Scoperta una vulnerabilità di sicurezza nella piattaforma blockchain

Il metodo di pagamento digitale Ether è la seconda criptovaluta più utilizzata dopo il Bitcoin. In termini tecnologici, tuttavia, la piattaforma blockchain Ethereum, su cui l'ETH è realizzato, è molto più avanti del leader di mercato. Mentre i bitcoin possono essere utilizzati quasi esclusivamente per transazioni monetarie, le transazioni su Ethereum possono anche essere legate a condizioni contrattuali, i cosiddetti "contratti intelligenti". Si tratta di piccoli programmi informatici che vengono eseguiti quando la transazione monetaria corrispondente ha avuto luogo o, al contrario, innescano una transazione monetaria o la consegna di dati quando vengono eseguiti.

Mercoledì scorso, Ethereum avrebbe dovuto subire uno dei suoi regolari aggiornamenti. Tuttavia, l'aggiornamento è stato interrotto all'ultimo minuto, grazie a una soffiata dello spin-off dell'ETH. pagina esternaCatena di sicurezza. Hubert Ritzdorf, direttore tecnico di Chainsecurity e dottorando alumni, si è reso conto che l'aggiornamento avrebbe aperto una vulnerabilità di sicurezza. Ha informato il team centrale di Ethereum, che ha quindi bloccato l'aggiornamento. "Se l'aggiornamento fosse stato eseguito come previsto, gli utenti avrebbero potuto attaccare alcuni contratti con l'intenzione di abusarne e quindi saccheggiare i conti di altri utenti", spiega Ritzdorf.

Nello specifico, la vulnerabilità della sicurezza sarebbe sorta perché Ethereum ha voluto ridurre significativamente il prezzo che gli utenti devono pagare per l'esecuzione dei contratti intelligenti. L'obiettivo era quello di aumentare la facilità d'uso. Tuttavia, questa modifica avrebbe comportato la possibilità per gli utenti di creare smart contract annidati con l'intento di abusarne, che avrebbero eseguito una transazione in background più volte invece che una sola. In questo modo sarebbe stato possibile saccheggiare i conti in ETH di altri utenti. Attualmente, una combinazione di prezzi dei contratti più elevati e un importo massimo per transazione rende impossibile l'esecuzione di smart contract nascosti in background.

T?V per i contratti intelligenti

Chainsecurity è stata fondata un anno fa dal professore dell'ETH Martin Vechev e dagli ex dottorandi Ritzdorf e Petar Tsankov. L'obiettivo generale dell'azienda è quello di rendere più sicure le tecnologie blockchain. A tal fine, Chainsecurity sviluppa e gestisce programmi di scansione automatizzati per gli smart contract. I fornitori di tali contratti intelligenti possono essere controllati dall'azienda, garantendo così la sicurezza dei loro contratti. Chainsecurity è quindi una sorta di T?V per gli smart contract. Ciò è interessante per le aziende che immettono criptovalute sul mercato ("mining"), ma anche per tutti gli altri fornitori di prodotti blockchain, come le piattaforme di trading e le compagnie di assicurazione.

Ritzdorf ha scoperto l'attuale vulnerabilità di sicurezza pochi giorni fa, mentre stava identificando il potenziale impatto del previsto aggiornamento di Ethereum (pubblicato in dettaglio in anticipo) sugli smart contract esistenti dei clienti aziendali e aggiornando gli strumenti di test di sicurezza dell'azienda.

"I contratti intelligenti non sono eseguiti né da esseri umani né da un sistema informatico controllato da una singola azienda. Sono invece eseguiti da una sorta di macchina globale. Questo crea un alto livello di fiducia in termini di sicurezza", spiega Tsankov di Chainsecurity. "Tuttavia, la sicurezza è elevata solo se il software e i singoli smart contract non presentano vulnerabilità di sicurezza. Controllare questo aspetto e garantire la sicurezza ai nostri clienti è il nostro modello di business".