giovedì 22 dicembre 2016

L'Attacco Hacker Ad Ethereum e The D.A.O.

Venerdi 17 giugno 2016 è andato in scena uno dei più grandi attacchi informatici di sempre, almeno per quanto riguarda il lato economico e le valute virtuali (Ethereum).
Ma cos'è Ether? Si tratta sostanzialmente di una piattaforma di moneta virtuale nata nel luglio 2015 e considerata sino ad allora molto sicura.
Come vedremo poco sotto, qualcuno ha violato il Blockchain, la tecnologia che guida l’utilizzo della moneta virtuale del fondo Ether,


THE D.A.O.
Cominciamo con il dire che il D.A.O. è un un fondo di investimento online che permette ai possessori del Token (azioni) di discutere e decidere in cosa investire gli Ether raccolti: nessuna decisione può essere presa, se non c'è l'accordo di tutti.
Come si "comprano" Token? Ovviamente investendo soldi (si ricevono indietro Token quindi capacità decisionali, se vogliamo).
Le regole di funzionamento di The D.A.O. dipendono dal suo codice di programmazione che gira sulla blockchain di Ethereum.
Ethereum stesso come Bitcoin nasce come sistema decentralizzato e zero trust, ovvero non esiste nessuna autorità a livello ufficiale, tuttavia come detto all’interno del sistema Ethereum le parti in causa si attribuiscono una serie di poteri in ragione del possesso di quote “azionarie” rappresentate da un Token, invece il "contratto legale" è rappresentato dal codice di programmazione stesso.
La D.A.O. più ricca si chiamava The D.A.O. e a giugno aveva raccolto qualcosa come 117 milioni di dollari in Ether durante la sua sottoscrizione.


L'ATTACCO: RECURSIVE CALL
Il codice di programmazione di The D.A.O. era afflitto da un grave bug, in sostanza questo codice permetteva di farsi dare indietro gli Ether investiti senza che le corrispondenti azioni (Token) venissero scalate.
In sostanza è stata adottata la tecnica della “Recursive Call”: una transazione che sposta denaro dal D.A.O. a un altro fondo, in un ciclo che si ripete continuamente (ipoteticamente, all'infinito).
Infatti il 17 giugno 2016 qualcuno sfruttò questa falla svuotando The D.A.O. e portandosi via 3.641.694,24 Ether, ovvero circa 72.833 Bitcoin (al cambio attuale 55.917.885.83 milioni di euro).
Prima che l’operazione fosse interrotta milioni di Ether avevano già cambiato proprietario.
Il mercato ha ovviamente affossato The D.A.O. (il cui Token è quotato) ed Ethereum (valore diminuito del 25%).
Del resto però se il contratto è il codice stesso, eventuali azioni di questo tipo sono da definirsi "legali" quindi il contratto rimane valido.
Tra l'altro il problema di sicurezza che ha permesso lo svuotamento di The D.A.O. era conosciuto, segnalato quasi due settimane prima, tuttavia (stranamente) non vennero presi provvedimenti.
E quindi chi ha agito contro gli investitori di The D.A.O. non ha violato alcuna norma contrattuale, l’ha sfruttata a suo vantaggio.
Per evitare che il pirata informatico potesse riconvertire la sua valuta virtuale in denaro "reale" il programmatore russo Vitalik Buterin, co-fondatore di Ethereum, decise di congelare l'intero fondo.
Il che vuol dire che tutti i membri che possedevano gettoni D.A.O. non potevano accederci.
Come detto però, dato che il D.A.O. è decentralizzato, non esistono condizioni di utilizzo o regolamentazioni (cioè è il codice informatico a governare, non ci può essere nessuna interpretazione e decisione umana una volta che è stato "scritto") , per cui l'Hacker su Twitter ha spiegato di aver avuto conferma dai suoi avvocati che le sue azioni sono state perfettamente rispondenti al codice penale statunitense.

"Un blocco temporaneo o permanente corrisponderebbe ad un sequestro dei miei legittimi Ether, richiesti legalmente attraverso i termini di uno smart contract"

L'Hacker, prosegue su Pastebin: "Badate bene: ogni blocco, temporaneo o permanente, danneggerà ulteriormente Ethereum e distruggerà la sua reputazione e la sua attrattività. Mi riservo tutti i diritti di intraprendere ogni azione legale contro qualsiasi complice di furti, congelamenti o sequestri dei miei legittimi Ether, e sto attivamente lavorando in tal senso con i miei avvocati. Questi complici riceveranno delle lettere di diffida a breve nelle loro caselle e-mail"


Nessun commento:

Posta un commento