Cryptoverse: I ponti della Blockchain cadono in acque agitate

Un altro giorno, un altro hack - e un altro ponte blockchain bruciato.

Quando i ladri hanno rubato una cifra stimata di 190 milioni di dollari dalla società di criptovaluta statunitense Nomad la scorsa settimana, si è trattato del settimo attacco del 2022 che ha preso di mira un ingranaggio sempre più importante della macchina crittografica: I "ponti" della Blockchain - stringhe di codice che aiutano a spostare le monete crittografiche tra diverse applicazioni.

Finora quest'anno, gli hacker hanno rubato criptovalute per un valore di circa 1,2 miliardi di dollari dai bridge, come mostrano i dati della società londinese di analisi blockchain Elliptic, già più del doppio del totale dello scorso anno.

"Questa è una guerra in cui la società di cybersicurezza o il progetto non possono essere vincitori", ha dichiarato Ronghui Hu, professore di informatica presso la Columbia University di New York e cofondatore della società di cybersicurezza CertiK.

"Dobbiamo proteggere così tanti progetti. Per loro (gli hacker), quando esaminano un progetto e non ci sono bug, possono semplicemente passare a quello successivo, fino a quando non trovano un punto debole".

Attualmente, la maggior parte dei token digitali funziona su una propria blockchain unica, essenzialmente un libro mastro digitale pubblico che registra le transazioni di criptovaluta. Ciò rischia che i progetti che utilizzano queste monete diventino isolati, riducendo le loro prospettive di utilizzo su larga scala.

I ponti blockchain mirano ad abbattere questi muri. I sostenitori affermano che giocheranno un ruolo fondamentale nel "Web3", la visione molto pubblicizzata di un futuro digitale in cui la criptovaluta è integrata nella vita e nel commercio online.

Tuttavia, i ponti possono essere l'anello più debole.

L'hack di Nomad è stato l'ottavo furto di criptovalute più grande mai registrato. Altri furti da bridge quest'anno includono un furto da 615 milioni di dollari a Ronin, utilizzato in un popolare gioco online, e un furto da 320 milioni di dollari a Wormhole, utilizzato nelle cosiddette applicazioni di finanza decentralizzata.

"I ponti blockchain sono il terreno più fertile per nuove vulnerabilità", ha dichiarato Steve Bassi, co-fondatore e CEO del rilevatore di malware PolySwarm.

TALLONE D'ACHILLE

Nomad e altre aziende che producono software per ponti blockchain hanno attirato finanziamenti.

Solo cinque giorni prima di essere hackerata, Nomad, con sede a San Francisco, ha dichiarato di aver raccolto 22,4 milioni di dollari da investitori tra cui il principale exchange Coinbase Global. Il CEO e co-fondatore di Nomad, Pranay Mohan, ha definito il suo modello di sicurezza "gold standard".

Nomad non ha risposto alle richieste di commento.

Ha dichiarato che sta collaborando con le forze dell'ordine e con una società di analisi blockchain per rintracciare i fondi rubati. Alla fine della settimana scorsa, ha annunciato una taglia fino al 10% per la restituzione dei fondi violati dal ponte. Sabato ha dichiarato di aver recuperato oltre 32 milioni di dollari dei fondi violati finora.

"La cosa più importante nella criptovaluta è la comunità, e il nostro obiettivo numero uno è il ripristino dei fondi degli utenti del ponte", ha detto Mohan. "Tratteremo qualsiasi parte che restituisca il 90% o più dei fondi sfruttati come un cappello bianco. Non perseguiremo i cappelli bianchi", ha detto, riferendosi ai cosiddetti hacker etici.

Diversi esperti di sicurezza informatica e di blockchain hanno dichiarato a Reuters che la complessità dei ponti potrebbe rappresentare un tallone d'Achille per i progetti e le applicazioni che li utilizzano.

"Uno dei motivi per cui gli hacker hanno preso di mira questi bridge cross-chain negli ultimi tempi è l'immensa sofisticazione tecnica coinvolta nella creazione di questi tipi di servizi", ha detto Ganesh Swami, CEO della società di dati blockchain Covalent di Vancouver, che aveva alcune criptovalute memorizzate sul bridge di Nomad quando è stato violato.

Ad esempio, alcuni bridge creano versioni di monete cripto che le rendono compatibili con diverse blockchain, mantenendo le monete originali in riserva. Altri si basano su contratti intelligenti, patti complessi che eseguono le transazioni in modo automatico.

Il codice coinvolto in tutte queste operazioni può contenere bug o altri difetti, lasciando potenzialmente la porta socchiusa agli hacker.

BUG BOUNTIES

Quindi, come affrontare al meglio il problema?

Alcuni esperti sostengono che gli audit dei contratti intelligenti potrebbero aiutare a prevenire i furti informatici, così come i programmi di "bug bounty" che incentivano le revisioni open-sourced del codice dei contratti intelligenti.

Altri chiedono una minore concentrazione del controllo dei bridge da parte delle singole aziende, cosa che, secondo loro, potrebbe rafforzare la resilienza e la trasparenza del codice.

"I bridge cross-chain sono un bersaglio interessante per gli hacker perché spesso sfruttano un'infrastruttura centralizzata, la maggior parte della quale blocca le attività", ha detto Victor Young, fondatore e architetto capo dell'azienda blockchain statunitense Analog.