•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Il 12 Febbraio scorso è stato sferrato un attacco da parte di un Pool di Hacker che sono riusciti a forzare alcuni conti del Wallet Trinity di Iota impossessandosi di quasi 2 milioni di $.

Prima di entrare nel vivo dell’atto fraudolento e come è stato perpetrato, cercherò di chiarire il sistema di funzionamento di Iota, poiché non è stata attaccata l’architettura del sistema ma è avvenuta tramite una falla di terze parti.

La particolarità della IOTA Foundation è il suo sistema di validazione delle transazioni per poter essere scritte sul DLT (Distributed Ledger Technologies).

Per ottenere la validazione di qualsiasi transazione crittografica ci si basa sul metodo dei Generali Bizantini; ovverosia del consenso: quando la maggioranza dei nodi concorda su una possibile soluzione del problema, scriviamo il blocco: si ottiene, quindi, la Blockchain.

La criptomoneta principe che utilizza questo sistema è Bitcoin e come tutti sappiamo impegna una grande quantità di energia.

Non solo, i calcoli da effettuare implicano anche una lentezza nell’evasione di conseguenza si ha un limite nel numero di operazioni registrabili nell’unità di tempo (circa 7 al secondo).

La caratteristica intrinseca sopra descritta si chiama Scalabilità ed è uno dei fattori limitanti alla Mass Adoption di Bitcoin

Attenzione l’ho chiamata caratteristica in quanto è stata ideata apposta dal Team di Nakamoto, per conferire maggior sicurezza al sistema e poterlo rendere a tutti gli effetti decentralizzato.

Il Team di Nakamoto ha di fatto realizzato un sistema decentralizzato, in quanto per poter sovvertire il sistema, occorrerebbe che minimo il 51% della potenza di calcolo dei Miners fosse gestita da un solo Team: in quel caso potrebbero essere anche validate delle operazioni non corrette.

Come ho accennato Qui, Iota si avvale di un sistema differente, che prende il nome di Grafico Aciclico Diretto.

In parole semplici, se si parte da un vertice, seguendo il percorso, non si torna mai al punto di partenza: questo perché i vertici sono collegati da una linea con una direzione e un verso.

Nella figura vedete un esempio del grafico.

Gli sviluppatori di Iota seguono questo principio: io creo la mia transazione e così facendo valido due transazioni Random prima della mia.

La mia, chiaramente non è ancora validata in quanto occorre una transazione successiva che lo esegua.

Così facendo Iota è riuscita ad eliminare la presenza dei Miners, in quanto la mia transazione minerà due transazioni precedenti.

Chiaramente le cose non sono proprio così semplici, per poter adottare un sistema realmente decentralizzato.

Infatti la “rete” delle transazioni deve essere estremamente popolata.

La certezza che non ci siano delle transazioni errate che possano validare altre parimenti errate, non è immediata, quindi sono stati posti dei limiti, soprattutto, per evitare la doppia spesa: una transazione non può contenere valori negativi.

Parallelamente a tutto ciò per aumentare la sicurezza è stato istituito un Coordinatore, che è sicuro al 100% e può validare le transazioni.

In questo modo, però, viene meno la decentralizzazione, infatti il Coordinatore è gestito in prima persona dalla Iota Foundation, centralizzando tutto il sistema.

In ogni caso questo Coordinatore ha vita breve, infatti, non appena la “rete” è sufficientemente popolata da potersi sostenere in maniera autonoma relativamente alla veridicità  delle transazioni, verrà disattivato.

Il Coordinatore in questione è oggetto di numerose “polemiche” soprattutto nei giorni seguenti al colpaccio.

Iota Foundation per poter capire dove era la falla ha disattivato la Mainnet, bloccando la validazione di tutte le transazioni.

In pratica si è palesato il fatto che il Coordinatore rende Iota centralizzato.

Chiarito la tecnologia che sottende Iota (personalmente la ritengo veramente all’avanguardia) passiamo a capire cosa è successo in quel nero 12 Febbraio scorso.

Iota ha stretto una Partnership con un’altra azienda, MoonPay, che dà la possibilità di acquistare Miota direttamente dalla valuta fiat senza troppe verifiche.

Per fare questo MoonPay creava delle Seed (frasi di recupero dei Wallet) bypassando le conferme 2FA (Two Factor Authentication) e il KYC (Know Your Customer)

E qui il terreno è fertile per i malfattori!

L’attacco è stato pianificato con moltissimo tempo di anticipo: è inziato quasi in concomitanza con l’avvio della Partnership.

Questo perché gli hacker dovevano poter riuscire ad entrare nel flusso per poi trovare la falla.

Gli Hacker sono riusciti ad intrufolarsi negli algoritmi di MoonPay e hanno inserito degli SDK (Software Development Kit) errati.

Così facendo un utente installava l’applicazione, non ufficiale, e modificata dagli Hacker, dando ai loschi figuri pieno possesso delle Seed.

La cosa estremamente importante che emerge da questa brutta vicenda è una lezione che serve a tutti noi.

Principalmente perché la sicurezza non è mai troppa: anche se a volte alcuni processi sono noiosi come il KYC sono stati approntati al fine di tutelarci.

In secondo luogo quando facciamo un acquisto dobbiamo essere molto vigili, vi faccio un esempio.

Per comprare un qualsiasi oggetto ci informiamo, verifichiamo, accertiamo e, quando ci siamo fatti un’idea che il prodotto possa soddisfare le nostre esigenze, procediamo all’acquisto.

Conserviamo scontrino imballo e tutto ciò che ci permette, un domani, di adire ai termini di garanzia.

Quando acquistiamo della criptovaluta, il procedimento deve essere lo stesso: non possiamo affidarci ad un operatore terzo che ci permette di bypassare dei processi estremamente delicati (vedi il 2FA).

Consiglio che l’acquisto di criptovaluta sia eseguito direttamente dal sito (che può essere il proprietario della moneta oppure un Exchange) e non mediante scorciatoie.

Se il sito non permette l’acquisto tramite valuta fiat, al posto di essere un problema diventa un vantaggio: meno fees e operazioni più controllate.

Facciamo tutti i passaggi che ci permettono una certa sicurezza e, perché no possiamo anche avere un guadagno: se stiamo attenti al mercato, possiamo piazzare l’acquisto in una posizione a noi favorevole!

Meditiamo gente, meditiamo!

Buon Hackerato week end a tutti

Chi gioca per vincere, non perde mai!

 

Eros Luomoneros Silvagni


  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •