In un annuncio di servizio pubblico pubblicato martedì sull’Internet Crime Complaint Center dell’FBI, l’agenzia ha dichiarato che gli exploit hanno causato agli investitori perdite di denaro, consigliando agli investitori di condurre una ricerca diligente sulle piattaforme DeFi prima di utilizzarle e sollecitando le piattaforme a migliorare il monitoraggio e a condurre test rigorosi del codice.
Le forze dell’ordine hanno avvertito che i criminali informatici sono in azione per approfittare del “crescente interesse degli investitori per le criptovalute” e della “complessità delle funzionalità cross-chain e della natura open source delle piattaforme Defi”.
L’FBI ha osservato che i criminali informatici sfruttano le vulnerabilità dei contratti intelligenti che regolano le piattaforme DeFi per rubare le criptovalute degli investitori.
In un esempio specifico, l’FBI ha citato casi in cui gli hacker hanno utilizzato una “vulnerabilità di verifica della firma” per rubare 321 milioni di dollari dal ponte di token Wormhole a febbraio. L’FBI ha anche menzionato un attacco di prestiti flash che è stato utilizzato per innescare un exploit nel protocollo Solana DeFi Nirvana a luglio.
Tuttavia, questa è solo una goccia in un vasto oceano. Secondo un’analisi della società di sicurezza blockchain CertiK, dall’inizio dell’anno sono stati sfruttati oltre 1,6 miliardi di dollari nello spazio DeFi, superando l’importo totale rubato nel 2020 e 2021 messi insieme.
L’FBI raccomanda la due diligence e i test
Pur ammettendo che “tutti gli investimenti comportano dei rischi”, l’FBI ha raccomandato agli investitori di effettuare ricerche approfondite sulle piattaforme DeFi prima di utilizzarle e, in caso di dubbi, di rivolgersi a un consulente finanziario autorizzato.
L’agenzia ha dichiarato che è molto importante che i protocolli della piattaforma siano solidi e che siano stati eseguiti uno o più controlli del codice da parte di revisori indipendenti.
In genere, una verifica del codice comporta un esame del codice sottostante la piattaforma per identificare vulnerabilità o punti deboli che potrebbero essere sfruttati.
Secondo l’FBI, anche i pool di investimento della DeFi con “tempi di adesione estremamente limitati” o “rapida diffusione di contratti intelligenti” dovrebbero essere affrontati con estrema cautela, soprattutto se non hanno condotto una verifica del codice.
Anche le soluzioni crowdsourced, che generano idee o contenuti sollecitando i contributi di un ampio gruppo di persone, sono state segnalate dalle forze dell’ordine:
“I depositi di codice open source consentono l’accesso libero a tutti gli individui, compresi quelli con intenzioni nefaste”.
L’FBI ha dichiarato che anche le piattaforme DeFi possono fare la loro parte per aumentare la sicurezza, testando regolarmente il loro codice per identificare le vulnerabilità, insieme ad analisi e monitoraggio in tempo reale.
Tra le raccomandazioni figurano anche un piano di risposta agli incidenti e l’informazione agli utenti su possibili vulnerabilità della piattaforma, hacking, exploit o altre attività sospette.
Tuttavia, in mancanza di tutto ciò, l’FBI invita gli investitori americani presi di mira dagli hacker a contattarli attraverso l’Internet Crime Complaint Center o l’ufficio locale dell’FBI.
All’inizio di quest’anno, il vice procuratore generale degli Stati Uniti Lisa Monaco ha annunciato che l’FBI stava intensificando i suoi sforzi per affrontare il crimine nello spazio degli asset digitali con la formazione della Virtual Asset Exploitation Unit.
Il team specializzato è dedicato alle criptovalute e comprende esperti che contribuiscono all’analisi della blockchain, come parte di uno spostamento dell’attenzione verso l’interruzione delle reti criminali internazionali, piuttosto che verso il loro perseguimento.
