Tech

Come rimanere al sicuro in DeFi: segnali di pericolo e rischi che devi conoscere

01/22/2022
Notizie su Bitcoin Ethereum

La finanza decentralizzata (DeFi) è uno dei settori in più rapida crescita dell'industria delle criptovalute, con 92 miliardi di dollari di risorse crittografiche attualmente bloccate in protocolli basati su peer-to-peer, in crescita del 196% rispetto all'ultimo anno.

Questa crescita può essere in gran parte attribuita alle numerose opportunità di guadagno redditizie e ad alto interesse disponibili attraverso le piattaforme di prestito e trading DeFi. Ma, ovviamente, con qualsiasi nuova tendenza delle criptovalute che attira attenzione e investimenti significativi, ci sono sempre truffatori che cercano modi per trarne vantaggio e non è probabile che tu ottenga un rimborso per i tuoi errori.

Che cos'è di nuovo la DeFi?

I protocolli DeFi sono piattaforme basate su blockchain che offrono una gamma di servizi finanziari che in genere si trovano nello spazio tradizionale, come ad esempio:

  • Prestiti.
  • Assicurazione.
  • Conti fruttiferi.

La differenza fondamentale è che le piattaforme DeFi funzionano interamente utilizzando contratti intelligenti piuttosto che avere un intermediario come una banca o un broker assicurativo che opera nel mezzo.

I contratti intelligenti sono programmi per computer autoeseguibili che impongono accordi contrattuali tra le parti.

In un mondo ideale, alimentano preziosi servizi finanziari non detentivi, come protocolli di prestito e scambi decentralizzati. Ma a volte contengono bug o vulnerabilità di sicurezza aperte che consentono agli aggressori, o anche agli sviluppatori erranti, di prosciugare i portafogli del tesoro.

Per stare al sicuro, è prezioso essere in grado di identificare le bandiere rosse comuni che indicano che un protocollo DeFi potrebbe, in effetti, essere una truffa o operare con un codice difettoso.

Per fare ciò, non è necessario essere in grado di leggere il codice del contratto intelligente o comprendere la programmazione. Strumenti gratuiti, come Token Sniffer per Ethereum e PooCoin per Binance Smart Chain, eseguono audit automatici dei contratti di token per verificare se contengono codice dannoso per te. Anche se questi non dovrebbero essere interamente invocati, possono essere un buon punto di partenza per il tuo processo di due diligence.

Tiri del tappeto

Gli strappi del tappeto sono così comuni in DeFi che "diventare robusto" è diventato una frase comune nel linguaggio crittografico.

Immagine

Un rug pull è un tipo di exit scam in cui gli autori creano un nuovo token, lanciano un pool di liquidità per esso e lo accoppiano con un token di base come ether (il token nativo di Ethereum) o uno stablecoin come dai (DAI). Un pool di liquidità è un ampio pool di token che un protocollo utilizza per evadere le negoziazioni, al contrario di un sistema di libro degli ordini in cui acquirenti e venditori elencano i loro ordini commerciali e aspettano di essere riempiti.

La parte fondamentale di questa truffa è che i creatori trattengono una parte significativa della fornitura totale una volta lanciato il token.

Se lo hanno commercializzato con successo nella più ampia comunità di criptovalute, gli investitori inizieranno ad aggiungere liquidità al pool per guadagnare una parte delle commissioni di transazione addebitate ai trader che lo utilizzano. Una volta che la quantità di liquidità nel pool raggiunge un certo punto, i creatori scaricano tutti i loro token nel pool e prelevano tutti gli ether, dai o qualsiasi token base utilizzato dal pool. Questo porta il prezzo del token appena creato vicino allo zero, lasciando gli investitori in possesso di monete senza valore mentre i tiratori di tappeti se ne vanno con un netto profitto.

È un'enorme bandiera rossa quando solo pochi portafogli controllano quasi la metà dell'offerta circolante di un token. Puoi controllare la distribuzione dei token su un blockchain explorer – Etherscan per Ethereum – facendo clic sulla scheda "Titolari" di un contratto di token.

Uno studio del novembre 2021 ha rilevato che il 50% di tutti gli elenchi di token su Uniswap sono truffe, quindi le probabilità non sono a tuo favore quando si tratta di investire in progetti relativamente sconosciuti.

In genere è più sicuro se il team dietro un progetto è pubblico o se è gestito da account anonimi che si sono guadagnati una buona reputazione lanciando progetti onesti e di successo in precedenza.

honeypot

Le criptovalute sono volatili, il che significa che i prezzi possono fluttuare in modo massiccio in un determinato periodo di tempo. Ma se una nuova moneta esce e nessuno sembra venderla, può essere un segno che sta succedendo qualcosa noto come truffa honeypot.

È qui che gli investitori vengono attirati dal prezzo sempre crescente di un token, ma l'unico portafoglio che lo smart contract consente di vendere è controllato dai truffatori.

Il token Squid Game è un esempio recente. Il progetto DeFi ha attirato l'attenzione dei media mainstream a causa della sua presunta associazione con il popolare programma televisivo. È aumentato rapidamente di valore poco dopo il lancio, ma i media hanno notato rapidamente che gli investitori non erano in grado di vendere nessuno dei loro token. Alla fine, i fondatori hanno scaricato i loro token e sono scappati con milioni di dollari di binance coin (BNB).

È importante notare che la copertura diffusa di una criptovaluta non significa necessariamente che sia sicura. I media tradizionali potrebbero non avere l'esperienza o il tempo per controllare un progetto crittografico e spesso possono aiutare a raccogliere più clamore per le truffe. In alcuni casi, gli influencer dei social media possono essere pagati per promuovere le criptovalute senza prendersi il tempo di rendersi conto che sono una truffa – e questi influencer non sempre rivelano di essere pagati per parlare di un progetto. Celebrità di primo piano come Floyd Mayweather, DJ Khalid e Kevin Hart hanno tutte affrontato cause legali per la promozione di progetti crittografici che in seguito si sono rivelati vere e proprie truffe.

Attacchi di phishing

Il phishing è quando un truffatore finge di essere un'azienda ufficiale per indurre le vittime a rivelare informazioni sensibili. Questo tipo di truffa è particolarmente diffuso nelle criptovalute.

Se pubblichi determinate parole chiave sui social media come "MetaMask" su Twitter, puoi aspettarti che uno sciame di bot truffa risponda. Spesso questi bot ti indirizzeranno a un modulo Google, chiedendoti di inserire la frase seed del tuo portafoglio o altre informazioni sensibili. Qualcosa che non dovresti mai condividere con nessuno.

Molti truffatori fingono di essere persone famose che potresti seguire sui social media. Ti invieranno un messaggio che sembra offrire aiuto prima di chiederti di inviare criptovalute o condividere informazioni sensibili. A volte i truffatori gestiscono falsi canali YouTube per richiedere fondi.

Nel gennaio 2021, qualcuno ha perso 1.14 milioni di dollari a causa di truffatori che si spacciavano per Michael Saylor, il CEO di MicroStrategy.

Ricorda, è molto improbabile che i veri influencer ti chiedano di inviare loro denaro in un messaggio privato, soprattutto se non ti hanno mai parlato prima. Tuttavia, alcune celebrità possono promuovere consapevolmente o inconsapevolmente schemi di pump-and-dump, che sono anche molto comuni nelle criptovalute.

Annunci Google falsi

Il primo risultato di Google per un progetto crittografico potrebbe non indirizzarti nella giusta direzione, anzi, potrebbe indirizzarti verso una truffa.

Annuncio truffa di Google (Google.com)

Sfortunatamente, Google non controlla l'autenticità dei siti Web prima di vendere uno spot pubblicitario, quindi un annuncio di Google non dovrebbe mai essere interpretato come un segno di legittimità.

Se non sei sicuro di quale sia il sito Web giusto, controlla fonti affidabili, come la pagina Twitter ufficiale del progetto, per trovare il sito Web reale.

Pagina Twitter di Uniswap Labs (Twitter)

Exploit e vulnerabilità

La DeFi funziona su parti di codice visibili a tutti, il che significa che le persone tecnicamente esperte possono sfruttare le vulnerabilità nel codice e scappare con ingenti somme di denaro. In effetti, la quantità di fondi persi negli exploit dei progetti DeFi è stata di 1.3 miliardi di dollari nel 2021, secondo la società di sicurezza blockchain CertiK.

Per ridurre i rischi di exploit, molti progetti DeFi incaricano società di revisione come PeckShield o Hacken di rivedere il loro codice e aiutarli a correggere eventuali problemi rilevati. I progetti DeFi possono anche offrire ricompense agli hacker white-hat attraverso piattaforme come Immunefi per scoprire bug nel loro codice prima che lo facciano gli aggressori dannosi.

Gli audit e i programmi di ricompensa vengono solitamente visualizzati sui siti dei progetti, quindi potresti volerli controllare prima di decidere di investire. Sebbene questi programmi riducano i rischi di exploit, non eliminano completamente i rischi. Ci sono molti progetti DeFi controllati che sono caduti vittime di exploit da milioni di dollari.

Scambi aerei

Gli airdrop, quando i protocolli distribuiscono token gratuiti ai membri delle loro comunità, sono comuni nelle criptovalute. Ma non tutti i gettoni inviati al tuo portafoglio sono autentici.

Una recente truffa DeFi, particolarmente comune sulla Binance Smart Chain, induce le persone a pensare di aver ricevuto improvvisamente token del valore di migliaia di dollari. Ma non sono negoziabili in borsa perché non c'è liquidità.

Per saperne di più: 3 principali rischi nel prestito DeFi

Nella maggior parte dei casi, questi token prenderanno il nome da un sito Web ombreggiato. Se colleghi il tuo portafoglio tramite quel sito Web e approvi l'accesso a uno smart contract dannoso, i truffatori sono in grado di sottrarre fondi direttamente dal tuo portafoglio.

Fonte: https://www.coindesk.com/learn/how-to-stay-safe-in-defi-red-flags-and-risks-you-need-to-know/