Criptovalute: le criticità insite in ogni exchange

Se ieri riportavamo la rosea visione criptovalutaria di Vitalik Buterin, fondatore di Ethereum, oggi giova soffermarsi su un’interessante ricerca di Spirent Communications sugli exchange, in particolare sulle debolezze di tali piattaforme.

“Non è oro tutto ciò che luccica”, ricorda William Shakespeare nel Mercante di Venezia.

Vediamo se un simile ammonimento possa essere adagiato anche sul forziere digitale dei maggiori exchange in circolazione.

Innanzitutto, non può dimenticarsi la moltitudine di fenomeni di hacking e simili verificatesi recentemente in piattaforme come Bitgrail, Coincheck e Bithumb. Senza tralasciare accadimenti ancora peggiori come le situazioni ascrivibili a Bitstamp e MtGox (la cui fattispecie ricalca proprio quanto illustrato in seguito circa la malleabilità transazionale).

Prendendo le mosse dalla disamina del colosso di analisi britannico, sono diverse le criticità insite nel novero di exchange presenti sul mercato e il che assume contorni inquietanti se si considera le centinaia di miliardi di dollari mosse dalle criptovalute.

Seguendo pedissequamente l’ordine proposto da Spirent Communications, introduciamo il primo punto debole delle piattaforme che forniscono servizi cripto: la violazione delle credenziali d’accesso.

È noto come ogni sistema si componga di personale il cui accesso al server di riferimento avvenga attraverso l’inserimento di credenziali personali. Tali dati possono essere facilmente acquisibili e corruttibili da hacker, la cui azione mediante violazione di chiavi elettroniche permette loro di arrivare a dati e risorse economiche di clienti. Appare palese come il portafoglio e la privacy degli stessi fruitori del servizio sia a rischio.

Dal primo punto consegue il secondo, vale a dire la vulnerabilità del codice delle criptovalute.

È possibile che il codice in questione contenga errori di codifica. Tali errori costituiscono terreno fertile per l’infiltrazione hacking con lo scopo di attaccare i fondi presenti nelle piattaforme. Infatti, si ricorda tale fenomeno all’interno dell’organizzazione DAO di Ethereum nel 2016.

Coerente con la vulnerabilità di cui sopra è quella derivante dal Test Account. La tecnologia di ultima generazione non può prescindere dal compimento di test attraverso cui lo sviluppatore crei profili test temporanei per studiare il sistema informatico e le sue reazioni. Il problema è che non sempre i profili test sono cancellati, ponendosi come porte aperte per l’infiltrazione criminale digitale.

Da una porta aperta all’altra, è il caso della mancanza di una gerarchia interna.

Nel novero delle debolezze del sistema exchange vi è proprio la mancanza, totale in alcuni casi, parziale in altri, di una struttura gerarchica che ordini le credenziali d’accesso secondo le attività dei singoli operatori. Va da sé che l’estensione delle credenziali comporti l’aumento di rischio d’infiltrazione.

Un altro elemento sottolineato da Spirent Communications è la corretta pratica di sicurezza.

Qui la multinazionale analitica con sede a Crawley evidenzia l’importanza della manutenzione ordinaria e quindi periodica degli account: solo in questo modo è possibile mantenere un alto livello di protezione digitale e un controllo dell’accessibilità sempre effettivo.

Dal fattore preminente in quanto a protezione a quello viceversa più rischioso e meno visibile e prevedibile: la malleabilità transazionale. È possibile, specie se le transazioni non si concludono in maniera rapida, cambiare la User ID prima che l’operazione in questione si sia chiusa. In tal modo si verifica un’infiltrazione nel processo di registrazione la cui corruttibilità è quasi impossibile da appurare.

 Dalla difficoltà di riscontro infiltrativo di cui sopra si può chiudere la disamina sulla permeabilità dei Wallet.

Dal momento che ogni exchange fornisce un hot wallet, cioè un wallet attivo in cui il fruitore lasci i propri token prima della transazione, la mancanza di un numero cospicuo di chiavi di sicurezza può favorire la decrittazione hacker, con l’ovvia conseguenza di appropriazione indebita e perdita del proprio capitale. (Fattispecie integrata pienamente nel caso Coincheck).

 Secondo Spirent Communications l’utilizzo di exchange decentralizzati oppure ibridi costituirebbe un modo per ovviare a tutte queste criticità il cui carattere complementare mina fortemente la sicurezza degli exchange e del comparto cripto.