Blockchain, rubati 625 milioni di dollari in criptovalute attraverso Ronin


ENGLISH VERSION

Blockchain, rubati 625 milioni di dollari in criptovalute attraverso Ronin

Lo scorso 23 marzo un gruppo di hacker non ancora identificato ha messo a segno uno dei più grandi colpi sul fronte delle monete virtuali. Sfruttata una falla tipica dei cosiddetti nodi validatori
30 Mar 2022
Domenico Aliperto

Circa 625 milioni di dollari in criptovalute sono stati rubati da Ronin, la blockchain alla base del popolare gioco online Axie Infinity, che utilizzando token non fungibili costituisce la più grande raccolta Nft per volume di vendite del mercato. Ronin e l’operatore di Axie Infinity Sky Mavis hanno rivelato ieri la violazione e hanno bloccato la piattaforma che consente di depositare e prelevare fondi dalla blockchain dell’azienda.
Indice degli argomenti
• L’avvio delle indagini
• L’anello debole della catena
L’avvio delle indagini
Secondo la ricostruzione fornita da Ronin, il 23 marzo hacker non identificati hanno rubato circa 173.600 token ether e 25,5 milioni di token Usd Coin. Ai tassi di cambio attuali, i fondi rubati valevano 615 milioni di dollari, ma al momento dell’attacco valevano circa 540 milioni di dollari. Si tratta in ogni caso di uno dei più grandi furti di criptovalute mai registrati, in base alle valutazioni della società di analisi blockchain Elliptic.

Ronin ha spiegato in un post apparso sul blog aziendale che gli attaccanti hanno utilizzato chiavi private rubate – le password necessarie per accedere ai fondi crittografici – per bucare il sistema. “Stiamo lavorando direttamente con varie agenzie governative per garantire che i criminali vengano assicurati alla giustizia”, ha affermato il gruppo, aggiungendo che sono state avviate le discussioni con Axie Infinity su come garantire che i fondi degli utenti, che al momento non possono prelevare o depositare all’interno del network, non vadano persi.
Ronin sta inoltre collaborando con il principale tracker blockchain Chainalysis per rintracciare i fondi rubati, che dovrebbe ancora essere in gran parte nel portafoglio digitale dell’hacker.
L’anello debole della catena
Ad agevolare l’azione degli hacker sarebbe stato il meccasnimo dei nodi validatori, alla base delle blockchain proof-of-stake come Ronin, che consumano meno energia rispetto ai sistemi proof-of-work come Bitcoin ed Ethereum. I nodi esaminano le nuove transazioni per confermare che i loro input e output corrispondano e che le firme di autorizzazione siano valide, rifiutando qualsiasi transazione non conforme. L’utilizzo di un numero inferiore di nodi è più rapido ed efficiente, ma come mostra l’hacking, può creare rischi per la sicurezza se la maggior parte dei nodi viene compromessa. È una potenziale vulnerabilità per le blockchain che sono pubblicizzate come più economiche e più rispettose dell’ambiente rispetto a Ethereum.
Secondo Sky Mavis, l’attacco Ronin è stato possibile in parte a causa di una scorciatoia che la società aveva adottato per alleviare un “immenso carico di utenti” sulla sua rete nel novembre dello scorso anno, quando la popolarità del videogame è esplosa nelle Filippine e in altri paesi in cui addirittura alcuni giocatori hanno cominciato a utilizzarlo come un lavoro a tempo pieno. Il sistema è stato interrotto a dicembre, ma i permessi che lo consentivano non sono mai stati revocati. Dopo aver compromesso cinque dei nove nodi di convalida, l’attaccante può teoricamente scavalcare qualsiasi sicurezza di transazione e prelevare tutti i fondi desiderati.
Ecco perché Sky Mavis ha promesso che aumenterà il numero di nodi richiesto a otto per le transazioni e riaprirà il ponte Ronin “in un secondo momento” una volta che sarà certo che non sarà possibile drenare più fondi. “Come abbiamo visto, Ronin non è immune allo sfruttamento e questo attacco ha rafforzato l’importanza di dare priorità alla sicurezza, rimanere vigili e mitigare tutte le minacce”, ha affermato la società. “Sappiamo che la fiducia deve essere guadagnata e stiamo utilizzando ogni risorsa a nostra disposizione per implementare le misure e i processi di sicurezza più sofisticati per prevenire futuri attacchi”.

COMMENTO: non importa aspettare gli attacchi dei quantum computers. il sistem block-chain è in braghe di tela. il fatto di avere pochi nodi di convalida (sistema proof-of-stake) non è sicuro. i soldi rubati sono veri. anche nel campo dei giochi deve essere rivisto il discorso della block-chain. i soldi dei giochi devono essere diversi dai soldi veri. Come nel gioco di Monopoli che avevamo da giovani, con banconote che per formato e stampa nessuno avrebbe scambiato con dollari veri. il sistema finanziario deve abbandonare la block-chain per monete digitali CBDC. di cui la nostra Real Digital Currency è l’unica che certifica la validità decriptando il messggio crittografato. Vedi negli altri articoli come funziona.

ARTICOLO RUBATI 625