La sicurezza crypto richiede più degli audit per evitare perdite

Gli audit riducono i bug nel codice, ma oggi le perdite crypto più grandi arrivano spesso da chiavi, governance ed errori operativi. Qui vedi perché serve un approccio alla sicurezza più ampio.

Di Mike Hesp

1 g fa • 2 min di lettura

La sicurezza crypto richiede più degli audit per evitare perdite

In breve

Il numero di code audit nel crypto dal 2022 è triplicato, ma le perdite dovute a hack ed exploit restano alte.

Secondo Oak Security, gli audit tradizionali si concentrano soprattutto sul codice, mentre gli attaccanti sfruttano sempre più private key, governance e debolezze operative.

Oltre agli audit, il settore ha bisogno di un approccio alla sicurezza più ampio, con una gestione delle chiavi solida, monitoraggio in tempo reale e formazione del personale.

Il mercato crypto da anni fa i conti con seri problemi di sicurezza. Anche se il numero di code audit dal 2022 è triplicato, le perdite dovute a hack ed exploit restano alte. Una ricerca di Oak Security mostra che gli audit tradizionali affrontano soprattutto le vulnerabilità nel codice, mentre gli attaccanti sfruttano sempre più debolezze umane e operative. Per questo il numero di incidenti e l’entità delle perdite restano ancora molto elevati.

I limiti dei code audit tradizionali

Negli ultimi anni la qualità dei code audit è migliorata parecchio. Le società di sicurezza usano strumenti avanzati per scovare in anticipo gli errori negli smart contract, e questo ha portato a meno attacchi basati su bug nel codice. Però oggi le perdite più grosse dipendono da private key compromesse, manipolazione della governance, insider threat, aggiornamenti malevoli delle dipendenze ed errori operativi. Queste vulnerabilità restano fuori dal perimetro degli audit tradizionali, che si concentrano soprattutto sul codice in sé.

È chiaro che anche il miglior codice serve a poco se l’infrastruttura operativa di base è vulnerabile. Un esempio è l’aumento degli attacchi mirati ai fattori umani, come il phishing, che gli audit non possono prevenire. Così nascono danni finanziari enormi che finora il settore non è riuscito a limitare abbastanza. Nella pratica, quindi, conta sempre di più una sicurezza più ampia, come nell’approccio americano contro il furto di crypto, dove prevenzione e investigazione vanno insieme.

L’illusione di sicurezza data dagli audit

Molti progetti crypto promuovono la propria sicurezza puntando sul numero e sulla reputazione degli audit svolti. Però questo crea un falso senso di sicurezza. Un audit è una fotografia di un codice specifico in un certo perimetro e non garantisce la sicurezza futura, soprattutto quando i protocolli vengono modificati, la governance cambia o i processi operativi vengono rivisti.

Questo equivoco può portare a sottovalutare i rischi fuori dal codice, proprio dove si nascondono le minacce più serie. Così utenti e team possono pensare che la sicurezza sia già risolta, mentre i veri punti deboli sono altrove.

Verso un approccio alla sicurezza più ampio

Il settore può aspettarsi una grande adozione solo con difficoltà, finché la fiducia resta sotto pressione per via dei continui incidenti di sicurezza. Oltre agli audit serve una strategia di sicurezza più profonda, capace di affrontare i rischi umani e operativi. Questo include sistemi di key management più solidi, decentralizzazione dei firmatari, limiti nella governance, monitoraggio in tempo reale e circuit breaker.

Le piattaforme crypto sono organizzazioni vive, con punti deboli umani, non solo prodotti software. Gli attaccanti hanno adattato le loro tattiche e cercano attivamente vulnerabilità nei sistemi umani. Il prossimo passo nella sicurezza crypto richiede quindi un approccio integrato che vada oltre il solo codice e guardi all’intero ecosistema di persone, processi e tecnologia.

Perché è importante per gli utenti crypto europei

Per gli utenti e i progetti europei è importante capire che la sicurezza non finisce con un audit positivo. Anche i rischi operativi e i fattori umani possono avere un impatto forte qui, soprattutto vista la complessità di regolamentazione e governance in Europa. Questo mette in evidenza la necessità per le aziende crypto europee di investire, oltre che negli audit tecnici, anche in una sicurezza operativa robusta e nella formazione del personale, così da rafforzare la fiducia degli utenti.

Avvertenza: Questo contenuto ha esclusivamente scopo informativo e non costituisce consulenza finanziaria, di investimento, legale o fiscale. Le informazioni fornite possono essere incomplete, inesatte o non aggiornate e non devono essere considerate come riferimento decisionale. Nulla su questo sito web deve essere considerato una raccomandazione ad acquistare, vendere o detenere criptovalute. Investire in cripto-asset comporta rischio di perdita.

La sicurezza crypto richiede più degli audit per evitare perdite

In breve

I limiti dei code audit tradizionali

L’illusione di sicurezza data dagli audit

Verso un approccio alla sicurezza più ampio

Perché è importante per gli utenti crypto europei

Algorand presenta una roadmap per una blockchain sicura contro il quantum entro fine 2027

Moody’s integra i rating del credito direttamente negli asset tokenizzati su Solana

Gli investitori si spostano dal preferred stock di Strategy verso l’azione concorrente di Strive

Gli USA investono 150 milioni di dollari per contrastare le frodi crypto con il CLARITY Act