Replay “Finanza decentralizzata e sfide di sicurezza” di Cristiano Paris

Intervento di Cristiano Paris dal titolo: “Finanza decentralizzata e sfide di sicurezza”

Cyber Security Virtual Conference 2021

Cristiano Paris, Consigliere di AIEA – Capitolo di Milano di ISACA

“Le dApp (Decentralized Application) di per sé non esistono: esse sono i nodi della rete blockchain, in particolare della rete Ethereum. Prendono il codice dello smart contract e garantiscono che tutte le transazioni che vengono inviate sulla blockchain e che servono quello smart contract sono valide. Semplicemente seguono le regole definite all’interno dello smart contract.
Lo smart contract è un arbitro incorruttibile. Nessuno, neanche il creatore stesso dello smart contract può derogare alle norme che sono definite all’interno dello smart contract – chiaro che normalmente quello che succede è che il creatore dello smart contract si riserva un ruolo “diverso” rispetto a quello degli altri utenti, ma questo è un ruolo che è definito nelle regole dello smart contract”.

“L’immutabilità degli smart contract .Gli smart contract una volta inseriti sulla blockchain non possono essere più modificati. Però può succedere di accorgersi, dopo aver immesso lo smart contract sulla blockchain che esso contiene degli errori che potrebbero rappresentare delle vulnerabilità.
Tradizionalmente esiste un processo di sicurezza informatica, che si chiama patch management, per poter modificare il codice dell’oggetto difettoso in maniera tale da correggere questo difetto per il futuro. Idealmente in una blockchain questo non è possibile, perché lo smart contract non può essere modificato nel suo codice da nessuno. Questa è una regola fondamentale delle blockchain, che garantisce l’integrità del sistema, ma rappresenta al tempo stesso un vincolo non indifferente rispetto a questo tipo di problematiche. Per correggere un errore in uno smart contract sono allo studio diverse soluzioni: il trend attuale è quello dei cosiddetti contratti proxy”.

“Esistono alcune blockchain che in qualche maniera hanno implementato meccanismi, coreografie che consentono di avere la confidenzialità delle transazioni, perché in realtà quello che è richiesto dalla blockchain è che consenta non tanto di poter osservare le transazioni, ma di avere la garanzia che le transazioni che avvengono sulla blockchain siano conformi ai contratti che sono definiti dagli smart contract, che sono definiti. Quindi, ad esempio, si può ottenere una transazione cifrata su cui avere la garanzia che il contenuto, pur non conoscendo il contenuto della trattazione. Nel caso di un bonifico non conosco chi fa il bonifico, non conosco da chi parte il bonifico, non conosco la quantità di denaro che viene mossa all’interno del bonifico: non conosco niente di questo, però ho la garanzia che la persona che ha inviato quel denaro aveva un saldo che era consistente e che gli consentiva di trasferire quella quantità di denaro”