L’FBI ha dichiarato che il Lazarus Group, un prolifico team di hacker gestito dal governo nordcoreano, è responsabile dell’attacco informatico del marzo 2022 a una piattaforma di criptovaluta chiamata Ronin Network. Un colpo da 620 milioni di dollari
di Patrick Howell O’Neill
Un bottino non male, ma l’hacking di Ronin è solo uno degli otto colpi portati a termine nell’ultimo anno in cui gli hacker hanno trafugato più di 100 milioni di dollari in criptovaluta. “Le cose stanno andando troppo velocemente perché le persone possano tenere il passo”, afferma Kim Grauer, direttore della ricerca della società di analisi blockchain Chainalysis. “Nella loro strategia di investimento, gli investitori sono consapevoli del rischio di violazioni o addirittura di azzeramento del capitale”.
Secondo Chainalysis, nel 2021, gli hacker criminali hanno rubato circa 3,2 miliardi di dollari in criptovaluta, sei volte di più di quanto registrato nel 2020. Il 2022 è iniziato a gennaio con il caso di Qubit Finance, un nuovo protocollo finanziario decentralizzato che ha perso 80 milioni di dollari a causa degli hacker. Quando il blog di criptovalute anonimo rekt.news ha riportato l’evento, l’autore dell’articolo ha colto l’accelerazione del flusso di episodi simili e si è chiesto: “Ma qualcuno se ne ricorderà la prossima settimana?”
La domanda si è rivelata premonitrice. Prima della fine di quella settimana, la piattaforma di criptovaluta Wormhole è stata violata per 325 milioni di dollari grazie a una debolezza della correzione di sicurezza applicata in modo improprio. Perché questo continua a succedere? Nel settore delle criptovalute, le attività vengono avviate rapidamente e la sicurezza è spesso approssimativa. In questo modo si apre una prateria per i truffatori.
“Ci sono così tante opportunità per le nuove attività online”, afferma Grauer, “che le persone stanno investendo a tassi senza precedenti in piattaforme che non sono molto ben strutturate o gestite. È una strategia di investimento comune investire forse in 50 protocolli e token diversi e sperare che uno di loro si riveli vincente. Ma come fare un adeguato controllo su tutti e 50? Impossibile.
I team mal gestiti che eseguono codice open source sono comuni nelle criptovalute (e altrove). Gli hacker lo sanno, e ne approfittano. Nell’attacco di febbraio a Wormhole, una piattaforma finanziaria decentralizzata (nota come “DeFi”) che fornisce un “ponte” tra blockchain, un hacker ha colpito dopo che il codice open source per correggere una vulnerabilità critica non era stato applicato al progetto principale.
Settimane dopo la sua stesura iniziale, il codice è stato finalmente caricato sulla pagina pubblica di GitHub. Ma il progetto non è stato aggiornato subito e l’hacker ha trovato per primo il codice di sicurezza. La vulnerabilità è stata sfruttata in poche ore.
I più grandi furti di criptovalute riguardavano fondi sottratti da scambi centralizzati. Questo tipo di crimine ammonta ancora a circa 500 milioni di dollari all’anno, secondo Chainalysis, ma impallidisce rispetto a quanto ora viene rubato dalle piattaforme DeFi, che l’anno scorso si è attestato a quasi miliardi di dollari.
La DeFi, un’idea simile ai contratti intelligenti, riguarda la trasparenza e il codice open source sul piano ideale. Sfortunatamente, in pratica, troppo spesso ciò significa progetti traballanti multimilionari tenuti insieme con nastro adesivo e gomma. “Ci sono alcune cose che rendono la DeFi più vulnerabile all’hacking“, spiega Grauer. “Il codice è aperto. Chiunque può esaminarlo alla ricerca di bug. Questo è un grosso problema che abbiamo visto che non accade nel caso degli scambi centralizzati”.
I programmi bug bounty, in cui le aziende pagano gli hacker per trovare e segnalare le vulnerabilità della sicurezza, sono uno strumento di difesa. Si può anche fare riferimento a un’industria artigianale di società di audit crittografici che danno al progetto un sigillo di approvazione. Tuttavia, una rapida occhiata ai peggiori hack crittografici di tutti i tempi mostra che un audit non è una soluzione miracolosa. Wormhole era stato controllato dalla società di sicurezza Neodyme solo pochi mesi prima del furto.
Molti di questi attacchi sono organizzati. La Corea del Nord utilizza da tempo gli hacker per rubare denaro per finanziare i lregime che è in gran parte tagliato fuori dall’economia tradizionale mondiale. La criptovaluta in particolare è stata una miniera d’oro per Pyongyang. Gli hacker del paese hanno rubato miliardi negli ultimi anni. Tuttavia, la maggior parte degli hacker che prendono di mira la criptovaluta non stanno finanziando uno stato canaglia.
Per chi commette un crimine informatico, la sfida più difficile è riciclare con successo tutto il denaro rubato e trasformarlo da codice in qualcosa di utile: contanti, per esempio, o, nel caso della Corea del Nord, armi. È qui che entrano in gioco le forze dell’ordine. Negli ultimi anni, la polizia di tutto il mondo ha investito molto in strumenti di analisi blockchain per tracciare e, in alcuni casi, anche recuperare i fondi rubati.
La prova è il recente attacco hacker di Ronin. Due settimane dopo la rapina, il portafoglio crittografico che deteneva la valuta rubata è stato aggiunto a un elenco di sanzioni statunitensi perché l’FBI è stato in grado di collegare il portafoglio alla Corea del Nord. Ciò renderà più difficile utilizzare il big bounty, ma certamente non impossibile.
“Il riciclaggio è più complesso delle operazioni di hacking”, ha detto a “MIT Technology Review” Christopher Janczewski, che ha lavorato all’IRS (Internal Revenue Service), l’agenzia specializzata in casi di criptovaluta. Per ora, almeno, il rischio continua a giocare un ruolo centrale nel settore.
(rp)