Criptovalute, rapine miliardarie: ecco perché la sicurezza è un grosso problema

Il 2022 è iniziato con la più grande rapina mai vista di criptovalute.

Il portale di Ronin incentrato sui giochi, che permette il collegamento con blockchain, è stato di fatto rapinato per un importo vicino ai 600 milioni di dollari. Gli stessi proprietari della piattaforma si sono accorti di una falla nel sistema che ha permesso una compromissione dei nodi di Sky Mavis e di Axie avvenuta il 23 marzo 2022.

Più recente è la rapina per quasi 190 milioni di dollari alla Dao (organizzazione decentralizzata) Beanstalk, dove i criminali hanno sfruttato non una vulnerabilità software ma una debolezza nel sistema di funzionamento (un loophole).

La forza di queste realtà, ossia la loro decentralizzazione e l’assenza di organismi o garanzie centrali di controllo, diventa una loro vulnerabilità che i criminali ora riescono a sfruttare per fare sempre più soldi.

La rapina a Ronin

Sky Mavis è il famoso sviluppatore vietnamita di Axie Infinity, un gioco online basato e fondato su tecnologia blockchain (su Token non fungibile NFT), fondata sull’utilizzo di criptovalute.

Truffe nel trading online, basta un clic per bruciare i risparmi

I players, di fatto, raccolgono o coniano NFT, rappresentati sotto forma di salamandra (Axies). E come per il più famoso Pokemon, questi animali devono essere allevati e allenati per farli combattere tra di loro all’interno del gioco.

Lo sviluppatore per ogni scambio commerciale all’interno del gioco, intendendo principalmente la compravendita di piccole salamandre, riceve una commissione del 4,25%.

Ebbene l’hacker è riuscito, attraverso una o più chiavi private crackate, a sottrarre denaro in criptovaluta attraverso veri e propri prelievi forzosi. Ovviamente, per garantire la sicurezza, lo sviluppatore ha inteso da una parte recuperare le somme rintracciate (Tutti gli AXS, RON e SLP) e rimborsare i fondi drenati non rintracciati.

Gli inquirenti hanno potuto subito verificare come il rapinatore abbia fin dai primi istanti iniziato a mescolare le acque disperdendo le somme trafugate in scambi centralizzati e decentralizzati.

La questione di base è semplice. Le nuove criptovalute, green oriented, permettono scambi e creazioni veloci, a discapito della sicurezza dei nodi. Il problema energetico e la crescente corsa del costo dell’energia non favoriscono investimenti sulle criptovalute tradizionali energivore e la reputazione delle più snelle proof-of-stake, basate su costi di mining ridotti all’osso, o comunque sensibilmente più bassi: il sistema prevede diversi metodi per evitare la competizione tra miners, favorendo di fatto la collaborazione “interessata”, in quanto ogni soggetto validatore della catena pone quale cauzione una sua quota di criptovaluta.^[1]

Il caso Beanstalk

Ad aprile un criminale ha preso possesso di Beanstalk e l’ha svuotato di 182 milioni di dollari di beni digitali.

L’hacking ha spazzato via tutto l’ether detenuto dal fondo. Il valore della relativa stablecoin, chiamata Bean, è crollato a 10 centesimi da 1 dollaro che era, secondo la società di dati CoinGecko. Più recentemente è stato scambiato a 6 centesimi. Il protocollo Beanstalk usa quello che viene chiamato un DAO, o organizzazione autonoma decentralizzata. Gli utenti possono dedicare, o “stake“, fondi al progetto e questo dà loro una facoltà di nella governance del protocollo.

Secondo la società di blockchain-analytics Elliptic, l’hacker ha preso in prestito circa 1 miliardo di dollari di diverse stablecoin, utilizzando un tipo di prestito a brevissimo termine chiamato flashloan, e poi lo ha aggiunto ai fondi di Beanstalk. Tutto ciò per ottenere uno schiacciante potere di voto.

L’hacker l’ha utilizzato per donare soldi all’Ucraina e per approvare la sua stessa idea. La proposta, tuttavia, includeva un codice che invece inviava tutti i fondi bloccati nel protocollo Beanstalk ad un portafoglio controllato dall’hacker, secondo Elliptic.

Una volta rubati i fondi, ha ripagato il prestito e intascato la differenza. Ha rubato soldi apparentemente seguendo le regole del protocollo.

Il rischio riciclaggio nelle transazioni

Gli esperti concordano che questi furti diventeranno sempre più comuni man mano che cresce il valore investito in cripto e se continueranno a essere universi decentralizzati e svincolati da forti normative.

I numeri sulle criptovalute sono sempre in crescita e molto spesso sono sottodimensionati rispetto alla realtà: oggi si pensa che il mercato valutario elettronico abbia superato i 2 trilioni di dollari.

Ebbene, seppur potrebbe essere il mercato virtuale più imponente al mondo, l’universo delle monete elettroniche è ancora quasi del tutto svincolato da una normativa organica.

La paura è che le limitazioni possano in qualche modo frenare la spinta innovativa del sistema. Allo stesso tempo le attività criminali come il traffico di droga, il riciclaggio del denaro sporco e addirittura il traffico di organi umani utilizzano sempre più spesso il mercato crypto per evitare i controlli tradizionali e per nascondersi dietro l’anonimato. Chiaramente non attraverso spostamenti rilevanti di denaro, ma come mezzo di differenziazione dell’investimento: attraverso un semplice versamento all’interno del wallet digitale è possibile certamente generare una piccola lavanderia senza muoversi dalla propria postazione.

Inoltre, le stable coin, parametrate alle monete tradizionali, scambiate con il sistema crypto-to-crypto, concedono ad ogni utente la possibilità di valicare il sistema bancario, dando un canale privilegiato al riciclaggio e all’evasione fiscale.

A ciò si aggiunga come le stablecoin spesso sono di proprietà di piattaforme per le criptovalute, dando vita a un potenziale conflitto di interessi e problemi di integrità del mercato che avrebbero bisogno di maggiore sorveglianza.

Il rischio frode: piccoli investitori in pericolo

Tra schema Ponzi, scam finanziario, scambi in piattaforme dai costi provvigionali esagerati e incompetenza funzionale informatica legata ai malware e al phishing, gli utenti rappresentano il mare migliore da cui pescare e recuperare denaro per i truffatori online. Tra tutte le tipologie di truffe si sta facendo spazio il download di applicazioni fake, le cui basi si trovano in paesi conniventi, per l’acquisto di false criptovalute.

La misura appare colma e il mercato, così come impostato, risulta ora troppo esposto per non essere regolato dalle istituzioni civili.

Nft e crypto, le nuove truffe piramidali: non facciamoci ingannare dai “volti noti”

Le possibili soluzioni

In merito alla sicurezza non sembra possibile attualmente ipotizzare l’abbandono del sistema POS – Proof of Stake, in quanto gli investimenti e la leggerezza consente applicazioni più immediate nel metaverso. Ad ogni modo l’hacking del mese di marzo 2022 nel sistema Axie Infinity ne ha minato di molto la credibilità. La spinta green potrebbe però arrivare dalle modifiche degli approvvigionamenti energetici.

L’università di Cambridge ha stimato come la quota rinnovabile di energia impiegata nell’attività di mining delle criptovalute tradizionali fosse pari al 39%. La percentuale si divideva in idroelettrico per il 62%, eolico 17% e solare 15% (altre fonti il rimanente 6%).

Ma pare davvero che ciò non sia sufficiente per diminuire il dispendio energetico: forse con la transizione accelerata anche dai venti di guerra si potrà trovare un giusto equilibrio tra sicurezza del POW e dispendio energetico. Sulle ipotesi di sviluppo non possiamo però celare la variabile della maggiore “democraticità” del sistema POS.

Sotto altro punto di vista le soluzioni proposte per combattere il riciclaggio appaiono oggi del tutto inefficaci. Da una parte l’obbligo di conservazione dei dati e informazioni da parte delle società di Criptovalute richiesto dalla Commissione Europea sugli utenti che compiono le transazioni non troverebbe il favore degli utenti che generano mercato anche dietro l’anonimato e che frenerebbe la spinta innovativa.

Anche l’ipotesi di una soglia minima alle transazioni, per garantire la flessibilità degli strumenti finanziari, non può essere oggi un’ipotesi percorribile: le somme coinvolte nei passaggi illegali sono sempre minime per evitare di “dare nell’occhio”. Ad ogni modo la raccolta dei dati e la condivisione dei vari stakholders certamente consentirebbe un maggiore controllo. Forse la diffusione di strumenti di identità digitale potrebbe essere la soluzione del problema. Ma come sempre si troverà il modo di evitare il controllo attraverso l’utilizzo di figurhead digitali, come ha insegnato l’esperienza del green pass europeo.

Riguardo la tutela dei più deboli in verità ogni strumento risulterà vano senza la consapevolezza da parte del consumatore sull’utilizzo di tali strumenti e sui connessi pericoli e senza una sua reale tutela in termini riparatori e di giustizia.

Conclusioni

Ogni intervento spot, senza prospettive organiche e mondiali non darà mai i risultati attesi. La soluzione in un mercato virtualizzato e privo di confini non potrà che essere una cessione di sovranità nazionale che possa prevedere l’istituzione di organismi superiori regolatori e giurisdizionali. Ma la guerra in Ucraina ci insegna che la “difesa comune” rimanga sempre un’utopia di difficile realizzazione. Senza una difesa comune, in ambito finanziario virtuale, saremo soggetti ad attacchi sempre più diffusi e lontani ai quali potremo contrapporre solo armi spuntate.

Allo stesso tempo, la lunga attesa sta creando gli anticorpi in seno alle grandi società, che, munite di grande capitalizzazione, opporranno sempre maggiore resistenza a un sistema di regole universale.

Note

1. (per maggiori info: https://www.blockchain4innovation.it/esperti/proof-of-stake-cose-perche-sta-soppiantando-il-proof-of-work/). ↑