Ambito: Questa analisi è esclusivamente una lettura tecnica e di rischio basata su ciò che è visibile in CertiK Skynet per il progetto Vanar Chain (pagina: Vanar Chain – CertiK Skynet Project Insight).
Non è un'auditoría formale, non è raccomandazione di investimento e non inferisce cose che non siano supportate da evidenza pubblica in Skynet.
---
0) Metodologia (controllata)
Fonte unica: CertiK Skynet (pannello del progetto).
Obiettivo: identificare segnali tecnici verificabili, limiti di evidenza e rischi residui plausibili dalla prospettiva della ciber sicurezza e due diligence.
In ogni punto marco:
- Fatto verificato: appare esplicitamente in Skynet
- Inferenza ragionevole: conseguenza logica limitata da quanto visibile
- Senza evidenza pubblica (in Skynet): non si può affermare
---
1) Snapshot di evidenza (ciò che Skynet conferma)
Identità dell'asset osservato (Fatto verificato)
- Progetto: Vanar Chain
- Token/contratto mostrato (Ethereum): 0x8de5b80a0c1b02fe4976851d030b36122dbb8624
- Deployer (Ethereum): 0x6CAF72f26231B7c240794184723B4a199FaB21A9
Punteggi Skynet (Fatto verificato)
- Punteggio Skynet: 81.73 (A)
- Sotto-punteggi:
- Sicurezza del Codice: 65.71
- Operativo: 82.85
- Governance: 84.11
- Fondamentale: 71.10
- Mercato: 92.90
- Community: 98.00
Lettura tecnica: “A” generale può coesistere con aree specifiche deboli; qui la Sicurezza del Codice è il punteggio secondario più basso del set mostrato.
---
2) Evidenza di audit e verifiche (governance e controllo umano)
Audit (Fatto verificato)
- Audit CertiK: No
- audit di terze parti: Sì
- Auditor elencato: Beosin
- Data di pubblicazione (Skynet): 01/09/2025
- Audit totali disponibili: 1
Inferenza ragionevole: esiste almeno un rapporto pubblico accessibile da Skynet (anche se il contenuto/l'ambito del PDF non viene valutato qui).
KYC / Verifica del team (Fatto verificato)
- CertiK KYC: No
- KYC di terze parti: No
- Stato: Non Verificato da CertiK
Bug bounty (Fatto verificato)
- CertiK Bounty: No
- bounty di terze parti: No
Implicazione tecnica diretta (inferita): non c'è segnale pubblico in Skynet di un canale economico formalizzato di “continuous security testing” tramite bounty.
---
3) Token Scan (rischio a livello token/contratto mostrato)
Punteggio Token Scan (Fatto verificato)
- Punteggio Token Scan: 67.74
Concentrazione di detentori (Fatto verificato)
- Rapporto Top 10 Holders: 41%
Inferenza ragionevole: una concentrazione del 41% nei top10 è un vettore rilevante per:
- shock di liquidità per movimenti coordinati
- cambiamenti bruschi nella distribuzione dell'offerta
- dipendenza da grandi attori
Segnali di centralizzazione (Fatto verificato, ma con limitazione)
Skynet mostra categorie di controlli come:
- Mintable, Proprietario Nascosto, Contratto Proxy, Tassa Modificabile, Blacklist/Whitelist, Trasferimento Pausabile, Può Modificare il Saldo, Proprietà Non Rinunciata, ecc.
Senza evidenza pubblica (nel visibile):
Il pannello elenca i controlli, ma non espone qui quali sono contrassegnati come “true/false” in dettaglio (questo solitamente è in “View Findings / Full Scan”).
Per disciplina: non affermo che Vanar abbia nessuno di questi flag attivi senza vedere il dettaglio.
---
4) Rischio di custodia e dipendenza dagli exchange (struttura di mercato osservabile)
Analisi Holding CEX (Fatto verificato)
Skynet mostra:
- Scoperta Wallet: 15 exchange
- Market cap detenuto in CEX: $11.39M
- % Market cap detenuto: 53.73%
- “Top exchange per detenzione”:
- Binance: $9.69M (45.79%)
- Bybit: $927K (4.30%)
- Bitget: $291K (1.35%)
- Altri (Crypto.com, Indodax, Kucoin, CoinDCX, Ascendex, ecc.)
Inferenza ragionevole (tecnica, non narrativa):
- C'è una dipendenza strutturale da infrastruttura CEX per custodia/liquidità.
- Questo introduce rischio al di fuori del controllo del protocollo:
- congelamenti / compliance / incidenti CEX
- concentrazioni di flusso e price discovery
- correlazione di rischio operativo estranea allo stack chain
---
5) Salute operativa e “postura di osservabilità” da Skynet
Storia degli incidenti (Fatto verificato)
- “Nessun incidente di sicurezza negli ultimi 90 giorni.”
Limitazione tecnica (Fatto verificato): è una finestra “ultimi 90 giorni”, non una garanzia storica completa.
Monitor (Fatto verificato)
Skynet mostra Skynet Active Monitor, ma:
- Sito web: Non Attivato
- Repository di Codice: Non Attivato
- Smart Contract: Non Attivato
- Social Media: (monitor esiste, ma lo stato visibile indica non attivazione a livello di monitor del progetto)
Inferenza ragionevole: il monitoraggio in Skynet non è configurato come controllo operativo continuo da questa vista.
---
6) Scansione Sito Web (infra/app/DNS) — cosa si può e non si può concludere
Skynet lista:
- Sicurezza di Rete: “0 Attentions”
- Sicurezza dell'App: “0 Attentions”
- Salute DNS: “0 Attentions”
Vengono mostrati anche checklist tipici (es. HSTS, CSP, X-Frame-Options, SPF/DMARC/DKIM, SSH weak cipher, ecc.)
Fatto verificato: il pannello riporta “0 attentions” per categoria.
Senza evidenza pubblica: non viene esposto qui il dettaglio tecnico verificabile (host esatti, porte, risultati raw, timestamp di scansione).
Inferenza ragionevole: è una scansione point-in-time; non sostituisce la revisione dell'infrastruttura/CI/CD.
---
7) Metriche di maturità e uso (segnali di adozione operativa)
Maturità del progetto (Fatto verificato)
- Indicatore di maturità: Medio / Abbastanza sviluppato
- Età del Progetto: 5 anni 2 mesi
- Data di lancio del token: 2 anni 2 mesi
- Market Cap (mostrato): ~$20M (Skynet lista 20M)
Attività (Fatto verificato)
- Utenti Attivi (7d): 246
- Transazioni (7d): 1,997
- Token Trasferito (7d): $10.66M
- Fuso orario più attivo: GMT+6 & GMT+7 (mostra: Maldive, Pakistan, Kazakhstan)
Inferenza ragionevole: attività non triviale ma ancora moderata in utenti; trasferimenti 7d relativamente alti rispetto agli utenti (possibile concentrazione di flussi).
---
8) Limiti di fiducia (cosa Skynet NON permette di verificare qui)
Con evidenza unicamente di questa vista, rimangono fuori:
1) Architettura formale del protocollo (L1/L2/app/DA)
- Senza evidenza pubblica (vista Skynet): descrizione tecnica completa del stack e del suo livello esatto.
2) Repositori ufficiali / commit / rilasci
- Senza evidenza pubblica nel pannello visibile: link a GitHub, percorsi, tag, CI.
3) Modello di governance reale
- multisig, chiavi, timelocks, autorità di aggiornamento: non verificabile qui.
4) Stato reale di flag critici del token
- proxy, mintable, blacklist, pausabilità, proprietà: richiede di aprire “findings”.
5) Garanzie quantitative / invarianti
- sicurezza/vita, limiti operativi, condizioni di fallimento: non appaiono.
---
9) Rischio residuo (integrato SOLO con quanto verificabile)
Senza severità e senza mitigazioni; solo persistenza logica:
R1) Rischio residuo per evidenza incompleta di “Sicurezza del Codice”
- Fatto verificato: Sicurezza del Codice 65.71 (punteggio secondario più basso).
- Implicazione: superficie di incertezza tecnica nell'implementazione (non confermabile da questo pannello).
R2) Rischio residuo per concentrazione di detentori
- Fatto verificato: rapporto Top10 holders 41%.
- Implicazione: dipendenza dal comportamento di grandi detentori (rischio sistemico di liquidità/distribuzione).
R3) Rischio residuo per dipendenza di custodia CEX
- Fatto verificato: 53.73% di market cap detenuto in exchange identificati.
- Implicazione: rischi al di fuori del controllo del protocollo (operazione CEX, compliance, incidenti).
R4) Rischio residuo per assenza pubblica di KYC/bounty (secondo Skynet)
- Fatto verificato: senza CertiK KYC e senza bounty elencati.
- Implicazione: minore “segnale operativo” di incentivi e accountability continua (questo NON prova insicurezza, solo limita evidenza).
R5) Rischio residuo per monitoraggio non attivato
- Fatto verificato: monitor “Non Attivato” in Sito Web/Repo/Contratto.
- Implicazione: minore tracciabilità operativa automatizzata dal stack Skynet.
---
10) Domande di verifica (per indagine tecnica reale, non per hype)
Se stai facendo una seria due diligence, queste sono le domande che Skynet lascia aperte:
1) Dove si trova il repo ufficiale e qual è il pipeline di rilasci/CI?
2) Il contratto è proxy/upgradable e chi controlla gli aggiornamenti?
3) Esistono meccanismi on-chain di pausa/blacklist/mint e sono abilitati?
4) Qual è il modello di sicurezza formale (invarianti, limiti, assunzioni)?
5) Quali componenti critici dipendono da infrastrutture esterne (RPC, indexers, servizi)?
---
11) Dibattito tecnico (scegli un'opzione)
A) “Il principale rischio qui è concentrazione e struttura CEX, più che bug.”
B) “Il principale rischio è mancanza di evidenza primaria di codice/architettura in questa vista.”
C) “Il principale rischio è governance (controlli umani non verificabili da Skynet).”
D) “Con questa evidenza, ancora non si può dare priorità a nulla con rigore.”
Rispondi con A/B/C/D e continuo con il successivo blocco che tu indichi, mantenendo lo stesso standard “audit-ready”.
