Il lato positivo dell'attacco a Poly Network
![](https://www.wisdomtree.eu/-/media/eu-media-files/blog/refresh-images/technology/cybersecurity/cryptocurrencies_18_1151x564.jpg?h=564&iar=0&w=1151&sc_lang=it-ch&hash=56664DA5A15A5F7555EE9E60C1A57C69)
Il 10 agosto Poly Network, una piattaforma relativamente recente, ha scoperto un ingente ammanco di fondi “immobilizzati”. L’autore (o l’autrice) dell'attacco ha sfruttato una vulnerabilità dei contratti smart utilizzati per gestire Poly Network, riuscendo a sottrarre l’equivalente di 600 milioni di USD in criptovalute. Successivamente ha restituito i fondi...
Questo colpo di scena è tipicamente in linea con le vicende, spesso surreali, che chi lavora da un pezzo nell’ambito degli asset digitali è abituato ad aspettarsi. Per quanto possa sembrare strano a prima vista, questi eventi hanno anche un lato positivo: denotano l’aumento dei livelli di sicurezza nel più vasto ecosistema degli asset digitali, che hanno conseguenze per gli asset manager che operano già in questo spazio o cercano di inserirvisi.
Poly Network è una delle piattaforme più recenti di “de-fi” (finanza decentralizzata) emerse nell’anno in corso: caricando il suo primo codice su Github alla fine del 2020, è riuscita ad attrarre oltre un miliardo di USD in fondi “immobilizzati” per potenziare la sua piattaforma cross-chain.
Dopo aver scoperto ad agosto il furto di un importo di fondi così consistente, gli operatori di Poly Network si sono riversati sui media sociali per chiedere la restituzione degli asset digitali, sottolineando le conseguenze giudiziarie del furto. Poco tempo dopo, gli operatori hanno cambiato tono e si sono di nuovo rivolti pubblicamente al “signor White Hat” per chiedergli di restituire gli asset e offrigli il posto di “Chief Security Advisor” oltre a un bonus di 50.000 USD per aver scoperto il bug. Un giorno o due più tardi, la maggior parte dei fondi è stata restituita.
Perché un hacker dovrebbe restituire tutti quei fondi?
In uno scambio di domande e risposte pubblicato dopo la restituzione degli asset, l’hacker ha spiegato di avere sferrato l’attacco a Poly Network “per divertimento”, non avendo intenzione di tenersi il maltolto. È possibile che sia questa la verità?
Storicamente il percorso preferito dai ladri di asset digitali era il riciclaggio degli asset rubati attraverso intermediari come le borse; oggi non è più così. Da molti anni la maggior parte delle borse applica requisiti di identificazione KYC/AML1 nei confronti degli utenti che scambiano grandi quantità di asset, ma in tempi molto recenti la situazione è cambiata: un esempio è costituito da Binance2, che ora richiede a tutti gli utenti di sottoporsi a questi controlli di identità. Non è più così semplice occultare il percorso degli asset digitali per mezzo delle borse, il che ne rende meno probabile il furto a priori.
L’enorme quantità di asset rubati era troppo consistente per nasconderla o minimizzarla; inoltre, il tracciamento del percorso degli asset digitali è diventato una ghiotta nicchia di mercato. Gli indirizzi dei destinatari sono stati codificati in modo fisso (hardcoding) durante l’attacco a Poly Network: in altre parole, era possibile seguire i fondi finché, alla fine, questi non si imbattevano in una piattaforma o in un servizio di conversione fiat/off ramp. Se non c’era modo di convertire gli asset, perché tenerseli?
Un’ultima conclusione da trarre: lo spazio degli asset digitali è uno dei più conflittuali fra tutti gli ambienti software. Un errore presente in un software di sistema critico, che implica il 100% dell'operatività, finirà per essere scoperto quando il guadagno per il suo rilevamento è così elevato. Non è raro che venga individuato un bug critico in una piattaforma relativamente nuova, che non ha ancora all'attivo gli anni di esperienza maturati da altre piattaforme contro gli attacchi. C’è da aspettarsi che gli hacker colpiscano una piattaforma di finanza decentralizzata più recente, dal momento che non è ancora sufficientemente resistente agli attacchi, anziché quelle più grandi e di lunga data. Ciò si ripercuote sulle modalità di allocazione (adeguata in funzione al rischio) dei portafogli costituiti da asset digitali: si opta infatti per le piattaforme più vecchie e più sicure, che sono meno esposte a questi attacchi informatici.
Segni promettenti di un ecosistema più sicuro e in maturazione
Gli attacchi ai danni di protocolli, “contratti smart” e piattaforme di asset digitali non sono una novità: la vera novità è costituita dalle contromisure emerse per contrastare e limitare le perdite subite a causa degli incidenti di sicurezza informatica. Si tratta di uno spazio in maturazione, che sta diventando più sicuro col passare del tempo, soprattutto grazie all’applicazione di controlli normativi più rigorosi nei confronti di alcuni operatori. Sono tutte buone notizie - ecco il lato positivo - in quanto tale spazio diventa un po' meno un “Far West” e si attenuano il carattere e il livello dei rischi associati all’investimento in questa asset class.
Fonti
1 Anti money laundering (AML); Know your client (KYC)
2 Binance is a cryptocurrency exchange which is currently the largest exchange in the world in terms of daily trading volume of cryptocurrencies
Blog correlati
+ Bitcoin e criptovalute: una frode o il futuro?