Il fenomeno degli attacchi informatici nella “finanza decentralizzata”, o DeFi, è in netta crescita: il giro d’affari degli hacker collegato alla DeFi è infatti superiore del 50% rispetto a quanto sottratto nell’intero settore della blockchain per tutto il 2021.
Secondo la società di sicurezza blockchain PeckShield, nel 2022 i cybercriminali hanno rubato oltre 2,32 miliardi di dollari nel mondo grazie alla DeFi.
Le cause degli attacchi in DeFi
Con il termine De-Fi si indicano i servizi finanziari eseguiti su blockchain pubbliche, principalmente Ethereum. Per utilizzare le applicazioni DeFi non serve avere un conto di intermediazione o un documento di identità. Le app DeFi sono pubblicamente disponibili sulla blockchain e chiunque può utilizzarle senza il controllo svolto regolarmente dalle banche e dalle società di investimento.
Secondo DeFi Pulse, il valore totale di denaro bloccato (TVL – total value locked) in DeFi è di oltre 56 miliardi di dollari; tuttavia, la cifra sembra essere in forte calo rispetto al 2021, quando il TVL in DeFi ha raggiunto oltre 110 miliardi di dollari.
Negli ultimi anni, il settore delle criptovalute ha visto una forte crescita per via della presunta possibilità di avere grandi ritorni sugli investimenti, e per questo ha portato su di sé l’interesse di molti soggetti, tra cui attori malevoli. Questi ultimi sono interessati alle grandi quantità di denaro che si muovono in questo settore e sono agevolati dalla relativa facilità di trarre in inganno gli utenti meno esperti. Inoltre, la possibilità di essere difficilmente rintracciati dalle forze dell’ordine facilita l’operatività di questi attori.
Il settore delle criptovalute non è nuovo a questo tipo di dinamiche. Nel corso degli anni sono stati commessi numerosi crimini informatici che hanno coinvolto principalmente exchange centralizzati (CEX) ovvero piattaforme, possedute da società private, che permettono lo scambio di criptovalute e facilitano la negoziazione di asset tra gli utenti mantenendo un order book, un registro di ordini di acquisto e vendita inviati da singoli trader. Uno dei casi più eclatanti è stato quello che ha coinvolto l’exchange giapponese MT.Gox, considerato ad oggi uno dei più grandi hack della storia nel quale sono stati sottratti oltre 850 mila Bitcoin. Un altro attacco ad una piattaforma centralizzata ha coinvolto Bitfloor, con un furto di 24 mila Bitcoin che ha portato alla chiusura della piattaforma.
I rischi connessi alla DeFi sono molteplici. Spesso le criticità sono causate dai software e dalla complessità stessa dei meccanismi della finanza decentralizzata, le “fees” (tasse) sulle transazioni spesso non sono molto chiare per gli utenti meno esperti e, non da ultimo, il rischio finanziario è legato alla forte volatilità dei token sui quali si investe.
A causa delle fluttuazioni dei tassi sulle transazioni della blockchain Ethereum, le operazioni di trading possono diventare costose. A seconda di quali DApps (applicazioni decentralizzate) e in base a come vengono utilizzate, il proprio investimento potrebbe essere soggetto a elevata volatilità. Le DApp sono applicazioni simili alle app tradizionali, con la differenza fondamentale che al posto di appoggiarsi su server centralizzati sfruttano le piattaforme blockchain e il loro network distribuito.
Il nodo principale della finanza decentralizzata risiede nella caratteristica di essere regolata unicamente da “smart contracts”. Questi regolano il funzionamento delle applicazioni e dei progetti decentralizzati. Nel codice di ogni “smart contract” sono scritte le regole di funzionamento del singolo progetto. Una delle maggiori problematiche legate ai codici sorgente, con i quali i progetti DeFi sono scritti, risiede nell’imperfezione o incompletezza degli stessi.
Gli attaccanti riescono quindi spesso con facilità a compromettere suddetti progetti sfruttando le debolezze presenti nei codici, appropriandosi così delle risorse economiche che un progetto ha investito o reperito sul mercato. I problemi tecnici di questa “nuova finanza” hanno causato ingenti perdite a chi ha investito nel settore.
Per poter poi usufruire delle risorse sottratte, gli attaccanti utilizzano molto spesso sistemi per riciclare il denaro presente sulla blockchain. Vengono utilizzati servizi di “mixing”, come ad esempio tornado.cash, che fungono da vere e proprie “lavanderie” per riciclare il denaro rubato. Tali servizi rendono difficile comprendere i movimenti delle criptocurrency sulla blockchain, nonostante sia tutto registrato e visibile al pubblico. Il denaro sottratto è per la maggior parte dei casi irrecuperabile.
Le modalità di attacco e i furti più rilevanti
Nel corso degli anni, gli hacker hanno impiegato una varietà di tattiche e metodi diversi per le loro attività. Tra le modalità più utilizzate: honeypot, exit scam, exploit, access control e flash loan, come riportato dal database REKT. Sempre secondo il medesimo database, i protocolli DeFi hanno perso 4,75 miliardi di dollari in totale a causa di truffe, hack ed exploit. Su 4,75 miliardi di dollari persi, solo un miliardo è stato restituito, ovvero solo il 21% di tutti i fondi persi a causa di attacchi informatici è stato recuperato. Ad oggi, il database REKT ha ricevuto segnalazioni per un totale di 2.782 attacchi informatici.
Altri hack ad oggi rilevanti a cui fa riferimento Peckshield:
- Network Ronin: sono stati sottratti 620 milioni di dollari grazie all’utilizzo di chiavi private hackerate.
- Whormhole Bridge: furto da 320 milioni in cui l’hacker ha sfruttato un errore nel codice.
- Beanstalk: furto per 182 milioni a partire da un errore nel codice, grazie al quale l’hacker ha compromesso il sistema di voto dello “smart contract”.
- Wintermute: ha riportato una perdita di 160 milioni, a seguito di un errore relativo ad un indirizzo Ethereum utilizzato dal progetto.
- Elrond: sottrazione di 113 milioni sfruttando una vulnerabilità. Per compiere l’attacco è stato sviluppato uno “smart contract”.
- Qubit Finance: l’attaccante ha sottratto 80 milioni di dollari a partire da una vulnerabilità nel protocollo che gli ha consentito di eludere i controlli relativi al sistema di deposito.
- Caschio: un attacco definito “infinite mint glitch”, che ha permesso all’attaccante di sottrarre 48 milioni dal protocollo.
- Scream: grazie all’errore nel codice sorgente del progetto, gli attaccanti sono stati in grado di sottrarre 38 milioni di dollari.
Come si muovono l’FBI e l’UE
Nei primi cinque mesi del 2022, gli hack DeFi hanno causato perdite finanziarie per 1,4 miliardi di dollari. La crescente problematica connessa alle criticità nella sicurezza della DeFi, con conseguente aumento dei crimini informatici, hanno portato l’FBI a richiamare l’attenzione di potenziali investitori ed utenti sull’aumento dei crimini nel contesto DeFi. L’FBI ha intensificato l’attività dall’inizio del 2022, divenendo parte attiva nella lotta ai crimini informatici in questo settore, formando un’apposita unità: la Virtual Asset Exploitation Unit. Quest’ultima è nata con il compito di contrastare i crimini commessi che riguardano gli asset digitali, con un team specializzato in cryptocurrency e nell’analisi della blockchain.
Nel panorama europeo, la Commissione europea sta attualmente valutando la possibilità di apportare ampie modifiche alle leggi esistenti in materia di servizi finanziari per recepire i cambiamenti tecnologici derivanti dalla blockchain e dalla DLT (distributed ledger technology), tra cui:
- modifiche alla MiFID II (Markets in financial instruments directive – 2004/39/EC) per chiarire le circostanze in cui i cripto-asset si qualificano come “strumenti finanziari”;
- creazione di un regime per i token di titoli della tecnologia a libro mastro (DLT);
- l’istituzione di un nuovo regime su misura per i cripto-asset non coperti dalla normativa esistente (ad esempio le stablecoin, i token di pagamento e i token di utilità).
La proposta di regolamento MiCA (regolamento relativo ai mercati delle cripto-attività) prevede forti sanzioni, ad esempio, l’obbligo di rendere noto il proprio nome, la svalutazione dei profitti e multe amministrative fino al 15% del fatturato, in caso di violazione. Tuttavia, i vantaggi di un quadro armonizzato per l’accesso all’intero mercato dell’UE sono significativi ma ancora non sostanziali, soprattutto per quanto riguarda le tecnologie relative alla finanza decentralizzata (DeFi).
