All’inizio della settimana scorsa (metà gennaio 2022), il famoso exchange Crypto.com ha subìto un attacco hacker da parte di soggetti malintenzionati che sono riusciti a compromettere alcuni account per la cifra totale di 30 milioni di dollari americani.
Tutto è iniziato quando, in data 17 gennaio 2022, la stessa Crypto.com aveva segnalato che un piccolo numero di account aveva registrato prelievi di criptovalute non autorizzati. In risposta, l’exchange ha bloccato immediatamente i prelievi per le successive 17 ore, in modo da impedire ulteriori azioni sospettose.
Attacco Hackers a Crypto.com: i numeri
Poco dopo è arrivato il comunicato ufficiale da parte dell’azienda con la conta dei danni subìti: 483 account compromessi e circa 30 milioni di dollari rubati (al tasso di cambio attuale in data 25 gennaio 2022) distribuiti in 4836.26 Ethereum, 443.93 Bitcoin e circa 66200 dollari in altcoin minori.
Tornado Cash
L’hacker è riuscito a scappare con il malloppo e a “ripulire” circa metà della somma, grazie a un’applicazione decentralizzata chiamata Tornado Cash.Ma cosa si intende per “ripulire” una certa quantità di criptovalute? Facciamo un piccolo passo indietro… Ricordiamo che la tecnologia Blockchain non permette di per sé una privacy massima nelle transazioni. Infatti, ogni deposito o prelievo effettuato in crypto, viene registrato e archiviato in una Blockchain. Questo “database”, pur essendo decentralizzato, prevede la possibilità di verificare, per ogni spostamento di valuta digitale, due dati importantissimi: l’address (indirizzo) di prelievo e quello di deposito.
L’immagine mostra un esempio di una transazione selezionata casualmente su etherscan.io. In questa operazione, possiamo facilmente individuare i due indirizzi in questione, identificati dalle voci “from” e “to”. Cliccando su uno dei due indirizzi, possiamo controllare alcuni dati come il quantitativo di token detenuti e le operazioni precedenti effettuate appunto tramite quell’indirizzo. Nel caso di furti su exchange, o di hacking gravi, i fondi rubati vengono di solito monitorati dalla community lesa. A che scopo tutto questo se poi gli indirizzi rimango pseudoaninimi? Semplice, allo scopo di bloccare l’utilizzo di tali fondi. In alcuni casi, le società emittenti di cryptovalute, come ad esempio “Tether Treasury” o alcuni exchange centralizzati possono per l’appunto “freezzare” tali fondi in modo da renderli inutilizzabili dai responsabili del furto.
Come funziona Tornado Cash
È a questo punto che Tornado Cash entra in gioco. L’applicazione decentralizzata serve a garantire la massima anonimità da parte di chi utilizza il protocollo, in modo da “ripulire” i fondi trasferiti tramite appunto Tornado Cash, impendendo così d’individuare quali siano gli indirizzi responsabili del trasferimento fraudolento. Nello specifico, Tornado Cash permette di depositare, all’interno del protocollo, una quantità definita di token e prelevare gli stessi token in modo completamente anonimo, senza permettere ai più curiosi, di risalire alla cronologia delle transazioni sospette. Fino ad ora, risulta essere il protocollo decentralizzato più utilizzato per mantenere la privacy on-chain e rompere il legame di connessione che intercorre tra account di deposito e quello di prelievo.
Attacco Hacker: la risposta di Crypto.com
Crypto.com, nonostante il danno subìto, ha immediatamente tranquillizzato l’intera community garantendo che i fondi fossero al sicuro e che i clienti derubati sarebbero stati rimborsati grazie a un apposito fondo di garanzia da parte della società. Il CEO di Crypto.com, Kris Marszalek, il giorno dopo il furto, ha rassicurato sul fatto che la sua azienda si fosse già messa in azione riabilitando la whitelist dei nuovi indirizzi. Inoltre, Crypto.com ha introdotto una nuova misura di sicurezza che consente di effettuare un prelievo solamente dopo 24 ore l’aggiunta di un nuovo indirizzo in whitelist. Un nostro commento in merito alla vicenda Chiaramente ci auguriamo vivamente che certi eventi non si verificheranno più in futuro e che verranno introdotte misure di sicurezza sempre più efficienti all’interno degli exchange centralizzati, come appunto Crypto.com. Allo stesso tempo, non ci sentiamo di condannare un protocollo decentralizzato come Tornado Cash, etichettandolo come mero strumento utile al “riciclaggio” di cryptovalute derivanti da attività illecite, in quanto l’applicazione, per sua natura, punta al mantenimento della privacy da parte degli utenti, fattore, quello della tutela della privacy degli utenti, di assoluta centralità per i sostenitori della decentralizzazione. detto ciò ci teniamo anche a sottolineare quanto sia vero, a nostro modo di vedere, il detto: “not your keys, not your money”: ovvero se non sei il custode delle chiavi del tuo deposito, non sei davvero il proprietario dei tuoi soldi! Invitiamo perciò tutta la community a prendere spunto da vicende simili per riflettere sul fatto innegabile che per essere realmente in possesso dei propri fondi, bisogna necessariamente utilizzare wallet decentralizzati, avendo ovviamente cura di scegliere tra quelli con standard di sicurezza elevati, come per esempio Phantom o MetaMask. Tuttavia, il diritto di essere in reale possesso delle nostre criptovalute, comporta anche dei doveri, primo fra tutti quello di informarsi adeguatamente su quali siano i vantaggi e i rischi del compiere azioni nel mondo decentralizzato!
ALESSANDRO ADAMI