Hackerato Bancor, freeze dei fondi
Sicurezza

Hackerato Bancor, freeze dei fondi

By Aneta Karbowiak - 10 Lug 2018

Chevron down

Read this article in the English version here.

L’exchange Bancor resta congelato. E monta la protesta degli utenti.

E pensare che alcuni giorni fa aveva fatto rumore la presa di posizione di  Vitalik Buterin: “Vorrei che tutti gli exchange centralizzati bruciassero all’inferno”. Il creatore di Ethereum aveva anche proposto i DEX come l’alternativa migliore. Poche ore dopo, però, proprio un exchange decentralizzato ha subito un attacco hacker.

Bancor BNT

Ieri mattina, infatti, Bancor ha annunciato su Twitter che il sito sarebbe stato in manutenzione, salvo aggiungere poi una notizia sull’attacco hacker:

“Questa mattina (CEST) Bancor ha subito una violazione della sicurezza. Nessun portafoglio utente è stato compromesso. Per completare l’indagine, siamo passati alla manutenzione e pubblicheremo a breve un rapporto più dettagliato. Non vediamo l’ora di tornare online il prima possibile.”

Nel giro di poche ore, il prezzo del token BNT è sceso del 20%. Il prezzo oscillava intorno ai massimi mensili di 3.24$, ma la notizia l’ha fatto crollare a 2.51$.

Gli utenti di social media hanno cominciato a postare gli indirizzi degli account sui quali sono stati depositati i fondi rubati da Bancor. Risulta che gli hacker sono riusciti ad appropriarsi di più di 25 mila ETH, 2.5 milioni di BNT.

Bancor ha poi pubblicato un comunicato ufficiale nel quale ha confermato l’attacco. L’hacker è riuscito ad entrare nel portafoglio dedicato all’upgrade di alcuni smart contract.

“Un portafoglio utilizzato per aggiornare alcuni smart contract è stato compromesso. Questo portafoglio compromesso è stato quindi utilizzato per prelevare ETH dallo smart contract BNT nella quantità di 24.984 ETH (~ $ 12,5 milioni). Lo stesso portafoglio ha rubato anche:

229,356,645 NPXS (~ $ 1M) e 3.200.000 BNT (~ $ 10 milioni)”

Ma ciò che ha creato polemica non è stato tanto l’attacco hacker in sé quanto il fatto che Bancor ha annunciato il congelamento dei token BNT rubati.

“Una volta identificato il furto, siamo stati in grado di congelare i BNT rubati, limitando il danno all’ecosistema di Bancor dal furto.”

La possibilità di congelare token è stata incorporata nel protocollo Bancor per essere utilizzata in una situazione estrema come quella accaduta ieri. Questa funzione permette all’azienda di “riprendersi da una falla di sicurezza, consentendo a Bancor di fermare efficacemente il ladro dalla fuga con i token rubati.”

Non è stato possibile congelare ethereum e i token NPXT, ma è stata stabilita una comunicazione con altri exchange di criptovalute per tracciare i fondi e rendere  il prelievo dagli hacker più difficile.

È stato però reiterato più volte sui vari social media che i fondi degli utenti sono al sicuro e che non sono stati compromessi dall’attacco.

L’accusa contro il DEX

I personaggi influenti del settore hanno accusato Bancor di non essere un exchange decentralizzato, considerando la sua abilità di esercitare un potere centrale che si è espresso nel congelare i token.

Il creatore di DogeCoin ha scritto: “La cosa fondamentale qui non è l’hack stesso: è il fatto che il team Bancor abbia avuto la possibilità di congelare i fondi. Quante altre DApp “decentralizzate” hanno un kill switch incorporato controllato centralmente?”


Palmer aggiunge che anche Kyber Network, un altro exchange decentralizzato, ha incorporato una funzione che permette di stoppare il network


Charlee Lee di Litecoin ha scritto: “Un portafoglio Bancor è stato violato e quel portafoglio ha la capacità di rubare token dai propri smart contract. Un exchange non è decentralizzato se può perdere i fondi dei clienti o se può congelare i fondi dei clienti. Bancor può fare ENTRAMBI. È un falso senso di decentralizzazione.”

La difesa di Bancor BNT

Bancor si difende dicendo che la possibilità di bloccare i token per recuperare da una violazione della sicurezza è sempre stata pubblica e viene abilitata soltanto in casi estremi come quello di un attacco hacker e che delle precauzioni sono state prese già l’anno scorso quando Yudi Levi, CTO di Bancor, ha deciso di trarre delle conclusioni dall’attacco alla DAO e implementare delle norme di sicurezza aggiuntive per prevenire questo tipo di attacchi.

Omri Cohen del team di Bancor ha detto ieri su Telegram: “BNT è ancora gestito dalla Fondazione Bancor. Rilasciare un nuovo standard di token su una blockchain che non supporta smart contract aggiornabili è incredibilmente pericoloso senza un certo livello di controllo. Abbiamo appreso i pericoli di ciò che è successo nell’hack DAO. La piena decentralizzazione è lo scopo, non l’inizio.”

Nate Hindman, capo delle comunicazioni, ha detto a Cointelegraph che gli hacker diventano sempre “più maturi e sofisticati insieme all’industria e ai progetti”, ma che la collaborazione tra gli exchange di criptovalute potrebbe eradicare il problema dei cybercriminali: “Insieme ci impegniamo a creare strumenti migliori che impediscano ai ladri di commettere reati e utilizzare fondi rubati e migliori processi per analizzare situazioni e informare gli utenti e le parti interessate quando si verificano”.

La capacità di Bancor di congelare i token per recuperare da una violazione della sicurezza è sempre stata pubblica. Non è nulla di nuovo o segreto.

L’ecosistema è ancora in fase beta e finché non è completamente testato e stabile, è una buona pratica mantenere i contratti intelligenti aggiornabili in caso di bug critici e dotati di un interruttore di sicurezza in caso di attacchi.

Il contratto smart di Bancor si aggiorna automaticamente in due anni (3 da luanch) allo stato immutabile.

Altri token che includono la funzione di freeze sono EOS, Tron, OmiseGo, Augur, Icon, Aelf, Qash, Enigma and Maker.

Il mondo delle criptovalute attua sempre più spesso queste tecniche di freeze per avere la possibilità di limitare i danni creati dagli hacker e le opinione sulla legittimità di tali backdoor sono divise.

Considerando, però, il numero crescente di team che scelgono questa opzione, questo tipo di protezione degli utenti potrebbe diventare una pratica abbastanza comune nel mondo blockchain.

“Dal momento che non esiste una governance decentralizzata efficace, ANCORA, il modo più intelligente per lanciare qualsiasi cosa decentralizzata, è essere sulla strada del decentramento, con un apprezzamento per le carenze di oggi.”

 

Aneta Karbowiak
Aneta Karbowiak

Laureata in Biologia all'Università degli Studi di Genova, si è presto interessata allo sviluppo delle applicazioni mobili e dei chat bot. È entrata nel mondo dell'editoria come manager di un sito di sport inglese dove ha gestito un team di dieci persone. Appassionata della tecnologia blockchain e delle criptovalute, ha cominciato a scrivere per Qubithacker.

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.