Home / Riscrivere Solana per annullare attacchi hacker? 285 milioni sono una pessima motivazione

BLOCKCHAIN INDIETRO

Riscrivere Solana per annullare attacchi hacker? 285 milioni sono una pessima motivazione

Irreversibili e senza permessi: le blockchain sono così e non c'è motivo di cambiarle, neanche di fronte a 285 milioni di dollari di hack.

Gianluca Grossi 05/04/26 21:32 Editoriale Commenta

BLOCKCHAIN INDIETRO

Drift ha perso 285 milioni di dollari degli utenti. È un protocollo all’apparenza decentralizzato e tutti noi appassionati ne pagheremo in termini di reputazione. Da queste parti però si è sempre stati per le responsabilità personali: così come non ci si può attribuire il successo di piattaforme come AAVE, non si può essere responsabili delle pessime pratiche di sicurezza di Drift. E sì, per chi non ha voglia di sperimentare, di sbagliare e anche di perdere soldi, ci sono strade molto più sicure.

Con Mexem hai accesso a ETF zero commissioni e a tutti i migliori mercati, anche con strumenti di risparmio gestito avanti. Sicuro, affidabile e con un ottimo storico. Dal link potrai ottenere un conto demo.

Per chi non avesse seguito la storia: Drift ha perso 285 milioni di dollari non suoi e che però erano sul suo protocollo. Non è stato un hack tecnico, ma il gruppo sarebbe stato infiltrato da sedicenti hacker sponsorizzati dalla Corea del Nord. E ora tutti cercano di auto-assolversi dalle proprie colpe. Il tema è così importante da meritarsi una delle nostre avvelenate.

Cos’è successo, in breve

Un gruppo di hacker è riuscito a far firmare transazioni ad almeno due admin di Drift. Per chi non è del settore: Drift ha un sistema multisig dove sono in cinque a poter firmare le transazioni più importanti. Di questi cinque, bastano ogni volta le firme di due dei cinque per procedere. L’attacco si è sviluppato lungo più mesi e secondo quanto raccontato da Drift stessa nel suo post mortem, ci sarebbe stato un articolato progetto di social engineering dietro.

Ci interessano i dettagli? Fino a un certo punto. Quelli che ci interessano sono i seguenti:

  • Due su cinque erano sufficienti per firmare anche transazioni potenzialmente disastrose;
  • I due su cinque di cui sopra hanno firmato senza capire cosa stessero firmando;
  • Il gruppo si è fatto infiltrare da agenti ostili senza preoccuparsene granché;
  • Niente di quanto accaduto sarebbe mai potuto accadere applicando standard minimi di sicurezza;
  • L’irreversibilità del mondo crypto aumenta il problema.

Quest’ultimo aspetto sembra sfuggire ai più, anche a chi sviluppa protocolli molto ambiziosi e che – come nel caso di Drift – erano golosi a sufficienza da muovere hacker sponsorizzati da stati canaglia.

Chi gestisce protocolli seriamente si è arrabbiato: qui su tutti Uniswap che parla della questione.

L’irreversibilità delle blockchain

Le blockchain sono degli enormi database condivisi, ordinati temporalmente, che non possono essere modificati.

Per chi non dovesse capire il tecnicismo: le blockchain sono organizzate in modo che:

1➡️2➡️3➡️4➡️5➡️6➡️….

Nessuno può riorganizzare questo ordine, nessuno può annullare una transazione firmata dal legittimo proprietario che sia già entrata in un blocco.

È una differenza gigantesca rispetto a come sono gestite le transazioni nel sistema bancario. In qualunque momento – se tra due conti interni – una banca può decidere di invertire transazioni. E comunque può decidere di spostare denaro da conto A a conto B senza il consenso esplicito dei titolari. Certo, ha responsabilità legali, ma tecnicamente può farlo.

Questa possibilità tecnica rendere recuperare da errori molto più semplice all’interno del mondo bancario. Si trasferiscono fondi a un cliente con un paio di zero in più? Finché rimangono sul conto della stessa banca, con un click il trasferimento si può annullare.

Nel mondo crypto questo è impossibile nella stragrande maggioranza dei casi, o almeno se non c’è un vasto consenso da parte della maggioranza quasi assoluta degli utenti.

È successo in passato? Sì. Il caso più popolare è forse quello di Ethereum che in seguito al caos DAO e alla conseguente perdita di fondi da parte di tanti big, ha deciso di ripartire da un punto indietro nel tempo. Ovvero ha cancellato una parte di avvenimenti. Non è lo stesso di cancellare una singola transazione, ma funzionicchia.

È successo anche in Bitcoin. Un integer overflow portò alla creazione di 184 milioni di nuovi Bitcoin (al massimo dovrebbero essere 21 milioni, e comunque tra più di 100 anni). Era il 2010, Bitcoin esisteva da pochissimo, si decise di fare un rollback, ovvero di tornare indietro nel tempo. Evento grave, gravissimo, si può fare, ma è così problematico che oggi non sarebbe probabilmente mai possibile (se non per un bug di quelle proporzioni). E comunque sarebbe impossibile farlo per una singola transazione. O anche per un hack di grandi proporzioni.

Data questa caratteristica, la DeFi ha bisogno di misure di sicurezza più stringenti di quelle applicate dalle banche, dove è più facile tornare indietro e anzi, cancellare una singola transazione.

Non ci sono solo gli hacker, nei blocchi

A chi non conosce il funzionamento delle blockchain, la soluzione torniamo indietro nel tempo potrebbe apparire un rimedio estremo ad un male altrettanto estremo. Sono stati sottratti 285 milioni di dollari, forse finiranno per finanziare il regime di Pyongyang, perché mai non tornare indietro?

blocco bcc
Una rappresentazione grafica di un blocco bitcoin. Ogni quadrato è una transazione. Per cancellarne “una” illegale, finiremmo per cancellarle tutte

Perché tornare indietro non vuol dire – come potrebbe fare una banca – cancellare una o più transazioni, ma cancellare tutte quelle che sono avvenute da ora al momento in cui vogliamo tornare indietro.

Prendiamo un blocco di Bitcoin, per semplicità del network. In un blocco possono finire migliaia di transazioni. Prendiamo una media di 3.000 transazioni per blocco. Se dovessimo tornare indietro di 10 blocchi, annulleremmo 30.000 transazioni. Immaginiamo che di queste 10 siano quelle degli hacker nord-coreani e… dovrebbe essere chiaro a tutti perché tornare indietro nel tempo non è una soluzione.

Il caso di Bybit

Bybit – entità centralizzata – ha subito un attacco con perdite da circa 1,4 miliardi di dollari. La somma è gigantesca, l’attacco è chiaro (non ci sono dubbi in merito), potrebbe esserne valsa la pena tornare indietro, no?

No. E anzi, a parte qualche account social di spessore, nessuno ha pensato che fosse una buona idea tornare indietro nella chain di Ethereum.

Qui abbiamo coperto quanto accadde quella volta, anche in termini di discussione sul tornare indietro con Ethereum.

Il secondo problema: l’irreversibilità della blockchain è il suo vero valore aggiunto

L’impossibilità di tornare indietro è un valore aggiunto delle blockchain rispetto ai database tradizionali. Bitcoin è tempo – Gigi lo ha spiegato magnificamente qui – ed è anzi organizzazione del tempo dove il tempo non esiste, ovvero nel mondo digitale.

Bitcoin – e le altre blockchain che lo hanno imitato, modificato, utilizzato come base, etc, etc, – cercano di fare proprio questo: offrire un’organizzazione temporale di eventi, in un contesto decentralizzato. Non ci possiamo fidare dell’orologio di nessuno e l’orologio è la blockchain. Il blocco 1 è avvenuto – in questo universo parallelo – prima del blocco 2, che è avvenuto prima del blocco 3… e così via.

Il fatto che non si torni (quasi) mai indietro nel tempo è un valore aggiunto per le blockchain ed è anzi l’unica loro ragion d’essere.

Le blockchain sono lente, consumano ingenti risorse, sono complicate da far funzionare e hanno poche funzionalità. Sono prezzi da pagare in cambio dell’ottenimento dell’irreversibiltà delle transazioni. Tolta quella, non ha alcun senso utilizzare una blockchain al posto di un normale database.

Il terzo problema: che cos’è un reato? E perché la blockchain dovrebbe punirli?

Non esiste una tecnologia di comunicazione in grado di spegnersi quando a parlarsi sono due delinquenti. I protocolli di internet non distinguono – ed è bene che sia così – una poesia di Leopardi dal bullismo online.

Nessuno si sognerebbe di ritenere i gestori dei cavi di Internet delle minacce di morte fatti recapitare a questo o quel politico.

Le blockchain non possono occuparsi della legalità delle transazioni, né delle loro motivazioni, né dei loro intenti. Questo perché:

  1. Non si può fare un processo per ogni transazione

Come dovrebbe funzionare? Si telefona a chi ha firmato e si chiedono i motivi della transazione? È un sistema così folle che anche il mondo bancario sta protestando per alcune norme AML che funzionano più o meno così.

  1. Secondo quali leggi?

Ai più giovani tra i nostri lettori suonerà strano, ma il mondo digitale è nato, ha prosperato e continua a vivere in un’universo che non è fisico. È vero che gli stati cercano di normare utenti e fornitori che operano nella loro giurisdizione, ma è altrettanto vero che in 10 minuti su Twitter interagirete con centinaia di persone che devono seguire leggi diverse dalle vostre.

Quale transazione dovrebbe essere bloccata o aprire una discussione sul tornare indietro in una blockchain? In alcuni paesi è illegale acquistare una Bibbia, oppure iscriversi a un sindacato, oppure comprare chewing gum – quali leggi dovrebbero applicare dei fantomatici giudici della legalità onchain?

Iscriviti
Notificami
guest

0 Commenti
Più votati
Più nuovi Più vecchi
Inline Feedbacks
View all comments

Siamo su:

Yahoo FinanceMilano FinanzaAffari italianiAdnkronosilSole24 oreIl Tempo.itAskanews
Trustpilot
Criptovaluta.it® è un marchio registrato di proprietà della ALESSIO IPPOLITO S.R.L. Editore: Marchio Depositato il 15/12/2021 n° 302021000203789. Sede legale: Via Pola, 11 - 20124 Milano (MI). P.IVA: 14569041008. Direttore: Alessio Ippolito.
Criptovaluta.it® è una testata giornalistica online iscritta al Tribunale di Milano (iscrizione N° 12776/2022 del 10/10/2022 – Num. Reg. Stampa 143 e iscrizione ROC n° 38686 del 27/10/2022) specializzata su Bitcoin, Crypto, NFT, Metaverse, Play to Earn e Blockchain. DMCA.com Protection Status
Criptovaluta.it® 2017/2026 - Codice etico - Fact Check - Review process - Sitemap -Privacy Policy - Cookie Policy - Disclaimer