La crescente popolarità delle piattaforme di criptovalute ha attratto l’interesse di diversi gruppi hacker che, violando i sistemi di sicurezza, rubano centinaia di milioni di dollari e token digitali degli investitori, provocando gravi danni reputazionali. Per far fronte ad una pratica sempre più comune, le piattaforme finanziarie hanno iniziato a definire le diverse soluzioni che si possono prospettare a seguito di questi attacchi informatici.
Criptovalute, rapine miliardarie: ecco perché la sicurezza è un grosso problema
XCarnival e le altre: restituzione parziale in cambio di ricompensa
Se da un lato l’unica opzione dovrebbe essere quella di rivolgersi alle autorità competenti, evitando di pagare le richieste di riscatto, dall’altro alcune società hanno iniziato a negoziare direttamente con i cyber criminali, avviando per la prima volta un dialogo. Alcune aziende stanno proponendo agli hacker un’offerta in denaro in cambio della restituzione dell’intera somma rubata oppure consentono ai “ladri” di tenere alcuni token in cambio della restituzione del resto. La speranza è che la possibilità di tenere una fetta del furto sia maggiormente allettante per gli hacker rispetto alla minaccia di essere perseguiti per vie legali.
Il 26 giugno, XCarnival, una piattaforma basata sulla blockchain di Ethereum che funge da aggregatore di prestiti per NFT (token non fungibili), ha affermato di aver subito un attacco hacker ai suoi sistemi. Successivamente, la compagnia ha dichiarato che l’autore dell’attacco ha accettato di restituire parte dei fondi rubati dietro il pagamento di una ricompensa da 1,85 milioni di dollari.
Malgrado le imprese colpite possano proporre trattative apparentemente vantaggiose, i pirati informatici potrebbero avere maggiore interesse a ignorarle. Infatti, il denaro sottratto risulta visibile attraverso le blockchain e quindi tracciabile. Di conseguenza, gli hacker, non appena eseguito l’attacco, hanno imminente necessità a riciclare la somma rubata. Uno degli strumenti maggiormente impiegati per questo fine sono i mixer, servizi che permettono di amalgamare insieme conti di utenti differenti. Per questa ragione, gli attori malevoli potrebbero non prendere in considerazione le proposte delle aziende, tenendo con sé l’intera somma derubata.
Il ritorno degli White Hat Hacker e dei bug bounty
Di fronte a questo potenziale scenario, risultano di primaria importanza le azioni per il rafforzamento della sicurezza. Un metodo per prevenire gli attacchi consiste nell’assoldare i cosiddetti white hat hacker, ovvero hacker che lavorano nelle aziende per individuare le falle di sicurezza in cambio di una ricompensa nota come bug bounty.
Negli ultimi anni, a fronte dell’impennata delle operazioni hacker in vari settori, vari specialisti hanno messo a disposizione le proprie conoscenze per aiutare le imprese ad arginare gli effetti degli attacchi. Alcuni di essi offrono i propri servizi conducendo delle vere e proprie intrusioni simili a quelle dei pirati informatici. Ciò nonostante, queste attività sono state in gran parte limitate dalla legislazione esistente, in particolare dal Computer Fraud and Abuse Act (CFAA), una norma emanata negli Stati Uniti nel 1986, la quale vieta qualsiasi accesso non autorizzato ad un dispositivo. Questa legge ha ricevuto numerose critiche dal momento che la sua applicazione permetterebbe una repressione estremamente severa di ogni intromissione, senza che venga attuata una distinzione tra quelle operate dagli hacker e quelle dei collaboratori delle imprese.
Nel maggio 2022, il Dipartimento di Giustizia ha annunciato un cambiamento nella sua politica di denuncia degli hacker ai sensi del CFAA. L’agenzia federale ha infatti dichiarato che non incriminerà più coloro che sono coinvolti in “ricerche di sicurezza in buona fede”. Questo cambiamento potrebbe spingere varie compagnie a rivolgersi a questi esperti.
Un esempio in tal senso è offerto da Microsoft, che sulla propria pagina ha avviato il “Bug Bounty Program”, offrendo fino a 60.000 dollari per segnalazioni di vulnerabilità sulla piattaforma cloud Azure e 20.000 dollari per avvertimenti sulla piattaforma di gioco online Xbox Live.
Allo stesso tempo, in caso di attacco, le società potrebbero ugualmente trattare con gli aggressori promettendo loro di non denunciare l’accaduto alle autorità e offrendogli la possibilità di collaborare in qualità di white hat hacker.
I casi Nomad e Poly Network
Ad inizio agosto, la start-up di criptovalute Nomad ha offerto una ricompensa per il recupero di 190 milioni di dollari rubati a seguito di un attacco. Nomad funziona come un ponte tra blockchain e consente agli utenti di spostare le risorse da una criptovaluta all’altra, ad esempio da Bitcoin a Ethereum. Ciò rende la piattaforma vulnerabile su ciò che è definito ” both sides”, ossia i punti deboli presenti su entrambe le blockchain. L’annuncio, effettuato su Twitter, includeva in allegato l’indirizzo del portafogli della società e si rivolgeva ai cybercriminali, proponendo loro di collaborare come segnalatori di criticità.
La società di analisi blockchain Elliptic Connect ha affermato che la violazione di Nomad è stato il settimo incidente importante che ha coinvolto un ponte cripto nel 2022 e l’ottavo più grande furto di crittografia di tutti i tempi.
L’attacco subito da Nomad è conosciuto come un “free-for-all” perché il codice dell’hacker ha permesso a chiunque di copiarlo, aprendo le porte a chi avesse la possibilità unirsi e prelevare fondi. Elliptic Connect ha affermato di aver identificato più di 40 intrusi che hanno sfruttato il codice, incluso un hacker che ha accumulato poco meno di 42 milioni di dollari automatizzando il processo di prelievo di denaro.
Nomad non è la prima azienda di criptovalute a interagire direttamente con gli hacker. Ad agosto 2021, la piattaforma Poly Network è stata bersaglio di un grave attacco in cui sono stati rubati più di 600 milioni di dollari in token. L’attore malevolo aveva sfruttato una vulnerabilità nel codice di rete dell’azienda che consentiva agli utenti di trasferire fondi sui propri conti: l’hacker ha aperto quindi un dialogo con il personale della piattaforma e alla fine ha restituito il denaro sottratto. La società ha rilasciato una dichiarazione in cui chiamava l’hacker “Mr. White Hat”. Poly Network ha altresì affermato di aver offerto 500.000 dollari all’attaccante e di avergli proposto di diventare il “Chief Security Advisor” della piattaforma.
Conclusioni
Qualora questa pratica diventasse comune, potrebbe suscitare preoccupazioni da parte degli hacker “etici”, poiché, nel caso in cui le imprese scendano regolarmente a patti con i criminali informatici, o black hat hacker, le attività degli attori malevoli sarebbero indistinguibili da quelle dei soggetti con finalità legittime.
Per quanto riguarda le aziende colpite, la collaborazione con i gruppi hacker potrebbe scoraggiare la denuncia di eventuali attacchi e la cooperazione con le forze dell’ordine, rendendo ancora più difficile la mappatura degli hacking. Il rischio riguarda anche quello di fornire risorse economiche a gruppi hacker legati a Paesi oggetto di sanzioni internazionali.
