Adam Back sottolinea che i difetti dell'EVM sono in gran parte responsabili non solo dell'attacco informatico a Bybit, ma di tutte le vulnerabilità riscontrate nell'ecosistema Ethereum.
Adam Back, noto sviluppatore di Bitcoin e co-fondatore di Blockstream, ha puntato direttamente al suo account X, la progettazione dell'Ethereum Virtual Machine (EVM) come principale responsabile dell'attacco informatico a Bybit, tra le altre vulnerabilità simili presenti nell'ecosistema Ethereum.
Back, figura di spicco nell'ecosistema Bitcoin, è stato un critico esplicito delle debolezze dell'EVM e del suo linguaggio di programmazione, Solidity. Secondo lui, la progettazione dell'EVM, essenziale per l'esecuzione di contratti intelligenti su Ethereum e altre blockchain compatibili, presenta difetti strutturali che facilitano questo tipo di attacco.
Ma Adam Back ha ragione? I problemi dell'EVM sono davvero così gravi come si dice? In questo articolo analizzeremo le loro argomentazioni, discuteremo delle vulnerabilità storiche dell'EVM e rifletteremo sul motivo per cui questi problemi persistono nel settore.
Chi è Adam Back e perché la sua opinione è importante?
Adam Back è una figura iconica nel settore delle criptovalute. In qualità di co-fondatore di Blockstream, azienda leader nella tecnologia blockchain, e uno dei pionieri nello sviluppo di Bitcoin, la sua opinione ha un peso nella comunità. Back è un convinto sostenitore della sicurezza e della semplicità nella progettazione della blockchain, caratteristiche che, a suo dire, mancano nell'architettura EVM.
Ed è qui che entra in gioco l'attacco informatico a Bybit, in cui sono andati persi oltre 1.400 miliardi di dollari, poiché questo evento è stato lo stimolo che ha spinto Back a esprimere le sue critiche. Secondo lui, tali incidenti non sono solo il risultato di errori operativi, ma hanno origine in una progettazione EVM non sicura.
«L'EVM è un incendio che ostacola la credibilità dell'ecosistema», ha affermato in un post recente. Per Back, la complessità dell'EVM e del suo linguaggio, Solidity, rappresentano un terreno fertile per vulnerabilità che mettono a rischio utenti e piattaforme.
Ma cos'è esattamente l'EVM? Ethereum Virtual Machine è l'ambiente di esecuzione che elabora i contratti intelligenti sulla rete Ethereum. È stato progettato per essere Turing-completo, il che significa che può eseguire qualsiasi algoritmo immaginabile. Se da un lato questo garantisce flessibilità, dall'altro introduce complessità, che secondo Back rappresenta un problema serio.
ACQUISTA BITCOINIl punto di vista di Adam Back: Quali sono i difetti strutturali dell'EVM?
Adam Back ha individuato diversi problemi chiave nella progettazione dell'EVM e del suo linguaggio di programmazione, Solidity, che, a suo dire, facilitano attacchi come l'hacking di Bybit. Tra le sue critiche più importanti ci sono:
- Complessità EVMBack sostiene che l'EVM è eccessivamente complesso, il che lo rende soggetto a errori e vulnerabilità. "L'EVM è un incendio che non può essere controllato", ha affermato in un post recente. Secondo lui, questa complessità non solo influisce sulla sicurezza, ma rende anche difficile verificare e gestire i contratti intelligenti.
- Problemi con i contratti intelligenti:Gli smart contract, che costituiscono il cuore dell'EVM, sono stati oggetto di numerose critiche. Back fa notare che questi contratti, scritti in Solidity, contengono spesso dei bug dovuti alla mancanza di strumenti adeguati per convalidarne la sicurezza. Inoltre, la capacità dell’EVM di eseguire codice complesso apre la porta a vettori di attacco difficili da prevenire.
- Rientranza e altri tipi di attacchi:Uno degli esempi più chiari di vulnerabilità EVM è l'attacco di reentrance. Questo tipo di attacco si verifica quando un contratto richiama un contratto esterno, che a sua volta richiama il contratto originale prima che l'esecuzione iniziale sia completata. Questi tipi di attacchi sono stati responsabili di alcune delle perdite più ingenti nella storia delle criptovalute, tra cui l'hacking di Bybit. A questo proposito, Back ha sottolineato che questi attacchi sono possibili a causa della mancanza di meccanismi efficaci per impedirne il rientro. “L’EVM consente ai contratti di comunicare in modo non sicuro, il che apre la porta a questo tipo di attacchi”, ha detto.
- Fallimenti nella gestione dello Stato:Anche la gestione statale nell'EVM è stata oggetto di critiche. Back sostiene che il modo in cui l'EVM gestisce gli stati può portare a incongruenze e comportamenti inaspettati, soprattutto in ambienti complessi.
- Solidità: un linguaggio insicuroAnche il linguaggio di programmazione Solidity, utilizzato per scrivere contratti intelligenti sull'EVM, è stato criticato per la sua mancanza di sicurezza. Back sostiene che Solidity non dispone degli strumenti e dei meccanismi necessari per prevenire bug comuni come gli integer overflow, la rientranza e altri tipi di vulnerabilità.
Ad esempio, nel caso dell'attacco informatico a Bybit, gli aggressori hanno sfruttato una debolezza nella gestione delle firme dei wallet multisig. Sebbene questi tipi di attacchi non siano esclusivi dell'EVM, Back sostiene che la complessità dell'EVM e di Solidity rende più difficile identificare e risolvere questi problemi.
I problemi EVM non sono una novità
Ma sorprendentemente, Adam Back non è l'unico a sottolineare i punti deboli dell'EVM. In realtà, molti dei problemi da lui individuati sono noti alla comunità da anni. Ad esempio, l'attacco del 2016 a The DAO, uno degli attacchi informatici più famigerati nella storia di Ethereum, è stato reso possibile da una vulnerabilità nella logica di uno smart contract. Un attacco di cui erano stati annunciati giorni prima, avvertimenti che non sono stati ascoltati e che alla fine si è concluso con il rollback di Ethereum. Fu questo evento a dividere Ethereum in due: Ethereum Classic (la catena originale) ed Ethereum (con il rollback di The DAO per recuperare fondi e supportato da Vitalik Buterin).
L'attacco informatico al DAO: un precedente storico
Il DAO (Decentralized Autonomous Organization) è stato uno dei progetti più ambiziosi nella storia di Ethereum. Lanciata nel 2016, la DAO è stata concepita come un'organizzazione autonoma decentralizzata che avrebbe consentito agli investitori di sostenere i progetti attraverso il voto. È stato considerato una pietra miliare nell'implementazione degli smart contract e una dimostrazione del potenziale dell'EVM.
Tuttavia, The DAO è diventato anche un esempio lampante di come le vulnerabilità nei contratti intelligenti possano avere conseguenze catastrofiche. Nel giugno 2016, un aggressore ha sfruttato una debolezza nella logica degli smart contract di The DAO, consentendo il trasferimento non autorizzato di oltre 3.6 milioni di ether, per un valore allora di oltre 70 milioni di dollari.
Questo attacco è stato reso possibile da una combinazione di fattori, tra cui:
- Rientro: Il contratto DAO consentiva a un aggressore di richiamare ripetutamente una funzione prima che l'esecuzione iniziale fosse completata, consentendo il drenaggio dei fondi in modo non autorizzato.
- Mancanza di validazione adeguata: Il contratto non prevedeva i meccanismi necessari per prevenire questo tipo di attacco, nonostante alcuni esperti avessero lanciato avvertimenti sulla possibilità di un rientro dell'attacco qualche giorno prima dell'incidente.
- Complessità del progetto: Il contratto della DAO era estremamente complesso, rendendo difficile la verifica e l’analisi prima dell’implementazione.
Quindi l'hack di The DAO è stato un momento decisivo nella storia di Ethereum. Non solo ha dimostrato i punti deboli dell'EVM e del suo linguaggio di programmazione, Solidity, ma ha anche evidenziato la necessità di una maggiore attenzione alla sicurezza nello sviluppo di contratti intelligenti.
Certificato
Corso di analisi tecnica delle criptovalute
Livello medioIn questa formazione abbiamo Ivan González, un esperto professionista in investimenti e criptovalute, per insegnarti come funziona il mercato e come i prezzi influenzano il comportamento degli investitori.
Altri avvisi ignorati
Ma l'attacco informatico al DAO non è stato un episodio isolato. Nel corso degli anni sono stati lanciati numerosi avvertimenti sui punti deboli di EVM e Solidity. Per esempio:
- Il problema del “re-ingresso”: Il reingresso è stato uno dei vettori di attacco più comuni agli smart contract di Ethereum. Sebbene siano stati sviluppati modelli e librerie per mitigare questi tipi di attacchi, come il modello Checks-Effects-Interactions, molti sviluppatori non li implementano a causa della complessità e dei costi che comportano.
- L'attacco frontale: Questo tipo di attacco, in cui un miner o un malintenzionato intercetta e altera una transazione prima che venga confermata sulla blockchain, è possibile grazie alla trasparenza delle memorie delle transazioni nell'EVM. Sebbene esistano soluzioni per prevenire questo problema, come l'uso di canali statali o livelli di privacy, questi metodi non sono ampiamente adottati.
- Mancanza di strumenti di analisi statica: Per molto tempo, gli sviluppatori di Ethereum non hanno avuto a disposizione strumenti efficaci per analizzare e rilevare le vulnerabilità nei contratti intelligenti. Sebbene strumenti come Etherscan, Mythril e Slither abbiano migliorato la situazione, la capacità di rilevare bug complessi presenta ancora dei limiti.
- Il problema delle transazioni "orfane" e "bloccate": Alcuni contratti mal progettati possono dare luogo a transazioni “orfane” o “bloccate”, che non possono essere eseguite o annullate. Ciò può causare problemi di scalabilità e congestione della rete.
Sfide di sicurezza dell'EVM: si può fare qualcosa?
Sebbene i problemi dell'EVM siano gravi, non sono insormontabili. Esistono diverse misure che possiamo adottare per migliorare la sicurezza degli smart contract e ridurre il rischio di attacchi come quello a Bybit.
- Miglioramento dell'audit e dei test:Uno dei modi più efficaci per prevenire le vulnerabilità è quello di eseguire audit approfonditi e test rigorosi prima di implementare qualsiasi contratto intelligente. Ciò include l'uso di strumenti automatizzati e revisioni manuali da parte di esperti di sicurezza.
- Utilizzo delle migliori pratiche:Gli sviluppatori dovrebbero adottare le migliori pratiche per scrivere contratti intelligenti più sicuri. Ciò include l'uso di modelli quali Controlli-Effetti-Interazioni per impedire il rientro e l'implementazione di solidi meccanismi di controllo degli accessi.
- Creare un quadro normativo:Sebbene la decentralizzazione sia un principio fondamentale delle criptovalute, la creazione di un quadro normativo che stabilisca standard di sicurezza potrebbe contribuire a ridurre il rischio di attacchi. Ciò potrebbe includere l'obbligo di effettuare audit di sicurezza prima di lanciare qualsiasi contratto intelligente.
- Investimenti in ricerca e sviluppo:La sicurezza EVM richiede investimenti continui nella ricerca e nello sviluppo. Ciò include lo sviluppo di nuovi linguaggi di programmazione più sicuri e il miglioramento degli strumenti esistenti per identificare e correggere le vulnerabilità.
Adam Back ha ragione?
In ogni caso, Adam Back ha sollevato una critica valida e necessaria sulla progettazione dell'EVM e sul suo impatto sulla sicurezza delle criptovalute. I problemi da lui individuati non sono nuovi, ma sono gravi. La complessità dell'EVM e le debolezze di Solidity hanno creato un ambiente in cui possono verificarsi attacchi come quello a Bybit.
Tuttavia, è importante notare che la sicurezza EVM non è un problema insolubile. Con una combinazione di buone pratiche, investimenti in ricerca e sviluppo e una cultura della sicurezza più solida, è possibile mitigare molti di questi rischi.
Nel frattempo, la comunità deve prestare attenzione agli avvertimenti di esperti come Adam Back e adottare misure proattive per proteggere i beni degli utenti. Solo così potremo procedere verso un ecosistema più sicuro e affidabile.
Gli investimenti in criptovalute non sono completamente regolamentati, potrebbero non essere adatti agli investitori al dettaglio a causa dell'elevata volatilità e sussiste il rischio di perdere tutti gli importi investiti.
