Ormai tutti vogliono pacioccare con le criptovalute. Le due più richieste sono BitCoin ed Ethereum. Ma la crescente diffusione inizia ad evidenziare le carenze del sistema. I problemi aumentano di pari passo con la diffusione delle valute virtuali. Gli errori diventano sempre più costosi e iniziano a fare notizia. Ora un utente ha accidentalmente fatto fuori 280 millioni di dollari.
Ooops, I Did It!
La storia è narrata per intero nell’avviso di sicurezza lanciato il 7/11/2017 da Parity Tech. Il 20 Giugno 2017 è stata rilasciata la nuova versione della libreria per il Parity Wallet per risolvere un problema di sicurezza sulle transazioni multi-signature. L’upgrade era diventato necessario dato che qualcuno si era appena fregato 30 millioni in criptovaluta sfruttando le falle di sistema.
Purtroppo anche la nuova versione presenta una vulnerabilità. Semplificando molto si potrebbe dire che chiunque può diventare esclusivo proprietario di un fondo in multi-proprietà. I portafogli multi-sign sono contratti di transazioni Ethereum sottoscritti da più persone. Richiamando una particolare funzione del codice di Parity è possibile sovrascrivere l’autorità degli altri proprietari e diventare il signore e padrone del malloppo. Una falla piuttosto consistente che questa volta si è attivata per errore dando risultati spettacolari. Puoi addirittura leggere la cronaca passo passo dello smarrimento di 280 millioni.
Voglio solo Veder Bruciare l’Ethereum
In Batman-Il Cavaliere Oscuro c’è una scena famosa: Joker incendia una montagna di soldi dopo aver fatto di tutto per averli. Più o meno è successo così con Ethereum. Un utente ha accidentalmente sfruttato la falla per impossessarsi di un portafoglio condiviso e poi ha commesso un suicidio virtuale cancellando il codice della funzione in libreria. Come risultato ottieni 280 millioni di dollari bloccati senza proprietari che possano riscuoterli. L’utente GitHub devops199 si è attribuito l’impresa e probabilmente c’è molta gente che ora vorrebbe carezzargli la schiena con un randello nodoso. Pare che 90 millioni dei fondi bloccati appartenessero direttamente a Gavin Woods, fondatore di Parity Technologies.
Tutti al Lavoro e altre Patch
Ovviamente Parity ha chiesto agli utenti di non effettuare più transazioni in multi-firma attraverso il suo client. Occorre ancora identificare l’estensione del danno e verificare se sia possibile recuperare il denaro. Di sicuro è una brutta ombra sulla piattaforma di Parity che potrebbe avere pesanti ripercussioni. In fin dei conti è la seconda falla grave che si attiva in un unico anno. L’incidente evidenzia che la sicurezza delle criptovalute come Ethereum e BitCoin dipende soprattuto dalla capacità tecnica dei suoi utenti. Pacioccare senza cognizione di causa può causare danni piuttosto consistenti in pochi click.