Maxi furto di criptovalute: i bitcoin sono sicuri?
12.8.2021
Tempo di lettura: '
Il più grande furto di cripto della storia, valore 600 milioni di dollari, dipende, secondo Ferdinando Ametrano, da un bug del sistema in cui gli hacker si sono infiltrati. “Bitcoin non corre questo rischio: l'infrastruttura tecnologica è solida e non è mai stata violata”. I rischi sono altri: ecco come evitarli
I casi di perdita o furto di bitcoin non dipendono dal protocollo tecnologico, ma da intermediari incapaci o più spesso, truffaldini. Per questo è necessario scegliere con cura l’intermediario da cui si acquista
Coinbase, Kraken, Gemini e Bitstamp sono le borse di scambio internazionali di riferimento (quelle usate dal Chicago Mercantile Exchange per fare il fixing del prezzo del bitcoin). In Italia, gli intermediari più affidabili sono The Rock Trading, la più longeva borsa bitcoin al mondo, le piattaforme Conio e Young Platform e la società di custodia CheckSig
La vicenda di Poly Network è rimbalzata sui giornali di tutto il mondo: il più grande furto di crypto della storia per un valore di 600 milioni di dollari. Ed era stata la stessa Poly Network ad annunciarlo su Twitter, chiedendo agli hacker autori dell'azione criminosa di restituire il maltolto alla comunità. Una vicenda che riaccende i fari sul tema della sicurezza nel mondo cripto, ma che non deve destare preoccupazioni per gli holder in bitcoin.
“Il caso di Polygon riguarda smart contracts scritti male, pur con un'idea tecnologica ambiziosa alla base – dice Ferdinando Ametrano, professore di “Bitcoin e tecnologia blockchain” all'Università Milano-Bicocca e amministratore delegato di CheckSig, società di custodia bitcoin per investitori istituzionali e Hnwi - non sono veramente "attaccati", ma semplicemente violati nella loro vulnerabilità. Nel mondo della Decentralized Finance (DeFi) che proclama il codice come unica legge, non parlerei di furti ma dello sfruttamento di clausole scritte in piccolo da parte di chi il codice lo sa leggere".
Non è un caso isolato: secondo un recente rapporto della società di intelligence crittografica CipherTrace, le perdite dovute a furti, attacchi informatici e frodi nella DeFi hanno raggiunto il massimo storico nei primi sette mesi dell'anno, a quota 474 milioni di dollari. Contestualmente nel mercato cripto complessivo, le perdite dovute alla criminalità sono scese drasticamente a 681 milioni alla fine di luglio, rispetto a 1,9 miliardi per l'intero 2020 e ai 4,5 miliardi nel 2019. Il report rileva che in campo DeFI il 76% dei crimini sono stati commessi da hacker esterni al sistema; e un quarto dagli stessi sviluppatori che abbandonano il progetto e scappano con la cassa.
I casi di bitcoin persi o rubati (che si calcola ad oggi siano 4 milioni di monete), non dipendono invece dalla natura vulnerabile della criptovaluta. Ma per lo più da due cause: la perdita della chiave crittografica, unico sistema per accedere ai wallet; o da intermediari che commettono un reato e rubano le monete dei clienti. C'è una storia emblematica a riassumere questo aspetto: quella di Gerald Cotten, founder del Bitcoin Exchange canadese QuadrigaCx, che sarebbe morto portandosi nella tomba la password criptata di accesso al portale insieme ai circa 123 milioni di euro in criptovalute dei clienti (girano ancora voci secondo cui Cotten si sia dato per morto per fuggire con la cassa).
“Il caso di Polygon riguarda smart contracts scritti male, pur con un'idea tecnologica ambiziosa alla base – dice Ferdinando Ametrano, professore di “Bitcoin e tecnologia blockchain” all'Università Milano-Bicocca e amministratore delegato di CheckSig, società di custodia bitcoin per investitori istituzionali e Hnwi - non sono veramente "attaccati", ma semplicemente violati nella loro vulnerabilità. Nel mondo della Decentralized Finance (DeFi) che proclama il codice come unica legge, non parlerei di furti ma dello sfruttamento di clausole scritte in piccolo da parte di chi il codice lo sa leggere".
DeFi: record di crimini nei primi 7 mesi dell'anno (mentre nel mercato cripto si registra un calo drastico)
Non è un caso isolato: secondo un recente rapporto della società di intelligence crittografica CipherTrace, le perdite dovute a furti, attacchi informatici e frodi nella DeFi hanno raggiunto il massimo storico nei primi sette mesi dell'anno, a quota 474 milioni di dollari. Contestualmente nel mercato cripto complessivo, le perdite dovute alla criminalità sono scese drasticamente a 681 milioni alla fine di luglio, rispetto a 1,9 miliardi per l'intero 2020 e ai 4,5 miliardi nel 2019. Il report rileva che in campo DeFI il 76% dei crimini sono stati commessi da hacker esterni al sistema; e un quarto dagli stessi sviluppatori che abbandonano il progetto e scappano con la cassa.
Bitcoin? Il sistema tecnologico è inviolabile
I casi di bitcoin persi o rubati (che si calcola ad oggi siano 4 milioni di monete), non dipendono invece dalla natura vulnerabile della criptovaluta. Ma per lo più da due cause: la perdita della chiave crittografica, unico sistema per accedere ai wallet; o da intermediari che commettono un reato e rubano le monete dei clienti. C'è una storia emblematica a riassumere questo aspetto: quella di Gerald Cotten, founder del Bitcoin Exchange canadese QuadrigaCx, che sarebbe morto portandosi nella tomba la password criptata di accesso al portale insieme ai circa 123 milioni di euro in criptovalute dei clienti (girano ancora voci secondo cui Cotten si sia dato per morto per fuggire con la cassa).
“Sono due livelli diversi: si tratta per bitcoin sempre di casi di intermediari incapaci o che attuano comportamenti dolosi. Quello che bisogna guardare quando si investe in cripto è innanzitutto la solidità del livello infrastrutturale tecnologico, cosa in cui gli smart contract spesso sono carenti. Quando si definisce uno smart contract, si scrive un programma che può avere dei bug, soprattutto se non si fa una verifica formale”.
Poly Network è caduto proprio su un bug di programmazione. Altro discorso ancora sono le meme cripto che non hanno alcuna idea o tecnologia alle spalle e su cui è quasi impossibile non farsi male. È il caso di Catge come di Dogecoin, spinte sui social da influencer più o meno influenti (da Francesco Facchinetti a Elon Musk). “Chiunque può creare un token, pomparlo per creare Fomo (fear of missing out, la paura di perdere un'opportunità) e venderlo per incassare lasciando i polli con il cerino in mano – dice Ametrano – il tema vero è che queste cose muovono miliardi e dunque creano danni ingenti”.
Allora, proviamo a fare ordine. Per investire in cripto la prima cosa da considerare è la solidità infrastrutturale del progetto. Il protocollo bitcoin è blindato e di fatto non è mai stato violato dal lancio nel 2009. La blockchain su cui bitcoin viene registrato e scambiato è composta da record, che sono gli elementi di base (le transazioni o ordini di pagamento, da immaginare come le righe di una pagina del registro); il blocco, che è un insieme di record (diremmo una pagina del registro) e la catena, ovvero il registro nella sua interezza. I computer della rete, i cosiddetti nodi, controllano i dettagli di ogni record e solo una volta assicuratisi che siano corretti li aggiungono al blocco e lo sigillano firmandolo e associandogli un codice univoco. Questo rende impossibile modificare, sostituire e dunque falsificarne qualsiasi pezzo. Ogni tentativo di entrare nella rete è fallimentare. Per cambiare il blocco è infatti necessario il consenso di tutti i nodi della rete che partecipano al processo di validazione delle transazioni incluse nel registro. Il consenso dovrebbe essere ripetuto inoltre non per il singolo blocco, ma per l'intero database, perché ogni blocco contiene, oltre al suo codice univoco, anche quel del blocco che lo precede.
Nel caso di Poly Network, che è un sistema per scambiare token tra blockchain diverse, le blockchain utilizzate sono centralizzate (segnatamente si tratta delle Binance Smart Chain). “Questo – continua Ametrano – consente di fermare l'attacco, ma apre altri problemi: se c'è chi governa queste catene, è "accountable"? Si tratta di un soggetto regolato? A quale legislazione è sottoposto?”. Un tema che è lo stesso per cui Binance è sotto il radar, non avendo avendo avuto sede legale stabile ed avendo scelto uno stile di business border line.
Questa osservazione suggerisce una seconda strategia di azione per stare sicuri con bitcoin: acquistarli su piattaforme con una policy chiara e trasparente e preferibilmente un riconoscimento istituzionale. “Ci sono servizi che sono più o meno sicuri – suggerisce Ametrano - Ci sarà un motivo se il Chicago Mercantile Exchange, per determinare il prezzo di bitcoin, ha scelto Coinbase, Kraken, Gemini e Bitstamp: le borse internazionali più famose e affidabili”.
Dunque per acquistare bitcoin, è consigliabile andare su una di queste Borse. “La verifica da fare è che si stia comprando bitcoin e non surrogati, alternative, travestimenti – dice Ametrano – Farlo sulle piattaforme citate è di per sé garanzia. In alternativa ci si può rivolgere alla Borsa italiana di più vecchia data, qual è The Rock Trading”. Anche quando si guarda agli operatori italiani, c'è da fare una selezione – casi di truffe anche da parte di società di diritto italiano non sono mancate. “Oggi nel panorama italiano, insieme a The Rock Trading, citerei Conio e Young Platform, piattaforme che comprano bitcoin su altre borse di scambio; e ovviamente CheckSig, la società che abbiamo fondato per offrire il servizio di custodia alla clientela Hnwi e che offre anche intermediazione, consulenza fiscale, formazione e altri servizi. CheckSig è l'unica azienda italiana a vantare sia le SOC attestations di un revisore esterno (che verifica affidabilità e correttezza dei processi, sicurezza tecnica e adeguatezza regolamentare), sia le coperture assicurative: altri due elementi, questi, che possono aiutare l'investitore a orientarsi e discriminare tra i diversi operatori in ambito cripto”.
L'importanza di valutare la solidità del protocollo informatico
Poly Network è caduto proprio su un bug di programmazione. Altro discorso ancora sono le meme cripto che non hanno alcuna idea o tecnologia alle spalle e su cui è quasi impossibile non farsi male. È il caso di Catge come di Dogecoin, spinte sui social da influencer più o meno influenti (da Francesco Facchinetti a Elon Musk). “Chiunque può creare un token, pomparlo per creare Fomo (fear of missing out, la paura di perdere un'opportunità) e venderlo per incassare lasciando i polli con il cerino in mano – dice Ametrano – il tema vero è che queste cose muovono miliardi e dunque creano danni ingenti”.
Allora, proviamo a fare ordine. Per investire in cripto la prima cosa da considerare è la solidità infrastrutturale del progetto. Il protocollo bitcoin è blindato e di fatto non è mai stato violato dal lancio nel 2009. La blockchain su cui bitcoin viene registrato e scambiato è composta da record, che sono gli elementi di base (le transazioni o ordini di pagamento, da immaginare come le righe di una pagina del registro); il blocco, che è un insieme di record (diremmo una pagina del registro) e la catena, ovvero il registro nella sua interezza. I computer della rete, i cosiddetti nodi, controllano i dettagli di ogni record e solo una volta assicuratisi che siano corretti li aggiungono al blocco e lo sigillano firmandolo e associandogli un codice univoco. Questo rende impossibile modificare, sostituire e dunque falsificarne qualsiasi pezzo. Ogni tentativo di entrare nella rete è fallimentare. Per cambiare il blocco è infatti necessario il consenso di tutti i nodi della rete che partecipano al processo di validazione delle transazioni incluse nel registro. Il consenso dovrebbe essere ripetuto inoltre non per il singolo blocco, ma per l'intero database, perché ogni blocco contiene, oltre al suo codice univoco, anche quel del blocco che lo precede.
Perché la centralizzazione delle blockchain aumenta il rischio
Nel caso di Poly Network, che è un sistema per scambiare token tra blockchain diverse, le blockchain utilizzate sono centralizzate (segnatamente si tratta delle Binance Smart Chain). “Questo – continua Ametrano – consente di fermare l'attacco, ma apre altri problemi: se c'è chi governa queste catene, è "accountable"? Si tratta di un soggetto regolato? A quale legislazione è sottoposto?”. Un tema che è lo stesso per cui Binance è sotto il radar, non avendo avendo avuto sede legale stabile ed avendo scelto uno stile di business border line.
Come si sceglie la Borsa di scambio ed il custode
Questa osservazione suggerisce una seconda strategia di azione per stare sicuri con bitcoin: acquistarli su piattaforme con una policy chiara e trasparente e preferibilmente un riconoscimento istituzionale. “Ci sono servizi che sono più o meno sicuri – suggerisce Ametrano - Ci sarà un motivo se il Chicago Mercantile Exchange, per determinare il prezzo di bitcoin, ha scelto Coinbase, Kraken, Gemini e Bitstamp: le borse internazionali più famose e affidabili”.
Dunque per acquistare bitcoin, è consigliabile andare su una di queste Borse. “La verifica da fare è che si stia comprando bitcoin e non surrogati, alternative, travestimenti – dice Ametrano – Farlo sulle piattaforme citate è di per sé garanzia. In alternativa ci si può rivolgere alla Borsa italiana di più vecchia data, qual è The Rock Trading”. Anche quando si guarda agli operatori italiani, c'è da fare una selezione – casi di truffe anche da parte di società di diritto italiano non sono mancate. “Oggi nel panorama italiano, insieme a The Rock Trading, citerei Conio e Young Platform, piattaforme che comprano bitcoin su altre borse di scambio; e ovviamente CheckSig, la società che abbiamo fondato per offrire il servizio di custodia alla clientela Hnwi e che offre anche intermediazione, consulenza fiscale, formazione e altri servizi. CheckSig è l'unica azienda italiana a vantare sia le SOC attestations di un revisore esterno (che verifica affidabilità e correttezza dei processi, sicurezza tecnica e adeguatezza regolamentare), sia le coperture assicurative: altri due elementi, questi, che possono aiutare l'investitore a orientarsi e discriminare tra i diversi operatori in ambito cripto”.
Sei sicuro di gestire al meglio il tuo patrimonio?
300 esperti per una prima consulenza gratuita
