Le misure di sicurezza e responsabilità introdotte dal Regolamento UE 2022/858 potrebbero essere la risposta al rischio di cyberattacco sui blockchain bridge nell’ambito DeFi.
Recentemente, una piattaforma che aggrega dati finanziari su blockchain e applicazioni decentralizzate (Dapp) anche nell’ambito della Decentralized Finance (DeFi), ha statisticamente dimostrato che i cyberattacchi (exploit) nell’ambito dei c.d. Ponti (bridge) blockchain corrispondono al 50% rispetto al totale e rappresentano una preoccupante perdita di valore pari a 2,5 miliardi di dollari dal 2020. Pertanto, gli investitori esigono adeguate misure di tutela e hanno più volte tentato di portare la questione davanti al giudice.
A tal proposito, vedremo cosa prevede in tema di sicurezza e responsabilità dei gestori delle piattaforme il Regolamento UE 2022/858 relativo a un regime pilota per le infrastrutture di mercato basate sulla tecnologia a registro distribuito e come potrebbe ridurre il rischio di un cyberattacco legato al blockchain bridge.
Cosa è il blockchain bridge e perché aumenta il rischio di cyberattacco
I blockchain bridge sono una particolare tipologia di cyberattacchi che, specialmente nell’ambito di protocolli DeFi, è cresciuta in maniera rilevante nell’ultimo periodo, raggiungendo un picco all’inizio del 2022.
Il blockchain bridge viene implementato per superare un endemico problema della tecnologia blockchain, ovvero la mancanza di interoperabilità tra le diverse catene di blocchi. In genere, il processo relativo al passaggio da una catena all’altra attraverso il bridge consiste in un meccanismo di congelamento o distruzione degli asset tokenizzati da trasferire sulla prima catena e una loro successiva emissione sulla catena secondaria. Per tale motivo, vengono impiegate terze parti che (i) custodiscono gli asset; ed (ii) emettono token il cui valore è legato a quello degli asset (“wrapped token”). Tale processo è particolarmente critico sia perché non garantisce la veridicità del fatto che l’asset è stato realmente trasferito da una catena all’altra, in quanto si tratta di un’informazione che si colloca fuori dalla blockchain (c.d. off-chain information), sia perché ci deve essere un ulteriore grado di fiducia nei confronti della terza parte riguardante l’equivalenza del prezzo tra l’asset e i wrapped token.
Ad esempio, supponiamo di voler ottenere bitcoin (BTC) nativi avendo soltanto il token di Etherum. Per avere un’esposizione al BTC sulla blockchain di Ethereum, è possibile acquistare il wrapped token Bitcoin (WBTC). Tuttavia, WBTC è un token ERC-20 nativo della rete Ethereum, il che significa che non è l’asset originale della blockchain Bitcoin. Per possedere un BTC nativo, quindi, è necessario collegare l’asset da Ethereum a Bitcoin utilizzando un bridge. In tal modo, il WBTC sarà convertito in BTC nativo. Al contrario, possedere bitcoin per utilizzarli nei protocolli DeFi di Ethereum richiederebbe un bridge nell’altro senso, (da BTC a WBTC), che poi potrà essere utilizzato come asset su Ethereum.
In breve, l’utilizzo del bridge favorisce l’accentramento di risorse finanziarie creando un punto di vulnerabilità per l’investitore che deve essere presidiato da misure di sicurezza e procedure di gestione del cyber rischio; in tal senso, il Regolamento UE 2022/858 prevede diversi requisiti di sicurezza circa le infrastrutture di mercato dove verranno negoziati strumenti finanziari tokenizzati.
Come il Regolamento UE 2022/858 può ridurre il rischio di cyberattacco
Sebbene tecnicamente siano già state proposte delle alternative (ancora sperimentali) circa, ad esempio, la reversibilità delle transazioni e il congelamento di fondi in caso di cyberattacchi, da un punto di vista strettamente giuridico è possibile rinvenire una tutela a favore degli investitori nelle disposizioni contenute nel Regolamento UE 2022/858 che si applicherà a decorrere dal 23 marzo 2023.
In particolare, se si considerano le infrastrutture di mercato DLT dove verranno negoziati gli strumenti finanziari tokenizzati, queste opereranno ai sensi di un regime di autorizzazione concesso dalle autorità nazionali previo parere non vincolante dell’Autorità europea degli strumenti finanziari e dei mercati (ESMA).
Tra i requisiti supplementari previsti dal Regolamento, per le infrastrutture di mercato DLT tout court si garantisce:
- l’affidabilità “di tutti i dispositivi informatici e cibernetici di un’infrastruttura di mercato DLT” anche attraverso un revisore indipendente nominato dall’autorità, se necessario;
- la protezione da attacchi informatici e/o negligenza del gestore; e
- l’implementazione di procedure specifiche di gestione del rischio operativo derivante dall’utilizzo della tecnologia DLT.
Infine, di particolare rilevanza è l’articolo 7, comma 4, del Regolamento UE 2022/858 che prevede la responsabilità in capo al gestore dell’infrastruttura in caso di perdita di fondi, di perdita di garanzie reali o di perdita di uno strumento finanziario, salvo il caso in cui il gestore dimostri che tali eventi sono stati causati da un evento esterno che sfugge al suo ragionevole controllo, le cui conseguenze sarebbero state inevitabili nonostante ogni ragionevole sforzo per evitarlo. Non ci è dato sapere ancora cosa si intende precisamente con quest’ultima esimente; tuttavia, è facile immaginare che un eventuale exploit causato da un bridge programmato in maniera fallace oppure la scelta di una terza parte poco affidabile, potrà certamente rendere il gestore della piattaforma responsabile ai sensi del Regolamento.
Su un simile argomento, può essere interessante l’articolo: “Distributed ledger technology (DLT): Approvato il Regolamento UE sul regime pilota per gli strumenti finanziari”.