:format(webp)/cloudfront-us-east-1.images.arcpublishing.com/coindesk/AZ5YH3DTDZB4LLCPUIGEEUGDKI.jpg)
Mentre aspettavo con il resto del mondo l'approvazione del primo ETF Bitcoin , ONE cosa mi tormentava: con una manciata di eccezioni tra cui Fidelity e VanEck, quasi tutti i richiedenti per un ETF spot Bitcoin intendono utilizzare Coinbase come suo custode.
David Schwed è direttore operativo di Halborn .
In qualità di leader della sicurezza informatica focalizzato sulle blockchain, questa concentrazione di rischio insieme alla natura intrinsecamente ad alto rischio della custodia delle criptovalute e alla natura ancora in evoluzione delle migliori pratiche di sicurezza mi fa riflettere.
Non è Coinbase in sé a preoccuparmi qui. L’azienda non è mai stata colpita da un attacco informatico noto, il che spiega perché così tante istituzioni tradizionali si affidano al suo know-how. Tuttavia, non esiste un obiettivo inattaccabile: qualsiasi cosa e chiunque può essere compromesso, con tempo e risorse sufficienti, che è una lezione che ho imparato nel corso di una carriera all'intersezione tra sicurezza informatica e gestione patrimoniale.
Ciò che mi preoccupa è l’estrema concentrazione degli asset in un unico custode. E data la natura simile al contante delle criptovalute, ciò rende la situazione intrinsecamente preoccupante.
Vedi anche: Bitcoin ETF Clown Show di Gary Gensler
Potrebbe essere il momento di riconsiderare la designazione di “custode qualificato”, un accordo normativo che nella sua forma attuale T garantisce necessariamente che gli asset rischiosi basati su blockchain siano necessariamente (o meglio) protetti. Inoltre, idealmente, i custodi delle risorse digitali dovrebbero essere soggetti a una maggiore supervisione da parte di regolatori meglio formati, secondo standard statali e federali più rigorosi, rispetto a quanto non lo siano adesso.
La maggior parte dei custodi qualificati oggi garantiscono azioni, obbligazioni o saldi fiat tracciati digitalmente, che sono tutti accordi fondamentalmente legali, che T possono essere semplicemente "rubati". Ma Bitcoin (BTC), come contanti e oro, è ciò che è noto come strumento al portatore. Un attacco crittografico riuscito è come una rapina in banca nel selvaggio West: non appena finisce nelle mani di un ladro, i soldi semplicemente spariscono.
Quindi, per un custode di criptovalute, basta ONE errore perché le risorse scompaiano completamente.
Sappiamo anche che le forze del cripto-crimine globale sono formidabili e determinate. Per citare solo ONE esempio noto, si ritiene che il gruppo di hacker nordcoreani Lazarus Group abbia rubato criptovalute per un valore di 3 miliardi di dollari negli ultimi sei anni e non mostra segni di fermarsi. Si prevede che gli afflussi verso un ETF Bitcoin supereranno i 6 miliardi di dollari nella prima settimana di negoziazione, rendendo questi fondi un obiettivo primario.
Se Coinbase si ritrovasse con decine di miliardi di Bitcoin nei suoi depositi digitali, la Corea del Nord potrebbe facilmente organizzare un’operazione da 50 milioni di dollari per rubare quei fondi, anche se ci volessero diversi anni. Anche gli autori di minacce come il gruppo russo Cozy Bear/APT29 potrebbero trovare sempre più allettante dare la caccia alle criptovalute istituzionali man mano che questi pool diventano più grandi, potenzialmente molto, molto più grandi.
Questo è il livello di minaccia a cui si preparano le principali banche. ONE modello diffuso di gestione del rischio per le istituzioni finanziarie utilizza tre livelli di supervisione . Innanzitutto, il livello di gestione aziendale progetta e implementa pratiche di sicurezza; in secondo luogo, il livello di rischio supervisiona e valuta tali pratiche; e in terzo luogo, il livello di audit garantisce che le pratiche di mitigazione del rischio siano effettivamente efficaci.
Oltre a ciò, un istituto finanziario tradizionale avrà revisori esterni e supervisione IT esterna, nonché numerosi regolatori statali e federali che si occuperanno delle loro spalle. Molti, molti occhi esamineranno ogni aspetto del rischio e della sicurezza.
Ma questi molteplici livelli di ridondanza e di annidamento richiedono ONE cosa apparentemente semplice: l’organico.
Durante il mio periodo come responsabile globale della tecnologia delle risorse digitali presso BNY Mellon, la banca d’investimento aveva circa 50.000 dipendenti, di cui circa 1.000 – ovvero il 2% – ricoprivano ruoli di sicurezza. Coinbase, anche dopo la recente espansione, conta meno di 5.000 dipendenti. BitGo, anch'esso un custode qualificato certificato dallo Stato di New York e da altre giurisdizioni, ne ha solo poche centinaia.
Ciò non intende mettere in discussione le intenzioni o le capacità di nessuna di queste organizzazioni o dei loro dipendenti. Ma una vera supervisione richiede ridondanza che queste nuove istituzioni potrebbero avere difficoltà a fornire ad un livello adeguato per garantire decine di miliardi di dollari in strumenti al portatore.
Vedi anche: ETF Bitcoin : il caso rialzista
Prima che questi numeri diventino ancora più grandi (e più allettanti per i malintenzionati), è giunto il momento di affinare gli standard di sicurezza informatica per la designazione di custodi qualificati. Al momento, la designazione accompagna la licenza fiduciaria o bancaria, supervisionata da regolatori statali e federali. Si tratta di regolatori finanziari in gran parte concentrati sul settore bancario tradizionale, non di esperti di sicurezza informatica e certamente non di esperti di criptovaluta. Si concentrano comprensibilmente su bilanci, processi legali e altre operazioni finanziarie.
Ma per i custodi delle criptovalute, questi T sono gli unici tipi di supervisione che contano, e nemmeno necessariamente i più importanti. Non esistono standard a livello di settore per la sicurezza informatica e le pratiche di gestione del rischio da parte dei custodi di criptovalute in particolare, il che significa che lo status di "custode qualificato"T è così rassicurante come potrebbe sembrare. Ciò espone non solo gli investitori ma un intero settore nascente a un rischio opaco con conseguenze potenzialmente disastrose.
L’approvazione di una serie di ETF Bitcoin è solo l’ultimo passo nella continua integrazione degli asset digitali nel sistema finanziario. T devi fidarti dei sostenitori delle criptovalute riguardo a questa previsione: basta chiedere a Blackrock, un gigante storico che ha sostenuto l'ETF. Man mano che questi sviluppi continuano, le autorità di regolamentazione veramente interessate alla protezione degli investitori si concentreranno sull’adattamento a questo nuovo mondo: ONE in cui rigorosi standard di sicurezza informatica sono altrettanto importanti per la stabilità finanziaria quanto le informazioni oneste e gli audit finanziari.
