Tra i 15 protocolli più popolari della finanza decentralizzata, ben dodici hanno ancora accesso a una chiave admin per attivare la ‘God Mode,’ secondo quanto rivelato dalla piattaforma DeFi Watch.

Questi controlli di accesso completo consentono agli sviluppatori di modificare o sostituire gli smart contract su cui si basano i loro progetti, oltre ad apportare modifiche ai bilanci degli utenti.

Anche se le chiavi admin sono state giustificate come un modo per proteggere i fondi degli utenti e vengono spesso implementate con funzionalità di sicurezza come timelock e multi-sig, secondo gli analisti questo mette in discussione l’effettiva “decentralizzazione” di questi protocolli.

In un video pubblicato su YouTube il 24 settembre, l’educatore e autore di “Mastering Bitcoin” Andreas Antonopolous ha definito un progetto veramente decentralizzato come uno che non ha controllo custodiale sui fondi:

"È un criterio molto importante. Credo sia il criterio fondamentale.”

Secondo questo standard, la maggior parte dei protocolli non soddisfa affatto i requisiti. Tra i quindici progetti esaminati da DeFi Watch, solo InstaDapp, MakerDAO e Uniswap sembrano non avere chiavi da amministratore associate ai loro prodotti. Tutti i progetti rimanenti, tra cui figurano Aave, Compound, DDEX, Yearn Finance, Nexus Mutual e Synthetix, hanno chiavi che permettono vari livelli di controllo.

La chiave admin di Aave, gestita da una Aragon DAO composta da cinque membri, richiede solo tre voti favorevoli per apportare profonde modifiche al protocollo. Attualmente Aave è al terzo posto tra tutti i progetti DeFi per valore totale bloccato (TVL) con più di 1,38 miliardi di dollari in asset bloccati.

Tuttavia, diversi progetti, incluso Compound, hanno implementato funzionalità di sicurezza per proteggere l’integrità delle chiavi admin, e molti progetti hanno dei piani per migrare in futuro verso un sistema di governance completamente decentralizzato.

Molti utenti hanno suggerito che Aave e altri protocolli sono stati onesti in merito alle loro chiavi admin, ma il fondatore di DeFi Watch, Chris Blec, crede che i protocolli DeFi debbano essere espliciti se mantengono l’opzione di attivare la God Mode:

“È fin troppo complicato per un utente trovare questa informazione. Deve essere in prima linea.”

Blec ha aggiunto che anche nel caso in cui un progetto ammette l’esistenza di chiavi admin, pochi ne definiscono chiaramente le implicazioni. Per esempio, “non è scritto da nessuna parte che ‘Aave può modificare il saldo del tuo conto’ o che ‘Aave può sostituire tutto il codice con nuovo codice’.

Il sito web di Aave dichiara che tutti i fondi sono conservati in contratti non custodiali e presenta un avvertimento opaco:

“Aave manterrà la proprietà del protocollo nelle sue prime fasi per garantire che il protocollo rimanga sicuro in caso di problemi.”

Anche gli smart contract di Synthetix sono interamente modificabili usando la chiave admin, e DeFi Watch afferma che il core team possiede un “enorme potere per fare praticamente qualsiasi cosa, incluso il regolare i saldi degli utenti e prosciugare fondi.” Nonostante il core team di Synthetix abbia ammesso che il progetto è altamente centralizzato, il protocollo ha comunque ricevuto oltre 590 milioni di dollari in asset dalla comunità DeFi.

Uniswap non possiede chiavi admin, ma questa settimana la società di analisi blockchain Glassnode ha suggerito in un report che il progetto DeFi ha essenzialmente creato una backdoor equivalente attraverso la distribuzione del governance token UNI.

Secondo Glassnode, il team potrebbe avere accesso immediato a quasi il 40% dell’intera offerta, più del doppio dei token attualmente in possesso dal resto della comunità di Uniswap. Dato che i token UNI agevolano la governance del progetto, incluso l’accesso alla sua tesoreria, questo darebbe al team un forte controllo sul protocollo decentralizzato.

DeFi Watch sostiene che al momento i protocolli trustless sono una sorta di miraggio, e che, in fin dei conti, la sicurezza si riduce alla competenza del team di un progetto:

“Attualmente l’unico modo per sentirsi davvero sicuri quando si usano questi prodotti DeFi è confidare nella competenza del team e nella capacità di proteggere la chiave admin.”