banner
Come difendersi dalle truffe nella DeFi
Come difendersi dalle truffe nella DeFi
Defi

Come difendersi dalle truffe nella DeFi

By Alfredo de Candia - 2 Gen 2021

Chevron down

È innegabile che il 2020 è stato un anno particolarmente proficuo per quanto riguarda la finanza decentralizzata. Ma la DeFi ha messo in mostra due volti: da una parte i progetti di successo, dall’altra le truffe. 

Il settore della finanza decentralizzata (DeFi) ha registrato quest’anno una crescita sia per il numero di nuovi progetti sia per i fondi bloccati nei vari protocolli, che hanno superato il miliardo di dollari nel giro di pochi mesi, e continuano ancora a crescere.

Ma questo settore ha portato con sé anche gente senza scrupoli che ha approfittato di questo hype per creare progetti con promesse incredibili o caratteristiche uniche per poi fare exit scam. Un pattern che alcuni di noi avevano visto all’epoca delle ICO (Initial Coin Offering).

Tra i nuovi progetti DeFi che spuntano dal nulla si nascondono infatti vere e proprie truffe, visto che in molti casi non troviamo nemmeno un whitepaper.

Come riconoscere gli scam della DeFi

Per venire incontro a questo problema, ecco che prenderemo ed analizzeremo alcuni punti fondamentali per determinare o meno la bontà di un progetto ed aumentare la nostra conoscenza sul come muoverci prima di interagire con il progetto stesso.

Come detto ci sono moltissimi progetti in questo settore, ma se li analizziamo più da vicino, ci accorgeremo che la maggior parte sono dei copia incolla di altri più rinomati, basti pensare ai vari DEX che offrono la possibilità di scambiare token.

Quindi in una prima analisi bisognerebbe chiedersi se il progetto non sia già qualcosa di visto, perché se così fosse allora spesso non ne vale la pena investire o comunque servirebbe una ricerca più approfondita per capire se ci sono altri punti deboli.

Preferireste scambiare i vostri token su ScamSwap o Uniswap?

Dopo che avremo controllato che il progetto sia diverso o meno rispetto a quello degli altri, passiamo a verificare se il codice sorgente è disponibile ed aperto a tutti, così da poterlo controllare in maniera approfondita. Questo non significa che ci deve essere una pagina su GitHub con delle informazioni corrispondenti al codice dello smart contract.

Basta fare un semplice confronto tra il codice che troviamo su GitHub e quello dello smart contract per capire se ci sono differenze, dove e perché: se è vero che la maggior parte delle persone non riuscirebbe a leggere le varie funzioni, sicuramente è più facile controllare se ci sono variazioni, linea dopo linea, anche perché spesso non sono molte le linee di codice da controllare.

A questo va aggiunto anche l’aggiornamento e l’interazione con l’aggiornamento della pagina del progetto su GitHub: questa piattaforma permette di vedere non solo chi ha creato il progetto, ma consente anche di vedere l’attività e capire da quanto tempo è attivo e aggiornato. Ad una maggiore frequenza di attività corrisponde spesso anche una maggiore affidabilità del team che ci lavora e non lo ha abbandonato dopo averlo creato.

L’audit del codice

Se il codice è aperto a tutti, un passo successivo da fare è verificare se lo stesso è stato controllato da una piattaforma preposta al controllo del codice, ossia se c’è stato un audit che attesta che il contenuto di quel codice non presenti falle o problemi già noti che potrebbero danneggiare l’utente finale (pensiamo ad esempio qualche stringa fatta male che impedisce il trasferimento del token o che permetta di drenare i fondi dallo smart contract).

Attenzione però: anche se un progetto ha passato uno o più audit, questo non significa che sia esente da rischi, ma significa che il rischio è mitigato per tutte quelle caratteristiche e problemi già riscontrati. 

Se, invece, si trova un sistema per bucare lo smart contract che prima non si conosceva, allora non c’è nessun audit che possa mettere al riparo i fondi degli utenti.

Di solito l’informazione degli audit la possiamo trovare in fondo alla pagina del progetto ma anche nelle varie pagine di GitHub del progetto stesso, visto che è un vanto per il progetto aver passato l’audit:  sono “certificazioni” molto onerose e che spesso i progetti truffa non hanno.

Il team di un progetto DeFi

Può sembrare stupida come cosa o addirittura ovvia, ma in pochi si prendono la briga di controllare chi ci sia effettivamente dietro ad un progetto, soprattutto se nuovo, perché spesso avere qualcuno con cui interagire ti permette di comprendere meglio la persona, cosa ha fatto o sviluppato prima di quel progetto.

Non dimentichiamo che sulla blockchain chiunque può creare uno smart contract, scrivere un post su un social media per lanciare il progetto e poi attendere che qualcuno lo noti e lo utilizzi.

Avere anche dei social media in cui identificare i vari promotori aiuta a capire meglio anche la portata del progetto.

Per esempio, un criminale potrebbe utilizzare Tornado Cash per mandare i fondi, creare uno smart contract ed avviare il suo progetto malefico. In quel caso in pochi avrebbero controllato lo storico delle transazioni, accorgendosi della transazione anonima.

La distribuzione dei token

Nel caso in cui oltre al progetto abbiamo anche un token dedicato, allora un ulteriore controllo che dobbiamo fare è in merito a questi token e sulla loro distribuzione, perché se è vero che chiunque può creare un token, ognuno è libero di distribuirlo come meglio crede, ma se sono tutti liberi e non vincolati, lo stesso team è in grado di liquidarli tutti e far precipitare il valore del token, lasciando i suoi holder con un token senza valore ed inutile.

Quindi, per quanto riguarda il token, bisogna prendere in considerazione la supply totale del token, la sua distribuzione e se ci sono dei fondi bloccati per un determinato periodo di tempo, che il team non può vendere e liquidare.

Infatti, se il team ha parte della supply ma questa è bloccata per X anni, allora è molto probabile che il progetto sia solido e con una visione di lungo periodo.

Questi sono solo alcuni dei punti da controllare in un nuovo progetto, non sono tutti ma almeno forniscono un quadro generale delle cose più importanti da controllare quando ci si imbatte in un nuovo progetto.

Alfredo de Candia
Alfredo de Candia

Android developer da oltre 8 anni sul playstore di Google con una decina di app, Alfredo a 21 anni ha scalato il Monte Fuji seguendo il detto "Chi scala il monte Fuji una volta nella vita è un uomo saggio, chi lo scala due volte è un pazzo". Tra le sue app troviamo un dizionario di giapponese, un database di spam e virus, il più completo database sui compleanni di serie Anime e Manga e un database sulle shitcoin. Miner della domenica, Alfredo ha una forte passione per le crypto ed è un fan di EOS.

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.