Recenti rivelazioni indicano che una serie di principali fornitori di portafogli di criptovaluta erano suscettibili di potenziali violazioni della sicurezza. Queste vulnerabilità, ora note come "BitForge" , hanno evidenziato i rischi informatici intrinseci nel regno delle criptovalute, anche se il mondo è alle prese con una crescente adozione e una supervisione normativa più rigorosa.
La società di sicurezza informatica Fireblocks ha presentato i suoi risultati alla conferenza Black Hat USA , rivelando che sono stati colpiti oltre 15 portafogli di criptovaluta predominanti, che rappresentano oltre l'80% del mercato. Queste vulnerabilità avrebbero potuto essere facilmente sfruttate per compromettere i fondi degli utenti su famosi exchange, tra cui Binance e Coinbase .
Questi difetti di sicurezza hanno preso di mira principalmente i protocolli di calcolo multipartitico (MPC). Gli MPC in genere scompongono le chiavi private in più frammenti, dispersi su diversi dispositivi. Questo metodo dovrebbe idealmente rafforzare la sicurezza. Tuttavia, è stato scoperto che alcune implementazioni di MPC rendevano fattibile per gli attori malintenzionati l'accesso alla chiave completa dopo solo 16 transazioni. Tali transazioni rapide potrebbero avvenire in pochi secondi su portafogli ad alta frequenza.
Il CEO di Fireblocks, Michael Shaulov, ha spiegato la semplicità di sfruttare queste vulnerabilità. Ha osservato: “Le vulnerabilità di BitForge operano in linea con i comuni meccanismi di attacco informatico. Un singolo utente compromesso tramite malware è tutto ciò che serve." Ciò sottolinea la minaccia sempre presente del malware, spesso distribuito tramite truffe di phishing progettate per indurre gli utenti a scaricare software dannoso o rivelare dati sensibili.
La divulgazione di questa vulnerabilità arriva in un panorama misto di criptovalute. Mentre la cifra complessiva è scesa del 65% a 3,3 miliardi di dollari nel primo semestre del 2023 rispetto al 2022, gli attacchi ransomware, software dannoso che crittografa i file di una vittima e richiede il pagamento per il loro rilascio, in genere in criptovaluta, stanno aumentando notevolmente. Si prevede che questi toccheranno quasi $ 900 milioni quest'anno, solo leggermente dietro i $ 940 milioni del 2021.
La comunità internazionale e gli organismi di regolamentazione sono stati a lungo preoccupati per la sicurezza informatica legata alle risorse digitali. Dati i crescenti episodi di furti di criptovalute, molti governi stanno intensificando gli sforzi per integrare le risorse digitali e i loro fornitori all'interno di un quadro normativo. A titolo di esempio, la Securities and Futures Commission (SFC) di Hong Kong richiede ora agli scambi di criptovalute che operano all'interno della sua giurisdizione di acquisire una licenza. Questa mossa cerca di imporre punti di riferimento nella sicurezza informatica, nella gestione delle chiavi private e in altre aree.
Tuttavia, le incertezze rimangono. Sebbene Fireblocks abbia individuato vulnerabilità in un numero significativo di provider di portafogli, determinare il numero esatto interessato da queste implementazioni imperfette di MPC rimane sfuggente.
Un'immersione profonda in BitForge
La ricerca di Fireblocks ha individuato le vulnerabilità nelle implementazioni di alcuni protocolli MPC (multi-party computation), in particolare GG-18, GG-20 e Lindell17. Queste vulnerabilità sono state ricondotte a deviazioni dalle implementazioni standard o precedenti sforzi per correggere i difetti noti.
In particolare, i protocolli GG-18 e GG-20 hanno riscontrato problemi in cui i precedenti tentativi di correggere le vulnerabilità ne hanno inavvertitamente introdotti di nuovi. Il difetto di Lindell17, d'altra parte, ruotava attorno alle deviazioni dalle specifiche accademiche originali e alla cattiva gestione delle firme fallite.
A testimonianza della collaborazione del settore, Fireblocks ha intrapreso un processo di divulgazione di 90 giorni. I loro sforzi sono stati accolti con una risposta proattiva. I principali fornitori di portafogli, in particolare Coinbase WaaS e Zengo, sono stati elogiati per la loro rapida azione nell'affrontare e correggere le falle di sicurezza.
Poiché le valute digitali continuano a intrecciarsi nel tessuto finanziario mondiale, è evidente che il mantenimento della sicurezza informatica rimarrà una priorità assoluta sia per i fornitori che per le autorità di regolamentazione.