Il 21 Novembre, uno dei fatti più temuti da noi crypto-appassionati: l’hack di Pickle. Un sito appartenente al mondo DeFi, Pickle appunto, ha subito un attacco che ha sottratto quasi $20 milioni. In questo articolo parleremo dell’hack di Pickle, e di uno dei problemi fondamentali del mondo DeFi: l’affidabilità di progetti nati da pochi giorni che, senza audit, ricevono milioni di fondi.
Cos’è Pickle?
Partiamo dalla domanda più semplice: Pickle è un protocollo del mondo DeFi dedicato allo yield farming, ovvero la ricerca di ritorni. Fondamentalmente è qualcosa di Yearn Finance, di cui abbiamo parlato qui. In breve: gli utenti possono depositare i loro token, ottenendo una ricompensa in cambio della liquidità che offrono alla piattaforma. Ad esempio, se io ho DAI, posso depositarli sulla piattaforma e otterrò in cambio cDAI, un token generato da Pickle che posso vendere. In questo modo, si ottiene -in linea teorica- un vantaggio rispetto al mantenere i propri token su un wallet.
L’hack di Pickle: cos’è successo?
Ora che abbiamo spiegato come funziona, possiamo parlare dell’hack di Pickle. Se capite di inglese, vi consiglio questo articolo su Medium. E’ però piuttosto complesso, quindi qui la versione semplificata: la piattaforma Pickle soffriva di due bug, due mancanze nel loro codice, che sono state attaccate da parte di un hacker. Fondamentalmente:
- La piattaforma era incapace di capire se lo smart contract che le diceva di eseguire un’operazione fosse o meno autorizzato. In soldoni, l’hacker è riuscito a creare uno smart contract sufficientemente simile a quello originale da convincere la piattaforma che il comando fosse giusto
- La seconda vulnerabilità era la possibilità di inviare un comando senza averne i diritti. Se pensiamo a qualcosa di più conosciuto, sarebbe come se fosse possibile accedere ad un account di Facebook di qualcun altro senza averne la password.
Questa combinazione di (gravissimi) errori ha fatto sì che l’hacker potesse comandare all’algoritmo di Pickle di investire DAI esistenti nel sistema per tre volte nel giro di secondi, fruttandogli 950 milioni di cDAI; per poi ritirare immediatamente sia i cDAI, sia 19.76 milioni di DAI, una stablecoin con un valore molto simile al dollaro, per un bottino di $20 milioni.
L’hack di Pickle: cosa ci insegna?
Se avete letto il mio articolo che parla in generale del mondo DeFi, forse ricorderete: il problema numero uno del mondo DeFi è sempre e comunque lo stesso: gli hack. Ricordate SushiSwap? Nel giro di pochi giorni, un programma scritto da una persona sconosciuta. E’ il bello del mondo crypto: chiunque può arrivare a creare qualcosa. E anche il suo problema, perchè come possiamo fidarci che una persona di cui non sappiamo nulla -spesso neppure il vero nome- abbia scritto un codice inattaccabile? La stragrande parte di noi non sa programmare, e non è quindi in grado di valutare la solidità di una piattaforma.
Ora, io sono fermamente convinto che la decentralizzazione sia alla base del mondo crypto, e credo che la DeFi nel lungo periodo sconfiggerà la CeFi. Credo nella democratizzazione del denaro come un bene. Il problema è che questi protocolli devono necessariamente avere una forma di controllo prima di essere rilasciati al pubblico. Io capisco che questi sviluppatori vogliano lanciare più in fretta possibile, ma non sarebbe meglio organizzare un programma bounty e invitare gli utenti a trovare bug nel loro sistema? In questo modo non si perde nemmeno la decentralizzazione. Io non sono uno sviluppatore, ma mi sembra che i bug di Pickle fossero particolarmente gravi e non difficili da attaccare.
Conclusione
In questo articolo abbiamo parlato dell’hack di Pickle, e dei problemi connessi al mondo DeFi in generale. Purtroppo, come dice il vecchio adagio, la fretta è cattiva consigliera. Il consiglio per tutti voi: fate molta attenzione a dove mettete i vostri token. Il che non significa che sia necessario lasciarli sotto il materasso, ma attenzione ai protocolli nuovi, che magari promettono rendimenti fuori mercato ma non sono ancora stati debitamente testati.
Disclaimer: il contenuto dell’articolo è un’opinione, e ha unicamente fini informativi. Non intende fornire consulenzia finanziaria di alcun tipo. Consulta un professionista certificato per ottenere consulenza finanziaria.
Pingback: Come mantenere Bitcoin al sicuro: dove si rischia meno? - CryptoEccetera
Pingback: DeFi: cos'è, e come rivoluziona la finanza - CryptoEccetera