Un hacker avrebbe rubato 32 millioni di dollari in Ethereum, di nuovo

Il secondo presunto hack della settimana. Viva Ethereum!

|
lug 21 2017, 1:06pm

Image: Shutterstock, Edited by Jason Koebler

Da settimane la criptovaluta e piattaforma per app decentralizzate Ethereum sta continuando a guadagnare l'attenzione dei media generalisti, ed era solo questione di tempo prima che degli hacker cominciassero a prenderla di mira.

Questo mercoledì sembra che un hacker sia riuscito a rubare un equivalente di oltre 30 milioni di dollari in Ethereum, appena due giorni dopo un altro furto del valore di 7,4 milioni di dollari.

Secondo un post scritto da Gavin Wood, fondatore di Parity, un client per ethereum, nel canale ufficiale, una vulnerabilità "critica" presente nel client avrebbe permesso ad almeno tre account di essere compromessi da un hacker per una perdita totale di un corrispettivo di 31.725.019 dollari. Nello specifico, ha scritto Wood, la vulnerabilità avrebbe riguardato il contratto usato per creare un portafoglio multi-signature su Parity 1.5, l'ultima versione. Questi portafogli permettono a più persone di controllare le chiavi crittografiche private che fanno muovere gli ethereum quando la maggioranza degli utenti approva la transazione. Poco dopo, il team di Parity ha pubblicato un blog post per allertare gli utenti sulla vulnerabilità.

"THIS IS NOT A DRILL," ha scritto Wood nel canale. "[Se] avete un multi-utente su Parity, spostate i vostri fondi PRIMA POSSIBILE."

Screengrab: Parity Gitter

Dopo l'hack, c'è stato un tentativo da parte di hacker "whitehat della fondazione" di mettere a sicuro i fondi perduti, ha scritto Wood. (Probabilmente si riferiva alla Ethereum Foundation, che si occupa dello sviluppo dei protocolli. Per ora non ha risposto alla nostra richiesta di commenti.) Ci sono in corso dei tentativi per assicurare i fondi di altri portafogli potenzialmente vulnerabili, ha scritto Wood, ma "verrà fatto un annuncio a tempo debito".

In altri termini, potrebbero esserci altri portafogli affetti dall'hack oltre i tre citati da Wood, ma non è ancora chiaro quali siano stati derubati e quanti siano stati salvati dagli hacker buoni che li restituiranno presto.

"Molti altri portafogli sono stati affetti," mi ha scritto in una mail Manuel Araoz, co-fondatore dell'azienda di sviluppo di smart contract Zeppelin Solutions, tra i primi a pubblicizzare l'hack. Comunque, ha continuato, "non sappiamo ancora se sono hacker buoni o cattivi." Su Reddit un utente ha scritto: "Ecco i 74 ether che avevo. La prima transazione è avvenuta un'ora fa mentre ero a pranzo. Non sono sicuro che sarei riuscito a fermarlo se ne avessi avuto la possibilità." Comunque, un altro utente ha ipotizzato che sia stato un whitehead a spostare i soldi dal portafoglio compromesso, e che sia ancora possibile recuperarli.

Per placare gli animi, Wood ha scritto in una chat di Parity che il team riparerà il tutto "ASAP," ma nel frattempo avvisa anche gli utenti con i portafogli multi-signature di Parity di muovere i loro fondi verso un indirizzo sicuro.

Il presunto hack sarebbe uno dei più estesi nella storia di ethereum, e porta alla mente il DAO hack del 2015. Quella volta, un hacker aveva sfruttato la vulnerabilità di un contratto per rubare un corrispettivo di 53 milioni di dollari. Come soluzione, gli sviluppatori hanno splittato ethereum in due versioni per riottenere i fondi rubati — è stata una mossa azzardata, e all'epoca aveva era stata una condanna.

Ora, sembra che questo tipo di hack accada settimanalmente.