Ruba 60 milioni di dollari in criptovalute: 'Questi soldi sono legalmente miei'

Ruba 60 milioni di dollari in criptovalute: 'Questi soldi sono legalmente miei'

Un hacker ha rivendicato un furto di quasi 60 milioni di dollari in Ether, una criptovaluta per smart contract alternativa ai Bitcoin. In base alle dinamiche del furto, la legge potrebbe essere dalla parte del malfattore

di pubblicata il , alle 12:31 nel canale Sicurezza
 

Le criptovalute sono naturalmente affidabili di riflesso all'affidabilità delle tecnologie utilizzate per la gestione, la protezione e gli scambi. Ed Ethereum lo ha scoperto a proprie spese dopo che un aggressore ha rubato circa 60 milioni di dollari in Ether sfruttando delle vulnerabilità presenti in una Decentralized Autonomous Organization (DAO), un collettivo di investimenti. Il raider ha violato una falla "recursive call" nei contratti DAO che amministrano i fondi, per raccogliere quanti più Ether possibili. Ha poi apparentemente segnalato l'avvenimento su un documento pubblicato online in cui sottolinea che i soldi raccolti sono adesso effettivamente suoi per legge.

"Sto giustamente rivendicando la proprietà di 3.641.694 Ether, e vorrei ringraziare la DAO per questo premio", si legge sul documento. "Sono invece deluso da coloro che stanno trattando l'uso di questa feature intenzionale come un 'furto'". L'aggressore si porta ulteriormente avanti minacciando con eventuali azioni legali chiunque tenti di recuperare il denaro "ottenuto" attraverso l'uso di mezzi tecnici. La nota si conclude con dati apparentemente sensibili, come firme digitali e hash, tuttavia gli esperti informatici coinvolti nel caso hanno alcuni dubbi sulla loro attendibilità. Nick Johnson, CEO del progetto Ether, sostiene che la firma non sia valida.

"Per questo sono certo che il messaggio sia una frode, e scritto da qualcuno che vuole portare problemi nella community", ha scritto a TheVerge il dirigente alla base del progetto. Se non fosse una frode, tuttavia, la nota stessa potrebbe rappresentare un ostacolo per le procedure di recupero dei fondi. Al momento il bottino preso dalla DAO è bloccato in un conto vincolato per via di una clausola del contratto dell'organizzazione, e rimarrà lì per 26 giorni. L'unica soluzione apparentemente possibile sarebbe modificare il codice di Ether per rendere temporaneamente la valuta inservibile. Ma andrebbe contro moltissimi corollari del mondo delle criptovalute.

Cosa sono gli Ether? Ethereum è una variazione di Bitcoin che utilizza un linguaggio di programmazione completo, non script semplificati, per supportare i cosiddetti smart contract, ovvero scambi più complessi. Le associazioni che vogliono organizzare una conferenza, ad esempio, devono richiedere soldi a decine di individui, affittare alberghi e sale. Se non si raggiunge un numero minimo di partecipanti il deposito iniziale potrebbe essere restituito. Con Ethereum è possibile scrivere tutte le regole del contratto in linguaggio JavaScript, garantendo un posto nella conferenza a chiunque paghi, un rimborso se non si raggiunge il numero minimo di partecipanti.

Cos'è la DAO? La DAO è una Decentralized Autonomous Organization, in cui parecchi membri comprano delle quote e in base alla percentuale in possesso possono dare il proprio voto. Ci possono essere molti tipi di DAO, come TheDAO che si occupa di fondi di investimento. Comprando le quote si può votare o decidere su quali fondi partecipare e dove investire. È come se fosse un'organizzazione vera e propria, solo che viene eseguita su alcune righe di codice e nella blockchain Ethereum. TheDAO ha raccolto oltre 100 milioni di dollari in Ether, circa un decimo del'ecosistema intero. Quando si lascia il fondo si esegue uno split, che include le quote di Ether non spesi e i token che rappresentano il rendimento degli investimenti a cui si partecipava. 

Come è stata hackerata? Uscendo dal fondo si richiama una funzione chiamata splitDAO() in cui viene eseguito parte di un codice personalizzato per singolo membro che dialoga con il codice della DAO per trasferire la valuta. Il problema è che il codice Ethereum è ricorsivo, che significa che può essere richiamato una seconda volta quando la funzione è in esecuzione. L'exploit usato avviene quando viene richiamata la funzione splitDAO(), che richiama il codice dei destinatari per trasferire la moneta, il quale a sua volta richiamerà di nuovo splitDAO() prima di finire. Questo fa sì che con un codice sviluppato ad hoc il processo continui a ripetersi all'infinito, fino a quando non vengono esauriti tutti i gettoni della DAO.

Sebbene la nota inviata dal presunto aggressore sia effettivamente ambigua, Bloomberg precisa che il codice che definisce i contratti smart potrebbero di fatto permettere un'aggressione di questo tipo, anche se non è un esito che la DAO si aspettava. Potrebbe trattarsi infatti di una violazione legittimata da termini redatti in maniera troppo superficiale, e potrebbero non esserci le dinamiche necessarie per richiedere un ricorso legale. In altre parole: forse non è ancora tempo per basare un investimento su un codice informatico, e non su contratti stipulati da esseri umani, e ogni previsione in tal senso pare essere stata effettuata in maniera fin troppo ottimistica.

18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
CrapaDiLegno20 Giugno 2016, 12:40 #1
AhAh, le cripto valute... Che spasso
demon7720 Giugno 2016, 13:18 #2
Non ho capito perchè dovrebbero essere suoi.
E' entrato in un sistema informatico illegalmente ed ha sottratto la criptovaluta..
E' esattamente come se fosse entrato in una banca forzando la porta ed avesse sottratto valuta reale.

Perchè mai dovrebbero essere legalmente suoi e non rubati?
Sunburp20 Giugno 2016, 13:30 #3
La parte sulla ricorsività del codice pare presa pari pari da un articolo di studio aperto
Comunque queste criptovalute sono un gran casino, e come al solito in pochi si arricchiscono e in tanti sprecano solo preziose risorse e producono CO2 evitabilissimo.
scilvio20 Giugno 2016, 13:32 #4
ethereum è una piattaforma di smart contracts non una criptovaluta non c'entra nulla col bitcoin... gli ether sono la criptovaluta che viene utilizzata per pagare gli smart contracts e le DAPP sulla piattaforma.

le DAO sono compagnie che esistono sulla blockchain dell'ethereum e come dice l'acronimo sono autonome e non hanno nulla a che vedere direttamente con la piattaforma, in questo caso la "vulnerabilità" era nel framework della compagnia e purtroppo è una feature, per questo il tizio dice di aver legittimanete preso il denaro.
benderchetioffender20 Giugno 2016, 14:14 #5
Originariamente inviato da: demon77
Non ho capito perchè dovrebbero essere suoi.
E' entrato in un sistema informatico illegalmente ed ha sottratto la criptovaluta..
E' esattamente come se fosse entrato in una banca forzando la porta ed avesse sottratto valuta reale.

Perchè mai dovrebbero essere legalmente suoi e non rubati?


ipotizzo eh:
perchè la criptovaluta, essendo in competizione con le monete nazionali, non è ancora stata riconosciuta come entità giuridica dalla legge..ovvero la legge non ne fa menzione....

è come se denunciassi un furto di un mucchio di bit non definito....o di un concetto
melo8620 Giugno 2016, 14:22 #6
Originariamente inviato da: benderchetioffender
ipotizzo eh:
perchè la criptovaluta, essendo in competizione con le monete nazionali, non è ancora stata riconosciuta come entità giuridica dalla legge..ovvero la legge non ne fa menzione....

è come se denunciassi un furto di un mucchio di bit non definito....o di un concetto


Tutte cose di cui puoi denunciare il furto

In realta' il quello che viene contestato non e' cosa e' stato rubato, ma se e' stato davvero un furto.. Ha usato una feature del linguaggio in un modo non previsto, per cui ha svuotato tutto. Era cmq una feature del linguaggio, e' come se ci fosse stata una piccola clausola in un contratto che ti frega.. Subdolo ma in teoria valido. Bisogna capire se alla fine sara' etichettata come feature o bug
Phoenix Fire20 Giugno 2016, 14:30 #7
Originariamente inviato da: melo86
Tutte cose di cui puoi denunciare il furto

In realta' il quello che viene contestato non e' cosa e' stato rubato, ma se e' stato davvero un furto.. Ha usato una feature del linguaggio in un modo non previsto, per cui ha svuotato tutto. Era cmq una feature del linguaggio, e' come se ci fosse stata una piccola clausola in un contratto che ti frega.. Subdolo ma in teoria valido. Bisogna capire se alla fine sara' etichettata come feature o bug


il problema lato legge credo sia li, da quanto si capisce dall'articolo, lui è come se avesse registrato un nuovo contratto con clausole particolari, qundi se lo hanno accettato diciamo allora sono soldi suoi, se invece la vulnerabilità sfruttata può essere vista come appunto lo sfruttare una vulnerabilità, allora è furto
Lo ZiO NightFall20 Giugno 2016, 14:46 #8
Se si va a fondo nella vicenda si scopre che il personaggio non ha rubato niente, non ha crackato niente. Il codice della criptovaluta aveva valore come contratto, il codice permetteva di portare via gli eth in quel modo, ergo non ha violato nulla e anzi, se provassero a riprenderseli, potrebbero avere grosse grane. Infatti la "soluzione" di chi con leggerezza aveva "steso" il contratto DAO è quello di fare un hard fork del progetto a PRIMA del misfatto.
cignox120 Giugno 2016, 16:02 #9
Giusto per curiositá; non ci sono dei modi per punire un uso tecnicamente lecito ma 'ideologicamente' scorretto di uno strumento? Ad esempio, se io scoprissi che inserendo al contrario il mio abbonamento degli autobus mi verrebbero accreditati e non addebitati i soldi per la corsa, sarebbe lecito per me usare questo sistema?

A me pare che esistano leggi (o regolamenti) in tal senso...
fraussantin20 Giugno 2016, 16:24 #10
Rubate , secondo quale codice ? Italiano americano cinese?

E chi le processa?
E chi sostiene i costi del processo.


Insomma volete un sistema monetario estraneo alla tutela e al controllo delle nazioni unite , e poi volete il loro supporto?

Direi che ha fatto bene a fare quello che ha fatto .

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^