DeFi
Ethereum colabrodo? Ricercatori scoprono 47 vulnerabilità sulla blockchain

Un gruppo di accademici dell’Università della California, Santa Barbara, ha dimostrato quella che definisce una “tecnica scalabile” per controllare i contratti intelligenti e mitigare i bug di incoerenza di stato, scoprendo 47 vulnerabilità zero-day sulla blockchain di Ethereum nel processo.
I contratti intelligenti sono programmi archiviati sulla blockchain che vengono eseguiti automaticamente quando vengono soddisfatte condizioni predeterminate in base ai termini codificati dell’accordo. Consentono di effettuare transazioni e accordi di fiducia tra parti anonime senza la necessità di un’autorità centrale. In altre parole, il codice stesso è pensato per essere l’arbitro finale dell’“accordo” che rappresenta, con il programma che controlla tutti gli aspetti dell’esecuzione e fornisce una pista di controllo probatoria immutabile delle transazioni che sono sia tracciabili che irreversibili.
Ciò significa anche che le vulnerabilità nel codice potrebbero comportare ingenti perdite, come dimostrano gli hack mirati al DAO e, più recentemente, a MonoX, in cui gli avversari hanno sfruttato scappatoie per sottrarre illecitamente fondi, uno scenario che potrebbe avere conseguenze catastrofiche data la fiorente adozione di smart contratti degli ultimi anni. “Dal momento che i contratti intelligenti non sono facilmente aggiornabili, il controllo della pre-distribuzione della fonte del contratto e l’implementazione di un contratto privo di bug è ancora più importante che nel caso del software tradizionale”, hanno spiegato i ricercatori in un documento.
Inserisci Sailfish, che mira a rilevare le vulnerabilità di incoerenza di stato nei contratti intelligenti che consentono a un utente malintenzionato di manomettere l’ordine di esecuzione delle transazioni o assumere il controllo del flusso all’interno di una singola transazione (ovvero rientro). Lo strumento funziona come segue. Dato un contratto intelligente, Sailfish converte il contratto in un grafico delle dipendenze, che cattura le relazioni di controllo e flusso di dati tra le variabili di archiviazione e le istruzioni di modifica dello stato di un contratto intelligente, utilizzandolo per identificare potenziali difetti definendo l’accesso pericoloso, che vengono implementati come query di grafi per determinare se due diversi percorsi di esecuzione, almeno uno dei quali è un’operazione di scrittura, operano sulla stessa variabile di archiviazione.
I ricercatori hanno valutato Sailfish su 89.853 contratti ottenuti da Etherscan, identificando 47 difetti zero-day che potrebbero essere sfruttati per drenare Ether e persino corrompere i metadati specifici dell’applicazione. Ciò include anche un contratto vulnerabile che implementa un localizzatore di alloggi che potrebbe essere oggetto di abusi in modo tale che un proprietario di casa possa avere più di un annuncio attivo. I risultati dello studio saranno condivisi in occasione dell’IEEE Symposium on Security and Privacy (S&P) che si terrà nel maggio 2022. Questa non è la prima volta che i contratti intelligenti problematici attirano l’attenzione del mondo accademico. Nel settembre 2020, i ricercatori cinesi hanno progettato un framework per classificare i punti deboli noti negli smart contract con l’obiettivo di fornire un criterio di rilevamento per ciascuno dei bug.
DeFi
Tre motivi per cui il mercato delle criptovalute sta affondando

Quest’anno il mercato delle criptovalute ha avuto un periodo difficile e il crollo di diversi progetti e fondi ha scatenato un effetto contagio che ha colpito praticamente tutti gli operatori del settore.
Il polverone non si è ancora posato, ma un flusso costante di dettagli sta permettendo agli investitori di mettere insieme un quadro che evidenzia i rischi sistemici della finanza decentralizzata e della scarsa gestione del rischio.
Ecco cosa dicono diversi esperti sulle ragioni del crollo della DeFi e le loro prospettive su ciò che deve essere fatto per la ripresa del settore.
Incapacità di generare entrate sostenibili
Una delle ragioni più frequentemente citate per le difficoltà dei protocolli DeFi è la loro incapacità di generare entrate sostenibili che aggiungano valore significativo all’ecosistema della piattaforma.
Nel tentativo di attirare gli utenti, sono stati offerti rendimenti elevati a un tasso insostenibile, mentre l’afflusso non è stato sufficiente a compensare i pagamenti e a fornire un valore sottostante al token nativo della piattaforma.
Ciò significa essenzialmente che non c’era alcun valore reale a sostegno del token, che veniva utilizzato per pagare gli alti rendimenti offerti agli utenti.
Quando gli utenti hanno iniziato a rendersi conto che i loro asset non stavano realmente guadagnando i rendimenti promessi, hanno rimosso la loro liquidità e venduto i token di ricompensa. Questo, a sua volta, ha causato un calo del prezzo dei token, insieme a un calo del valore totale bloccato (TVL), che ha ulteriormente scatenato il panico tra gli utenti del protocollo, i quali, allo stesso modo, hanno ritirato la loro liquidità e bloccato il valore delle ricompense ricevute.
Tokenomica o Ponzinomica?
Un secondo difetto evidenziato da diversi esperti è la struttura tokenomica mal progettata di molti protocolli DeFi, che spesso presentano un tasso di inflazione estremamente elevato, utilizzato per attirare la liquidità.
Le ricompense elevate sono belle, ma se il valore del token che viene versato come ricompensa non è veramente tale, gli utenti si assumono un rischio notevole rinunciando al controllo dei loro fondi per una ricompensa minima o nulla.
Ciò si collega in larga misura al problema della generazione di entrate della DeFi e all’incapacità di costruire tesori sostenibili. Un’inflazione elevata aumenta l’offerta di token e se il valore dei token non viene mantenuto, la liquidità abbandona l’ecosistema.
Utenti con un eccesso di leva finanziaria
L’uso eccessivo della leva finanziaria è un altro problema endemico della DeFi e questo difetto è diventato chiarissimo quando Celsius, 3AC e altre piattaforme investite nella DeFi hanno iniziato a fallire il mese scorso.
Queste liquidazioni non hanno fatto altro che esasperare la tendenza al ribasso che molti token stavano già sperimentando, innescando una spirale mortale che si è estesa alle piattaforme CeFi e DeFi e ad alcune borse cripto centralizzate.
In questo senso, la responsabilità ricade sugli utenti, che si sono lasciati andare a un eccesso di leva finanziaria senza un solido piano di gioco su cosa fare nell’eventualità di una flessione del mercato. Anche se può essere difficile pensare a queste cose durante l’apice di un mercato rialzista, dovrebbe essere sempre qualcosa in fondo alla mente di un trader perché l’ecosistema delle criptovalute è ben noto per la sua volatilità a scatti.
Lagarde: la DeFi può porre rischi reali alla stabilità finaziaria
Dopo Celsius, Arrows Capital a rischio insolvenza. La DeFi Trema
La piattaforma DeFi Celsius blocca i soldi dei suoi 2 milioni di risparmiatori
DeFi
Dietro il furto della criptovaluta Harmony c’è Lazarus
Tempo di lettura: 2 minuti. Dall’inizio del 2022, Lazarus ha guadagnato più di un miliardo di dollari rubando dalle piattaforme di criptovalute

Il Lazarus Group, un noto gruppo di hacker nordcoreani, è stato identificato come il principale sospettato del recente attacco che ha visto il furto di 100 milioni di dollari dal protocollo Harmony.
Furto da 625 milioni ad Axie Infinity: Usa incolpano Lazarus
Secondo un nuovo rapporto pubblicato giovedì dalla società di analisi blockchain Elliptic, il modo in cui il ponte Horizon di Harmony è stato violato e il modo in cui i beni digitali rubati sono stati di conseguenza riciclati assomiglia molto ad altri attacchi del Gruppo Lazarus.
“Ci sono forti indicazioni che il Lazarus Group della Corea del Nord possa essere responsabile di questo furto, in base alla natura dell’hack e al successivo riciclaggio dei fondi rubati“.
Inoltre, Elliptic ha delineato esattamente le modalità di esecuzione del furto, osservando che Lazarus ha preso di mira le credenziali di accesso dei dipendenti di Harmony nella regione Asia-Pacifico per violare il sistema di sicurezza del protocollo. Dopo aver ottenuto il controllo del protocollo, gli hacker hanno implementato programmi di riciclaggio automatico che hanno spostato i beni rubati a tarda notte.
Elliptic ha inoltre rilevato che gli hacker hanno già trasferito oltre il 40% dei 100 milioni di dollari su Tornado Mixer, un “servizio di miscelazione” basato su Ethereum che oscura i dati delle transazioni e rende estremamente difficile per gli investigatori tracciare il movimento dei fondi.
Inizialmente, il team di Harmony ha offerto una taglia di 1 milione di dollari come incentivo per gli hacker a restituire i fondi. Tuttavia, il 29 giugno Harmony ha aumentato la taglia a 10 milioni di dollari e ha dichiarato che la restituzione completa dei fondi avrebbe posto fine all’indagine e non sarebbero state mosse ulteriori accuse penali.
Anche l’hacking di Ronin da 600 milioni di dollari, avvenuto in aprile, è stato collegato al Lazarus Group. A causa delle attuali condizioni di mercato, il valore degli Ether (ETH) rubati è crollato di oltre il 60% fino a 230 milioni di dollari.
Un recente rapporto di Coinclub.com indica che la Corea del Nord ha schierato 7.000 hacker a tempo pieno per raccogliere fondi attraverso attacchi informatici, ransomware e hacking di protocolli crittografici. La Corea del Nord è leader mondiale nella criminalità legata alle criptovalute, con oltre 15 casi documentati di furto informatico per un valore di circa 1,59 miliardi di dollari di fondi rubati.
Il bridge Horizon di Harmony è l’ultimo ad aggiungersi a una lista crescente di token bridge attaccati, tra cui Meter, Wormhole e Ronin, portando il totale dei furti legati ai token bridge a poco più di 1 miliardo di dollari solo nel 2022.
Il più grande token bridge ad essere violato è stato Poly Network nel 2021, che ha perso 610 milioni di dollari, quasi tutti restituiti.
DeFi
Che cos’è JUST (JST)?
Tempo di lettura: 3 minuti. Un nuovo ecosistema di DeFi per blockchain di Tron

JUST è un nuovo ecosistema di finanza decentralizzata (DeFi) costruito per la blockchain TRON. Si tratta di un’intera suite di prodotti che sono principalmente incentrati su una piattaforma di prestito decentralizzata in stablecoin nota come JustStable.
La piattaforma è stata lanciata nell’agosto 2020 a seguito di un’offerta iniziale di scambio (IEO) sulla piattaforma Poloniex LaunchBase all’inizio dello stesso anno, ma il token di governance nativo della piattaforma (JST) circola da maggio 2020.
Si tratta di un ecosistema a due token costruito attorno ai token USDJ e JUST (JST). USDJ è una stablecoin multicollaterale il cui valore è ancorato al valore del dollaro USA (USD), mentre JST svolge una serie di funzioni sulla piattaforma: paga gli interessi, contribuisce alla manutenzione della piattaforma e partecipa alla sua governance, contribuendo a stabilire parametri come i tassi di interesse (commissioni di stabilità) e il rapporto minimo di collateralizzazione.
Per ottenere USDJ su JUST, i trader devono depositare una garanzia sotto forma di token di garanzia supportati – tra cui TRON (TRX), che vengono scambiati con token PTRX e bloccati come garanzia collaterale formando una posizione debitoria collateralizzata (CDP). A seconda dell’importo del collaterale depositato, gli utenti possono poi coniare e ritirare USDJ, che devono poi essere rimborsati per recuperare il collaterale iniziale.
La piattaforma è progettata per fornire un hub equo e senza confini di prodotti DeFi, a cui ogni utente TRON può accedere.
Chi sono i fondatori di JUST?
L’ecosistema JUST è gestito dalla JUST Foundation, che comprende persone provenienti da Alibaba, Tencent, IBM e “altre aziende internet di livello mondiale“, mentre il team di analisi finanziaria di JUST proviene da “diverse banche d’investimento globali”, secondo il sito web del progetto.
Tra le persone più importanti figurano Terance F (esperto di blockchain ed ex dipendente di Barclays e IBM), Elvis Zhang (sviluppatore senior e ricercatore esperto di blockchain), C Wu (specialista di portafogli e scambi) e GL Kong (ingegnere esperto di blockchain e primo utilizzatore di criptovalute).
I nomi e i profili completi di gran parte del team JUST non sono pubblici. Tuttavia, sembra che il progetto abbia qualche sovrapposizione con il team di sviluppo di TRON, dal momento che la piattaforma è stata annunciata dal CEO e fondatore di TRON, Justin Sun, e ha ricevuto il supporto tecnico e finanziario di TRON.
Cosa rende JUST unica?
A differenza della maggior parte delle altre piattaforme DeFi, JUST non cerca solo di offrire un singolo prodotto che sia utile a un piccolo sottoinsieme di utenti DeFi. Sta invece cercando di costruire un’intera suite di prodotti che coprano una serie di casi d’uso della DeFi, costituendo le fondamenta di un ecosistema DeFi completo su TRON.
A partire da gennaio 2021, l’ecosistema JUST è composto da cinque prodotti distinti, tutti progettati per interoperare e fornire ulteriori utilità agli utenti.
Questi sono:
- JustStable: La piattaforma decentralizzata multi-collaterale di stablecoin, fiore all’occhiello di JUST.
- JustLend: Un protocollo di mercato monetario alimentato da TRON che consente agli utenti di aggiungere liquidità ai pool di prestito e di sottoscrivere prestiti in criptovaluta a basso interesse.
- JustSwap: Una piattaforma di market maker automatizzato (AMM) utilizzata per scambi di token TRC-20 senza fiducia e per la creazione di pool di liquidità senza autorizzazione.
- JustLink: Il primo sistema di oracolo decentralizzato per la rete TRON, utilizzato per fornire in modo sicuro agli smart contract i dati del mondo reale.
- Gettoni cross-chain: Attività di altre blockchain, tra cui Bitcoin (BTC), Ethereum (ETH) e Litecoin (LTC), che sono state tokenizzate su TRON e possono essere utilizzate all’interno dell’ecosistema JUST.
Quante monete JUST (JST) sono in circolazione?
A gennaio 2021, è in circolazione un totale di 2,26 miliardi di JST, su un’offerta massima di 9,9 miliardi. Ciò rappresenta il 23% dell’offerta massima.
Questi gettoni si guadagnano depositando, prestando e fornendo liquidità sulla Rete JUST o completando diverse altre azioni, come la partecipazione a campagne speciali.
Secondo lo IEO originale su Poloniex, l’intera offerta di token JST è distribuita come segue:
- Vendita di seed: 11%
- Vendita pubblica (allocazione LaunchBase): 4%
- Partenariati strategici: 26%
- Team: 19%
- Airdrop (solo per i titolari di TRX): 10%
- Ecosistema: 30%
Ulteriori informazioni sull’allocazione dei token JST, comprese le specifiche del periodo di maturazione per il team JUST e il suo tasso di inflazione, sono attualmente sconosciute. Tuttavia, è noto che tutti i token del team saranno completamente maturati entro aprile 2022.
Come è protetta la rete JUST?
Come token TRC-20, la rete JUST è protetta dalla blockchain TRON sottostante.
A differenza di altre piattaforme che utilizzano il meccanismo di consenso proof-of-work (POW), ad alto consumo energetico, per mantenere l’integrità della blockchain e scongiurare potenziali attacchi, TRON utilizza il sistema delegated-proof-of-stake (dPOS), ad alta efficienza energetica.
I titolari di token TRON (TRX) eleggono super rappresentanti incaricati di generare blocchi e confezionare transazioni. Insieme, i 27 super rappresentanti sono responsabili della sicurezza della rete.
-
Inchieste3 settimane fa
Lista filoputin e rapporto sulla propaganda russa: DIS influenzato dagli USA?
-
Editoriali3 settimane fa
La Russia ha unito il mondo della geopolitica e della sicurezza informatica
-
Inchieste3 settimane fa
Deep Web e Dark Web: quali sono le differenze?
-
Tech3 settimane fa
WhatsApp: nuova funzione per scoprire le chiamate perse
-
Inchieste2 settimane fa
Lazarus ha colpito molte aziende in giro per il mondo usando LinkendIn
-
Inchieste2 settimane fa
Scopriamo Five Eyes o le Cinque Sorelle che da anni ci spiano attraverso Internet
-
Tech2 settimane fa
Come spostare i dati di WhatsApp da Android a iOS
-
Tech2 settimane fa
Malware: consigli per sopravvivere agli attacchi sempre più sofisticati dei criminali