Bitcoin: rubati 3,4 milioni di euro a uno sviluppatore del sistema

Sfruttando il periodo delle festività di fine anno, alcuni criminali informatici avrebbero rubato qualcosa come 217 Bitcoin dal portafoglio personale di utente. Si tratta dell’equivalente pari a circa 3,4 milioni di euro.
Al di là della cifra importante che è stata sottratta, ciò che colpisce è il fatto che la vittima sia uno degli sviluppatori di BitCoin Core ovvero uno dei soggetti che con i propri contributi ha storicamente partecipato all’ottimizzazione del sistema valutario creato nel 2009 da un anonimo inventore, ancora oggi conosciuto con lo pseudonimo di Satoshi Nakamoto.

Già nel 2014, nell’articolo in cui spiegavamo cos’è Bitcoin, parlavamo della sicurezza del sistema che prevede l’utilizzo della crittografia asimmetrica o a chiave pubblica. Quando un utente trasferisce un importo in Bitcoin a un altro utente, questi rinuncia alla sua proprietà aggiungendo la chiave pubblica del destinatario alle criptomonete in oggetto. Queste ultime vengono inoltre firmate con l’apposizione della chiave privata del mittente.
La transazione viene annotata e gestita attraverso una rete peer-to-peer: gli altri nodi validano le firme crittografiche e l’ammontare delle cifre coinvolte.

Ad aver denunciato il furto dei suoi 217 Bitcoin è stato Luke Dashjr, sviluppatore che appunto figura tra i più importanti nomi che hanno contribuito alla crescita della criptovaluta.
Bitcoin Core è un software di sicurezza che aiuta a proteggere risorse del valore di miliardi di dollari: ogni modifica al codice deve essere rivista da sviluppatori esperti.
Tutto ciò per dire che Dashjr non è certo “l’ultimo arrivato” nel segmento Bitcoin e nel mondo della sicurezza.

Eppure, tra il 31 dicembre e il 1° gennaio le sue monete virtuali dal controvalore multimilionario sono state trasferite sui wallet di sconosciuti, senza la sua autorizzazione.

In una lunga serie di tweet Dashjr spiega di non avere ancora idea di come i malintenzionati siano riusciti a “soffiargli” il denaro. Certamente è stata utilizzata la sua chiave privata PGP (Pretty Good Privacy) che è adesso nelle mani dei criminali.

Il CEO di Binance (uno dei più famosi e utilizzati crypto exchange) Changpeng “CZ” Zhao ha offerto il suo aiuto segnalando che qualunque transazione effettuata usando i Bitcoin sottratti a Dashjr verrà immediatamente congelata.
La risposta di Zhao riapre però il dibattito circa l’utilizzo di portafogli autocustoditi e custoditi da terzi.

Dashjr utilizzava un portafoglio di criptovalute autocustodito: è l’utente che genera la coppia di chiavi crittografiche usate a protezione delle criptomonete ed è egli stesso responsabile della sua corretta e sicura conservazione.

Piattaforme come Coinbase, Kraken e Binance forniscono portafogli custoditi: significa che sono responsabili della salvaguardia delle chiavi di ciascun utente. Ogni volta che viene avviata una transazione crittografica, la “firmano” digitalmente utilizzando la chiave privata contenuta all’interno del portafoglio. Tutto avviene automaticamente, con poco o nessun intervento da parte dell’utente. Molti utenti preferiscono i portafogli di custodia perché preferiscono non preoccuparsi della sicurezza. Tuttavia, per altri, affidare il controllo delle proprie chiavi private a terzi è del tutto impensabile.

Il recente fallimento di FTX ha messo in evidenza la potenziale minaccia alla sicurezza e al patrimonio economico di ciascun individuo che i portafogli custoditi possono portare con sé. C’è insomma una concreta possibilità di perdere fondi affidati a terzi.

Quanto accaduto a Dashjr, tuttavia, ci riporta con i piedi per terra e dimostra che neppure i portafogli self-custody sono al sicuro. La vittima può essere bersagliata in molteplici modi per arrivare alla sottrazione della sua chiave privata e in tanti ipotizzano che quel dato possa essere stato rubato nel corso di un incidente di sicurezza confermato da Dashjr tra novembre e dicembre 2022.
Zhao ha voluto “tirare l’acqua al suo mulino” facendo presente, già nelle scorse settimane, che i portafogli self-custody non possono offrire garanzie sul piano della sicurezza e che la maggior parte dei possessori di criptomonete può cadere vittima di attacchi mirati.