È la pietra angolare della rivoluzione blockchain: è a prova di bomba, anzi a prova di ladro digitale. E invece, secondo alcune ricerche raccolte dal Mit di Boston, aumenta il numero dei “buchi di sicurezza” nelle crittovalute e negli smart contract. Alcuni sono problemi secondari ma altri toccano direttamente il cuore delle tecnologie con le quali sono stati costruiti questi strumenti software peer-to-peer, privi cioè di un ente centrale di garanzia, e basati sulla fiducia del meccanismo crittografico che le rende sulla carta inattaccabili e quindi impossibili da falsificare.
L’idea alla base della blockchain è che ognuno degli attori che partecipa a una di queste catene, siano essere crittovalute come i BitCoin o gli Ethereum, oppure che fa parte di una piattaforma di smart contracts, “possiede” una versione di tutte le transazioni e autenticazioni fatta in maniera crittata. In questo modo nessuno può barare e falsificare ad esempio il proprio portafoglio di bitcoin aggiungendone di nuovi senza averne diritto, oppure cambiando le obbligazioni o i parametri di un contratto smart. Fino ad oggi, almeno.
Ethereum Classic, una delle crittovalute basate su blockchain, è stata infatti attaccata da gruppi di hacker che sono riusciti a prendere il controllo di più della metà della potenza di calcolo della piattaforma e a iniziare a riscrivere la sequenza delle transazioni economiche creando doppi impieghi degli stessi gettoni virtuali. In questo modo si sono appropriati di circa 1,1 milioni di dollari di Ethereum.
I casi di attacchi di questo genere a vari exchange i portali dove è possibile convertire le crittovalute tra di loro e creare le quotazioni che ne assegnano il valore si sono susseguiti negli ultimi mesi. Finora, riporta la Technology Review del Mit di Boston, gli hacker avrebbero rubato fino a due miliardi di dollari di crittovalute dagli inizi del 2017 (ma la cifra potrebbe essere più alta, considerando altri furti che non sono stati dichiarati).
Per quanto i pochi tecnici del settore pare sapessero da più di dieci anni che la blockchain sia vulnerabile a vari tipi di attacchi, cioè da quando sono emersi i BitCoin “inventati” dall’ignoto programmatore Satoshi. In realtà l’opinione pubblica si era fatta un’idea tendenzialmente diversa: blockchain indistruttibile e soprattutto a prova di hacker. Un sistema nel quale avere fiducia cieca o quasi per poterlo usare come base per valute crittografate e smart contracts, cioè contratti tra le parti autenticati in maniera diffusa e senza bisogno di autorità centrali che ne certificassero gli elementi e l’efficacia.
Questo è ciò che ha reso la tecnologia così attraente per molti settori, a cominciare dalla finanza. Servizi in via di lancio da parte di grandi istituzioni come Fidelity Investments e Intercontinental Exchange, il proprietario della Borsa di New York, cominceranno a iniettare quote sempre crescenti di blockchain nel nostro sistema finanziario. Persino le banche centrali adesso stanno cercando di utilizzare le blockchain per nuove forme digitali di valuta nazionale.
Ma più è complesso un sistema di blockchain, più modi ci sono per commettere errori durante la sua creazione. All’inizio di questo mese, la società incaricata di Zcash, una crittovaluta che utilizza matematica estremamente complicata per consentire agli utenti di effettuare transazioni in privato, ha rivelato di aver risolto in segreto un “piccolo errore crittografico” accidentalmente inserito nel protocollo. Un utente malintenzionato avrebbe potuto sfruttare per contraffazione valuta su Zcash senza limiti se non quelli del buon senso. Fortunatamente, nessuno utente sembra averlo fatto.
La suscettibilità agli “attacchi del 51%” è comune alla maggior parte delle crittovalute. Questo perché la maggior parte si basa su blockchain che utilizzano una “proof of work” come protocollo per la verifica delle transazioni. In questo processo, noto anche come mining, i nodi spendono enormi quantità di potenza di calcolo per dimostrarsi abbastanza affidabili da aggiungere informazioni sulle nuove transazioni al database. Un minatore che in qualche modo ottiene il controllo della maggioranza del potere di estrazione della rete può frodare gli altri utenti inviando loro pagamenti e quindi creando una versione alternativa della blockchain in cui i pagamenti non sono mai avvenuti.
Per le blockchain più popolari tentare questo tipo di rapina può essere estremamente costoso. Secondo il sito web crypto51.com, il noleggio di una potenza di estrazione digitale sufficiente per attaccare Bitcoin costerebbe attualmente oltre 260mila dollari all’ora. Ma diventa rapidamente molto più economico se si scende nell’elenco delle oltre 1.500 crittovalute esistenti. Il crollo dei prezzi delle monete lo rende ancora meno costoso, poiché spinge i minatori a spegnere le macchine, lasciando alle reti meno protezione.
Verso la metà del 2018 gli attaccanti hanno iniziato a lanciare questo tipo di raid su una serie di monete relativamente piccole e poco scambiate, tra cui Verge, Monacoin e Bitcoin Gold, rubando circa 20 milioni di dollari in totale. In autunno, gli hacker hanno rubato circa 100mila dollari usando una serie di attacchi contro una valuta chiamata Vertcoin. Il colpo contro Ethereum Classic, che ha fruttato oltre un milione di dollari, è stato il primo contro una valuta top-20.
La stessa cosa, anche se con modalità diverse, accade per un altro segmento meno noto delle blockchain ma considerato da molto più importante delle crittovalute: gli smart contract. Pensati come rivoluzione nel mondo degli affari e non solo, gli smart contract adesso dovranno essere rivisti in una luce molto diversa perché in realtà più fragili di quanto non si fosse inteso in un primo momento. Un primo momento che dura da circa dieci anni.
Secondo la Technology Review mentre la tecnologia blockchain è stata a lungo propagandata per la sua sicurezza, in determinate condizioni può essere molto vulnerabile. A volte si può incolpare l’esecuzione a causa di bug software non intenzionale. Altre volte è un problema più difficile da definire, un’area grigia, il risultato complicato delle interazioni tra il codice, l’economia della blockchain e l’avidità umana. Tutto questo in teoria era conosciuto sin dall’inizio. Ora che ci sono così tanti blockchain nel mondo, stiamo imparando cosa significa nella realtà. Spesso nel modo più duro.
