DeFi e le chiavi degli admin: un problema irrisolto
DeFi e le chiavi degli admin: un problema irrisolto
Defi

DeFi e le chiavi degli admin: un problema irrisolto

By Lorenzo Dalvit - 26 Feb 2020

Chevron down

Gli ultimi avvenimenti in ambito DeFi che hanno coinvolto Fulcrum hanno evidenziato i problemi della gestione delle chiavi delle piattaforme detenute dagli admin.

Quando sentiamo parlare di decentralized finance (DeFi) si tende ad applicare livelli di fiducia elevati ereditati dalla narrativa collegata alla blockchain di Ethereum, alla sua resilienza ed immutabilità. 

In realtà, quando si parla di piattaforme DeFi però i rischi aumentano: uno di questi è collegato alle chiavi private in mano agli admin delle piattaforme, le quali sono capaci di modificare le regole del contratto in maniera arbitraria.

Con oltre 1 miliardo di dollari di valore totale bloccato in questi contratti – sceso recentemente al di sotto di questo valore proprio a causa di un inaspettato problema – le Defi hanno iniziato a catturare l’immaginazione del mondo. 

Defi total value

Il sogno di un sistema finanziario aperto che sia resistente alla censura, senza necessità di fidarsi dell’intermediario e con un carattere open source, sembra più vicino di quanto non sia mai stato prima.

Ciò ha attratto capitali e team di sviluppo innovativi per creare nuove piattaforme capaci di imporsi in questo nuovo mercato. 

Come abbiamo appreso è molto difficile raggiungere subito l’obiettivo della disintermediazione senza scendere a compromessi come quelli a cui ci stanno abituando Compound & co.

Man mano che queste piattaforme maturano sarà compito della comunità assicurarsi che continuino a muoversi verso il loro obiettivo finale. Se non stabiliamo il traguardo ora e quindi impostiamo le aspettative che nutriamo per i progetti DeFi allora non potremmo mai raggiungere il loro pieno potenziale.

Molti protocolli e prodotti DeFi in grado di accettare i tuoi depositi sono protetti da una “chiave di amministrazione”. Questa chiave è in genere uno smart contract Ethereum in grado di aggiornare il protocollo o il prodotto in molti modi.

La maggior parte delle chiavi di amministrazione sono provate in modo sicuro da funzioni come timelock e Multisig. 

Nessun progetto DeFi può dimostrare che la sicurezza operativa della loro chiave di amministrazione sia forte, questo per il semplice fatto che dichiararlo la renderebbe meno forte.

Ciò significa che l’unico modo in cui puoi davvero sentirti sicuro mentre usi questi prodotti DeFi attualmente è affidarti alla competenza del team e alla loro capacità di proteggere la loro chiave di amministrazione.

Come funziona il timelock nelle DeFi

Ogni relazione con i nostri token depositati e quelli messi a disposizione dalle piattaforme DeFi è regolato da un contratto intelligente.

È possibile predisporre da codice, e quindi in maniera verificabile a priori, un tempo di ritardo fisso nell’applicazione di qualsiasi modifica allo smart contract di riferimento. Il tempo sarà scandito dal numero di blocchi che dovranno intercorrere tra la modifica del contratto e la sua reale attivazione. Una volta impostato, nessuno potrà ridurre l’attesa.

Questo sistema ci permette di avere un tempo di reazione entro il quale, in caso di modifica inaspettata non condivisa o malevola, sia possibile sbloccare i nostri fondi e metterli a riparo.

Ecco cosa prevedono alcuni attori dell’ecosistema.

Piattaforma e gestione della private key:

  • MakerDao, Decentralized governance;
  • Instadapp, nessuna chiave admin o abilità di modifica;
  • Uniswap, nessuna chiave admin o abilità di modifica;
  • Compound, 2 giorni timelock;
  • TokenSets, No timelock;
  • Aavem No timelock (Dao security model Aragon in arrivo );
  • dYdX, 3 giorni timelock;
  • PoolTogether, No timelock;
  • Dharma, 7 giorni timelock;
  • Ddex, 3 giorni timelock;
  • Synthetix, info non disponibile;
  • Nuo, info non disponibile.

Wallet Multisig nel mondo Defi

Ad ogni modifica del contratto si accede semplicemente ad un wallet Ethereum che permette di firmare le transazioni e modificare i registri nella blockchain. Per farlo, un sistema di sicurezza che permetta una maggior distribuzione del potere è quello di utilizzare un Multisig.

Diverse chiavi private sono distribuite ai fondatori o ai fiduciari e un numero minimo di esse insieme permette l’accesso al contratto.

Va ricordato che, al di là di ciò che viene dichiarato dai team, anche la funzione del Multisig necessita della nostra fiducia. Nessuno è in grado di controllare a chi vengono distribuite le chiavi e che non siano in possesso di una sola persona aumentando così i rischi.

Piattaforma e multisig key system:

  • MakerDao, Decentralized governance;
  • Instadapp, nessuna chiave admin o abilità di modifica;
  • Uniswap, nessuna chiave admin o abilità di modifica;
  • Compound, No Multisig;
  • TokenSets, 2 chiavi di 3 
  • Aave, 3 chiavi di 5 Dao security model Aragon
  • dYdX, 2 chiavi di 3; 
  • PoolTogether, 2 chiavi di N – Gnosis system;
  • Dharma, 3 chiavi di 5;
  • Ddex, 2 chiavi di 3;
  • Synthetix, info non disponibile;
  • Nuo, info non disponibile.

Il successo delle DeFi dipende anche dalla comunità

In una fase così pionieristica, il successo di questo ecosistema dipende anche dai semi che vengono piantati agli albori. Abbiamo già gli exchange centralizzati a riempire le cronache di hack, soldi rubati e truffe. 

Le DeFi si devono differenziare per la loro sicurezza e disintermediazione, altrimenti nel lungo periodo non potranno mai imporsi al di fuori di questo piccolo mercato di utilizzatori.

La pretesa degli utenti di un sistema trasparente e auditabile è fondamentale. Prassi sicure e minimizzazione dei pericoli devono essere pratiche fondamentali di chi chiede alla comunità capitali in attivazione dei contratti sviluppati.

E’ compito della comunità pretendere solide basi su cui costruire la finanza del futuro.

Avatar
Lorenzo Dalvit

Educatore appassionato di Blockchain, esperto di vendite e marketing, social community manager, direttore artistico, musicista, amante dei paradigmi dirompenti e della vita. Le mie competenze riguardano l'interazione e la connessione umana

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.