Criptovaluta.it® Ultime Notizie Bitcoin e Crypto News | Criptovalute Oggi
L’estensione Chrome di Trust Wallet, wallet software di proprietà di Binance, ha subito ieri un attacco che è risultato in una sottrazione di fondi degli utenti di circa 6 milioni di dollari complessivi, secondo stime affidabili. L’hack è stato già contenuto e chi installa la nuova versione dell’estensione, la 2.69, è al sicuro. Chi invece sta ancora utilizzando la 2.68, dovrebbe immediatamente rimuoverla.
Cos’è successo davvero? È stato inserito codice malevolo nel suddetto aggiornamento, con modalità che secondo CZ, leader di Binance, sono ancora oggetto di indagine. Un brutto colpo per la credibilità di Trust Wallet e un monito per gli investitori che vogliono detenere in proprio oro crypto asset.
Sei milioni di dollari, che saranno rimborsati, dice CZ
La somma che è stata prelevata dagli hacker sarà rimborsata, ha affermato CZ sul proprio account X, da Trust Wallet. Ma non è questa la parte più interessante della vicenda. La versione 2.68 dell’estensione Chrome di uno dei wallet software più conosciuti è stata infatti vittima di un attacco relativamente articolato e che mette in dubbio la sicurezza dell’intera gestione degli aggiornamenti del codice.
Qualcuno deve essere riuscito a pubblicare appunto una riga di codice che secondo le ricostruzioni di ZachXBT è stato il colpevole dell’attacco. Qualcosa che non dovrebbe verificarsi mai e in particolare su software che hanno in gestione i fondi degli utenti e degli investitori.
Non sappiamo se sarà pubblicato un post mortem accurato, ovvero un resoconto dettagliato di quanto accaduto. Un post mortem che per quanto inutile al fine di recuperare i fondi aiuterebbe a comprendere la gravità degli errori commessi da chi gestisce tali software.
I wallet non sono sicuri?
Ne abbiamo parlato proprio in questi ultimi giorni in recensioni specifiche firmate dal nostro Francesco Galella (qui trovi quella su Stax di Ledger e qui quella su Flex, sempre dello stesso produttore). Wallet con uno storico intonso in termini di attacchi e soprattutto che gestiscono la sicurezza come è necessario fare sono sempre da preferirsi.
Se cerchi un wallet hardware di qualità, ricordati che puoi acquistarlo qui, sul sito ufficiale del produttore Ledger.
Aggiungiamo che gli aggiornamenti, a meno che non vadano essi stessi a risolvere dei problemi di sicurezza, andrebbero installati soltanto dopo un po’ e quando la cosa dovesse rendersi necessaria.
Il problema che si è verificato ieri attiene a Trust Wallet e non al settore wallet in generale e non dovrebbe essere il comparto a risponderne come se si trattasse di una colpa collettiva.
Per il resto, non possiamo che consigliarvi una gestione diversificata dei wallet (soprattutto software) che utilizzate e soprattutto di prediligere soluzioni in cold wallet se avete delle somme per voi importanti da custodire. I wallet connessi a internet – come quelli appunto in stile Trust, presentano problematiche importanti in termini di sicurezza proprio come modello, diventando così possibili fonti di problemi importanti nel caso di hack, come quello che si è verificato ieri.
Ma io mi chiedo, piuttosto che affidare a wallet estensioni di browser, non è più sicuro lasciarli sui wallet degli excenge con cui si acquistano cripto, tipo Bitpanda, YoungPlatform ?
Per chi usa estensioni del browser la “comodità” è nell’interazione con i protocolli. Tipicamente non si utilizzano per “custodia”
È un po’ come dire che quando c’è un temporale è più sicuro camminare con un’asta di due metri in ferro piuttosto che con un’antenna alta dieci metri.
Verissimo… ma probabilmente rimane una pessima idea