Giacomo Dotta,

Per la prima volta nella storia, la Blockchain rende possibile la presenza di una moneta digitale decentralizzata che circola liberamente. Prima del suo avvento, infatti, i beni digitali erano in genere copiabili. Grazie al design della Blockchain, invece, la stessa moneta non può essere mandata contemporaneamente a due persone diverse, impedendo il “Double Spending” e la replicazione della moneta. La Blockchain risolve, quindi, un problema noto come “Problema dei Generali Bizantini”, e permette l’issuance di digital assets senza entità centrale e senza possibilità di falsificazione.

Questo​ ​risolve​ ​tutti​ ​i​ ​problemi? No, perché è possibile che la moneta venga comunque rubata. Insito nella natura di un valore condiviso e spendibile v’è infatti il possesso del bene stesso affinché ognuno possa spendere esclusivamente quella parte di valore di cui ha il controllo. Un Bitcoin, così come un Euro, è dunque sotto il controllo di un utente finché quest’ultimo può liberamente disporne; se il controllo passa ad un’altra persona (con condotte più o meno lecite, come una transazione o un furto), automaticamente il valore non è più spendibile e se ne perde di fatto il possesso. Proprio come le altre monete e i normali portafogli (quelli veri, che abbiamo in tasca o nella borsetta), anche i Bitcoin si possono pertanto rubare. Prestando poca attenzione, infatti, si rischia di facilitare l’accesso ai propri Bitcoin, mettendone in discussione la gestione e quella che più generalmente viene percepito come un vero e proprio “possesso”.

Il furto di Bitcoin, proprio come con il contante, è un’operazione irreversibile ed è possibile che non vi sia alcun indizio relativo all’identità del cyber-criminale o alle modalità di sottrazione dei Bitcoin stessi. L’operazione avviene come una normale transazione all’interno della Blockchain e le operazioni sulla Blockchain possono essere prossime all’anonimato totale. A questo punto, a fronte di un furto di criptovaluta, il modus operandi delle Forze Dell’Ordine dovrebbe essere proprio quello tradizionale: identificare il malfattore e ottenere “fisicamente” il maltolto, nello specifico, le chiavi private a controllo della criptovaluta rubata.

Il​ ​furto​ ​di​ ​criptovalute

Pensando agli attacchi dei cyber-criminali, si può fare riferimento ai svariati attacchi subiti dagli Exchange, come ad esempio Mt. Gox. All’epoca dell’attacco ad Mt. Gox, i clienti avevano riposto la propria fiducia in una buona gestione dei Bitcoin da parte dell’Exchange (nonostante fosse nota da tempo la potenziale fragilità del sistema Mt.Gox). Come è stato possibile?

Il problema era che in Mt. Gox, per transare, era sufficiente un’unica chiave, e questa unica chiave era totalmente in controllo del gestore della piattaforma. Ai criminali, dunque, sarebbe stato sufficiente entrare in possesso di una sola chiave per rubare i Bitcoin ad ogni cliente. Come in altri exchange, difatti, il ladro è entrato nei server dell’Exchange, in cui erano contenute le chiavi di accesso ai Bitcoin di tutti i clienti. A quel punto, tutti i Bitcoin sono stati rubati e i gestori non hanno trovato più nulla… guardandosi bene dall’avvertire i clienti tempestivamente: cercavano, infatti, senza successo, di recuperare le perdite, negando temporaneamente i prelievi agli utenti, fin quando, sovrastati dalle richieste, hanno dovuto ammettere il disastro.

Come​ ​evitare​ ​di​ ​finire​ ​vittime​ ​di​ ​un​ ​attacco?

Proprio come per il denaro a cui siamo abituati, esistono delle buone prassi da adottare per correre meno rischi di furto, anche con i Bitcoin. Una buona pratica è quella di utilizzare gli Exchange solo per acquistare Bitcoin, per poi spostarli su un Portafoglio che dia il controllo totale, o parziale, delle chiavi in gioco. Si intende per “parziale”, un sistema tale per cui il gestore del wallet NON sia in grado di spostare autonomamente i Bitcoin dei clienti. Infatti è importante sapere che gli Exchange fungono da contenitori delle chiavi di tutti i clienti e, per questo, risultano più appetibili per i cyber-criminali rispetto ad un singolo wallet privato. Se da un lato, infatti, gli exchange prendono maggiori precauzioni di sicurezza rispetto ad un utente privato, è altrettanto vero che la mole di attacchi ricevuta dagli Exchange è di ordine superiore.

Quando si sceglie il portafoglio su cui spostare i propri Bitcoin, è molto importante sceglierne uno che consenta un buon grado di sicurezza sullo spostamento di Bitcoin, meglio ancora se con autenticazione a doppio fattore e sistema multifirma. Cosa vuol dire? Ci sono portafogli “Multi-sig”, ovvero che richiedono più di una chiave per spostare i Bitcoin. Separare le chiavi di controllo dei Bitcoin è sempre più una best practice: se le due chiavi sono possedute da due entità diverse, questo non consente, in caso di un attacco a una delle due parti, di ottenere il maltolto. I portafogli Multi-Sig non azzerano il rischio di furto, ma lo mitigano molto. Infatti un cyber-criminale avrebbe bisogno di attaccare contemporaneamente entrambe le entità in gioco, per ottenere i Bitcoin. Non impossibile, ma estremamente più difficile che riuscire ad attaccare con successo solo una di queste.

Il consiglio degli esperti dunque è quello di fare molta attenzione nel momento in cui si sceglie lo strumento con cui usare i Bitcoin, proprio come quando si sceglie una cassaforte. In particolare alcuni portafogli sono considerabili più sicuri di altri, proprio perché garantiscono che per un ladro non sia possibile effettuare transazioni, avendo attaccato un’unica entità, grazie al sistema Multi-Sig. Fra questi troviamo ad esempio Green Address, Conio e Altana che, seppur con metodi diversi, implementano livelli di transazione multi-firma che offrono al cliente un livello di sicurezza maggiore rispetto ad altri prodotti.

Approfondimento redatto in collaborazione con Conio.com