli hacker?

Secondo i dati di DefiLlama, le reti EVM hanno subito oltre 792 milioni di dollari di hacking ed exploit nel 2024. In confronto, Solana ha subito solo un totale di 33,5 milioni di dollari, di cui 14,8 milioni di dollari dovuti all'exploit dello scambio di criptovalute Rain, che ha preso di mira anche i portafogli Bitcoin, Ethereum e XRP.

Nella maggior parte dei casi registrati, gli hacker rubano fondi trovando vulnerabilità nella logica del protocollo. In base alle registrazioni di DefiLlama’i protocolli sulle reti EVM sono vittime di attacchi alla logica difettosa più spesso delle loro controparti Solana, nonostante il drammatico afflusso di capitali e utenti all'ecosistema Solana nel 2024.

Robert Chen, fondatore di OtterSec, uno dei più rinomati revisori di contratti smart del settore, sostiene che sono molti i fattori che contribuiscono a questa discrepanza. Pur ammettendo che “è difficile dirlo con certezza”, Chen ha affermato “una teoria è che i programmi su Solana sono fondamentalmente più sicuri a causa del modello di programmazione.”

“Questo è probabilmente parzialmente vero nel senso che hanno avuto il beneficio del senno di poi quando hanno progettato la VM, giusto? Quindi, per esempio, un grande esempio è che non c'è re-entrancy su Solana, il che mitiga una superficie di attacco piuttosto ampia.”

Chen riconosce che questa potrebbe non essere “la storia completa”. Il fondatore ha fatto notare che Solana ha subito diversi hack ed exploit su larga scala nel 2022 e nel 2023. Inoltre, Chen ha affermato che alcune vulnerabilità “sono fondamentalmente agnostiche rispetto alla VM. Ad esempio, qualsiasi tipo di exploit economico è agnostico rispetto alle macchine virtuali.

Sebbene Solana abbia subito un numero relativamente basso di hack e di exploit dovuti a una logica di protocollo errata, questo non tiene conto dei fondi estratti attraverso un sistematico "rugpull" sulla catena. L'economia dei meme di Solana è caratterizzata da dozzine di attori nefasti che gestiscono truffe ad anello, approfittando di commercianti incauti.

Chi’è che controlla i revisori dei conti?

Negli anni, Ottersec si è guadagnata la reputazione di uno degli auditor più affidabili del settore. Tuttavia, gli hacker stanno diventando sempre più astuti e lavorano senza sosta per scoprire nuovi vettori di attacco.

Secondo Chen, il modo migliore per stare al passo con le nuove strategie di attacco è applicare le nuove conoscenze retroattivamente e guardare più in profondità nello stack.

“Una volta eseguito un gran numero di protocolli, si può prendere l'apprendimento da un protocollo e applicarlo all'altro. Se si nota qualcosa in un protocollo, si può tornare indietro e guardare tutti gli altri protocolli.

“Penso che cerchiamo anche di guardare molto in profondità nello stack. Ad esempio, effettuiamo verifiche sul client del validatore, ma anche su framework come Anchor. Penso che avere questo tipo di esperienza o almeno questo tipo di esposizione ci permetta di guardare un po' più in profondità rispetto ad altre persone.

Chen sostiene che l'attività di revisione si basa sulla fiducia e sulle relazioni su misura. L'opinione, sia pubblica che privata, è l'indicatore principale per misurare la capacità di una società di revisione di essere efficace.

“Penso che ci sia sempre un controllo implicito nel senso che se sbagli, non una volta sola, ma se sbagli molte volte, il passaparola si diffonde, giusto?

Quando si parla di reputazione delle società di revisione, attualmente non esiste un potere o un'entità superiore che garantisca che i revisori mantengano un certo standard. Tuttavia, Chen sostiene che un ente superiore non è necessariamente necessario.

“Penso che la revisione contabile sia molto particolare, nel senso che è fondamentalmente un'attività di fiducia. Non c'è un vero e proprio organismo centrale a cui la gente si rivolge volentieri, o, voglio dire, nel mio caso, vuole rivolgersi, per ottenere la fiducia sugli standard di revisione. Le persone hanno i loro revisori preferiti, sanno con chi vogliono lavorare. Questo tipo di relazioni su misura sono difficili da sostituire con una parte centralizzata”

.

Un audit riuscito non è una garanzia infallibile che un protocollo sia completamente privo di vulnerabilità. Tuttavia, come dice giustamente Chen: “è un gioco di probabilità”. È probabile che i protocolli controllati presentino meno bug di quelli non controllati. 

Gli utenti di criptovalute dovrebbero sempre assicurarsi di completare un'accurata due diligence prima di interagire con i protocolli onchain e mantenere rigorosi standard di sicurezza.

Leggi di più su SolanaFloor

La criptovaluta fa passi più coraggiosi nella TradFi

Come l'ultimo deposito di NYSE Arca’legittima gli ETF Solana?

Riforma gli elementi essenziali per la sicurezza delle criptovalute