Read this article in the English version here.
Le cronache sulla criptovalute sono costellate di casi di hacking o di furti negli exchange. Si possono ricordare facilmente alcuni casi recenti, quali Coincheck, Bitgrail e Bithumb.
Più in generale, se scorriamo gli ultimi anni troviamo casi clamorosi che hanno fatto la storia economica del settore, come MtGox e Bitstamp.
Gli exchange, soprattutto quelli centralizzati, rimangono un punto debole nel sistema delle valute virtuali, con abili ladri informatici in grado di sfruttare alcune fragilità, come se fossero banche con casseforti difettose o lasciate aperte.
Il che è molto grave in un sistema che conta ormai oltre 1600 criptovalute quotate per un valore di centinaia di miliardi di dollari.
Ma quali sono i punti deboli degli exchange? Una ricerca di Spirent Communication indica i principali:
- Credenziali di sicurezza compromesse: qualsiasi sistema ha degli operatori umani, quali amministratori, addetti al servizio clienti, tecnici, etc. Tutte queste persone accedono tramite le proprie credenziali personali. Così la via più semplice per un hacker è riuscire ad avere queste chiavi elettroniche che poi permettono di accedere facilmente anche ai fondi dei clienti.
- Vulnerabilità del codice delle criptovalute: un codice può avere degli errori di codifica che possono essere utilizzati dagli hacker per svuotare i fondi depositati negli exchange. Questo tipo di trucco è stato utilizzato nel caso del DAO di Ethereum nel 2016 o più recentemente Bitgrail ha accusato, senza riuscire a provarlo, Nano di avere dei problemi di coding.
- Test Account: quando si programma un exchange è normale che lo sviluppatore crei dei profili test per valutare il comportamento del sistema informatico nel suo complesso. Quando termina il periodo di test questi account rimangono incustoditi e possono essere un grimaldello per un hacker. La pratica professionale richiede che questi account siano cancellati al termine del periodo di beta testing.
- Mancanza di gerarchia interna: una buona pratica, non sempre seguita richiederebbe una gerarchia nelle credenziali di accesso che tenga conto delle attività dei singoli operatori. Credenziali troppo ampie sono porte aperte per gli hacker.
- Corretta pratica di sicurezza, quale la manutenzione periodica degli account e della loro accessibilità permette di mantenere un ambiente protetto.
- Malleabilità transazionale (Transaction Malleability): il punto di sicurezza della blockchain è il fatto che le transazioni, una volta registrate, sono immutabili. Se riesco ad infiltrarmi nel processo di registrazione posso però corrompere le transazioni stesse rendendole “Malleabili”. Questo è il caso di MtGox, dove gli hacker scoprirono che potevano cambiare la User ID prima che una transazione fosse chiusa.
- Wallet: gli exchange utilizzano degli hot wallet, cioè wallet attivi, dove gli utenti depositano i propri token prima delle transazioni. Se non vengono utilizzate le dovute sicurezze, come sistemi multisig, che richiedono più chiavi, questi possono essere dei punti di debolezza. Il caso più eclatante è stato quello di Coincheck, che non aveva attivato un wallet multisig per Nem.
Insomma, occorre stare attenti. Gli exchange ibridi o decentralizzati potrebbero risolvere il problema hacking.