Ethereum: c’è la prova di furti per oltre 6mln di dollari in ETH sottratti dai wallet degli utenti

La notizia è apparsa ieri su wired, ed è di quelle da lasciare basiti; un gruppo di sviluppatori avrebbe infatti scoperto che esiste un modo per forzare i wallet ethereum indovinando la relativa chiave privata. Impossibile? A quanto pare no. Tutto nasce dall’intuizione di uno sviluppatore che qualche tempo fa s’è domandato se ci fosse la possibilità che la piattaforma ethereum generasse delle chiavi private deboli e quindi, in quanto tali, facili da indovinare; dopo averci dedicato un po’ di tempo ecco l’inquietante risposta che è venuta fuori da questa intuizione, si, non solo è possibile, ma a quanto pare è anche già stato fatto. Dopo che questa vulnerabilità è emersa, infatti, un team di esperti ha lavorato a lungo per tentare di capire come stessero le cose ed è emerso che negli ultimi anni sono state generate centinaia di queste chiavi private deboli, le quali hanno permesso, come riportato dallo studio apparso nella giornata di martedì, di far letteralmente sparire nel nulla millioni di dollari in ETH. In pratica quello che è venuto fuori è che una quota delle chiavi private deboli generate negli ultimi anni è stata effettivamente usata da qualcuno per derubare i rispettivi proprietari dei wallet. Ma allora, si chiederà qualcuno, questo significa che la crittografia non è sicuro? No, affatto, come al solito la “colpa” (per così dire) è degli utenti. Alcuni portafogli Ethereum, infatti, permettono agli utenti di decidere da se le proprie chiavi (ecco perché se ne sono generate così tante insicure), altri ancora tagliavano le chiavi solo per una frazione della loro lunghezza prevista (a causa di errori di codifica o per inclusione di codice malevolo) alterando così il processo che normalmente rende sicura la crittografia e finendo col generare centinaia di chiavi private deboli. Un attaccante, in particolare, ha suscitato l’attenzione del team di esperti, sembra infatti che un singolo indirizzo sia riuscito ad appropriarsi di oltre 6mln di dollari degli utenti, replicando la stessa identica tecnica e il medesimo sforzo elaborato dagli sviluppatori per analizzare questo tipo di vulnerabilità; uno sforzo sicuramente remunerativo, poco ma sicuro. Riassumendo, quindi, questa notizia, che pure non è esattamente rassicurante, comunque non ci deve sconvolgere più di tanto, dal momento che dimostra una cosa che sappiamo già e cioè che la crittografia funziona fino a quando noi operiamo con le adeguate misure di sicurezza; persone inesperte, o semplicemente poco attente, rischiano comunque di vedersi derubate dei propri soldi, ma questo non perché la tecnologia non funzioni ma semplicemente perché sono loro ad usarla senza averla pienamente compresa. Insomma, la solita lezione che il mondo delle cripto impartisce sempre con un certo rigore, occorre stare attenti a come gestiamo le nostre chiavi private, in caso contrario non ci sarà alcuna assistenza clienti presso cui andarsi a lamentare.