Quantstamp: intervista con il CEO Richard Ma
Quantstamp: intervista con il CEO Richard Ma
Interviste

Quantstamp: intervista con il CEO Richard Ma

By Amelia Tomasicchio - 3 Mag 2020

Chevron down

The Cryptonomist ha avuto la possibilità di intervistare il CEO di Quantstamp Richard Ma per parlare del suo progetto, del futuro dell’azienda e altro ancora.

Puoi parlarci di Quantstamp, della sua visione e del suo obiettivo?

Quantstamp è una società di sicurezza blockchain la cui missione è quella di facilitare l’adozione mainstream delle applicazioni blockchain fornendo servizi di sicurezza all’avanguardia. 

Aiutiamo le aziende, sia le grandi imprese che le nuove startup emergenti, a mettere in sicurezza e a implementare i loro progetti di blockchain. Un numero sempre maggiore di utenti vuole vedere se un progetto che stanno pensando di utilizzare è stato sottoposto a un audit. Questo perché c’è un reale valore a rischio, e la blockchain è ancora una tecnologia molto sperimentale. Abbiamo garantito oltre 1,5 miliardi di dollari di asset attraverso i nostri oltre 100 audit. 

Quali sono 2 progetti che hanno richiesto più lavoro e che si sono rivelati particolarmente difficili da verificare?

Ci sono una serie di fattori che influiscono sulla difficoltà di verificare un determinato progetto. 

Una delle sfide è quando manca la documentazione, o anche se c’è una documentazione scarsa o troppo complicata. Uno dei nostri recenti audit era privo di documentazione, quindi il nostro team ha dovuto fare molti più test in modo da decodificare le funzionalità che gli sviluppatori intendevano ottenere. Questo è completamente alla rovescia rispetto a come dovrebbe essere. Quando il codice è difficile da leggere, risulta in un lavoro maggiore a monte, e aggiunge un sacco di comunicazione a ritroso per assicurarsi che tutto sia chiaro.

Anche la sovra-ingegnerizzazione è un problema importante. I progetti a volte cercano di realizzare l’impossibile su catena, per cui finiscono per essere grandi e gonfiarsi. Anche se non ci sono vulnerabilità nel codice a sé stante, ciò non garantisce che venga distribuito correttamente, o utilizzato nel contesto appropriato dall’utente finale. I contratti più sicuri sono piccoli, semplici e super trasparenti. Più caratteristiche, stati e input ci sono, più alto è il numero di situazioni fuori dall’ordinario. Questi progetti possono quindi essere estremamente difficili da revisionare.

Un esempio recente e noto (non verificato da Quantstamp) riguarda l’ERC777, in cui un hacker ha utilizzato un vettore di attacco attraverso le caratteristiche dei token ERC777 per rubare quasi 25 milioni di dollari di asset digitali. Anche se l’implementazione di ERC777 è relativamente piccola, quando la funzionalità è spinta al limite, le interazioni sono davvero importanti. Se pensiamo a un progetto che è 100 volte più grande di quello dell’ERC777, potenziato con tonnellate di opzioni contrattuali e funzionalità, si tratta di un inquinamento delle funzionalità. Il 90% delle funzionalità non sarà nemmeno rilevante per l’utente finale. 

Quando si verifica una sovra-ingegnerizzazione, cominciamo con l’indicare scenari ipotetici anormali. È importante ricordare che nessun progetto è mai stato violato quando è stato usato come previsto dagli sviluppatori. Piuttosto, i sistemi vengono sfruttati trovando un caso marginale, creando una situazione anomala e andando in definitiva contro ciò che gli sviluppatori avevano in mente. Ciò che rende bravi gli auditor è la capacità di elaborare scenari periferici, strani ordini di transazione, o input non voluti che in qualche modo spingono il sistema fuori dall’ordinario, e valutare se queste situazioni possono servire o meno come vettore di attacco.

Quali sono i piani di sviluppo futuri di Quantstamp?

La missione di Quantstamp è quella di rendere possibile un futuro con applicazioni blockchain mainstream più sicure e affidabili. 

Un passo verso l’adozione mainstream è quello di far collaborare l’intero ecosistema. Questo è uno dei motivi per cui abbiamo co-fondato la Smart Contract Security Alliance, per riunire aziende di sicurezza blockchain, istituti di ricerca e altre organizzazioni dedicate alla sicurezza di questa tecnologia e per far progredire il settore. Abbiamo intenzione di continuare a guidare le iniziative di questo tipo e di contribuire a determinare gli standard per il settore.

Recentemente, abbiamo fatto molto lavoro per il mercato DeFi. È emozionante vedere come la tecnologia blockchain stia cambiando il modo in cui vengono scambiati il denaro e il valore, come vediamo la trasparenza e come vengono gestite le informazioni sensibili. I progetti DeFi di cui ci siamo occupati stanno creando nuovi modi di usare e pensare al denaro. C’è molta innovazione in questo momento, nel tentativo di affrontare problemi di lunga data legati a un settore veramente tradizionale. Avere una buona sicurezza sia prima che dopo l’implementazione è super importante e, man mano che lo spazio DeFi cresce, siamo davvero entusiasti di far parte di questa crescita mettendo in sicurezza la tecnologia.

Abbiamo anche avuto l’opportunità di lavorare su progetti interessanti e significativi, dimostrando come la tecnologia blockchain possa creare miglioramenti concreti in molti settori diversi. Vogliamo continuare ad avere un impatto lavorando con alcune delle aziende leader a livello mondiale e garantendo la sicurezza dei progetti blockchain che stanno letteralmente cambiando la società.

Cosa pensi che manchi alla blockchain per diventare mainstream?

Le aziende sono chiaramente interessate al potere della tecnologia blockchain, ma possono essere trattenute dalle preoccupazioni per la sicurezza e non avere qualcuno a guidarle. Oltre 1 miliardo di dollari di risorse digitali sono andati persi o sono stati rubati a causa delle vulnerabilità di sicurezza nelle applicazioni blockchain. 

Il nostro core business è aiutare queste aziende a uscire dai margini e a sfruttare il potenziale di questa tecnologia. Produciamo prodotti scalabili che si rivolgono all’intero spettro della sicurezza blockchain.

Con qualsiasi nuova tecnologia, l’adozione può essere lenta. C’è sempre una curva di apprendimento, insieme a sfide tecniche e normative da superare. Nonostante queste sfide, lavoriamo già con alcune delle principali imprese e istituti di ricerca del mondo. Con l’emergere di nuovi casi d’uso, molte organizzazioni, governi e imprese si renderanno conto dell’impatto che questa tecnologia potrebbe avere sul loro funzionamento.

Amelia Tomasicchio
Amelia Tomasicchio

Esperta di digital marketing, Amelia inizia a lavorare nel settore fintech nel 2014 dopo aver scritto la sua tesi di laurea sulla tecnologia Bitcoin. Precedentemente è stata un'autrice di Cointelegraph e CMO di Eidoo. Oggi è co-founder e direttrice di Cryptonomist.

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.