Falla in un client Ethereum: rubati 30 milioni di dollari

Lug 20, 2017 Marco Schiaffino Attacchi, Hacking, In evidenza, News, Vulnerabilità 0

L’attacco ha preso di mira alcuni portafogli “collettivi” gestiti con Parity. Un gruppo di White Hat interviene e salva altri 70 milioni a rischio furto.

L’ennesimo furto di cripto-valuta prende di mira gli utenti che utilizzano Ethereum, una delle monete digitali in maggiore crescita nelle ultime settimane.

Questa volta, però, i pirati informatici non hanno “bucato” i sistemi informatici di una piattaforma o il database di un sito, ma sfruttato una vulnerabilità nel client Parity 1.5. Bilancio della rapina: 30 milioni di dollari in Ethereum, che i pirati informatici hanno dirottato su un loro wallet.

La notizia fa scalpore per due motivi. Il primo è che il client in questione è stato rilasciato solo lo scorso gennaio e non si tratta quindi di un software “vecchio” od obsoleto. Anzi: Parity è la società gestita dal creatore di Ethereum Gavin Wood.

Parity ha immediatamente comunicato il problema ai suoi utenti, ma l’attacco dei pirati è stato decisamente fulmineo.

Il secondo motivo è che l’attacco ha preso di mira proprio i wallet che dovrebbero offrire un maggior livello di sicurezza. Si tratta dei cosiddetti Multi-sig wallet, cioè dei “portafogli” che sono gestiti da più account e che possono essere paragonati a un conto corrente che richiede le firme congiunte dei titolari per qualsiasi movimento.

Nel caso dei Multi-sig wallet, in realtà, è richiesta semplicemente che le operazioni siano autorizzate dalla maggioranza dei titolari, per esempio 3 su 4, un metodo che molti utenti utilizzano per avere un maggior controllo e limitare il rischio (sigh) che qualcuno metta le mani sul loro wallet usando una sorta di sistema di autenticazione multifattore.

Nella maggior parte dei casi, infatti, gli account titolari del Multi-sig wallet sono registrati dalla stessa persona, che li controlla però da dispositivi diversi, per esempio uno smartphone e un computer. In questo modo un eventuale pirata informatico, per accedere al wallet, dovrebbe riuscire a compromettere tutti e due i dispositivi.

Peccato che nel caso di Parity l’uso di client Multi-sig abbia portato esattamente al risultato opposto. E le cose sarebbero anche potute andare peggio. A mitigare il danno è stato infatti il provvidenziale intervento di un gruppo di ricercatori ed esperti di sicurezza che in un post su Reddit si sono presentati come The White Hat Group.

Il gruppo, una volta scoperta la falla, ha provveduto a sfruttarla per svuotare i conti degli account vulnerabili e trasferirli su un loro wallet prima che lo facessero i pirati. Risultato: ora sul wallet del White Hat Group ci sono 70 milioni di dollari in Ethereum che gli hacker intendono restituire ai legittimi proprietari.

Certo che visualizzare un conto simile sul proprio wallet, anche sapendo che è solo una situazione temporanea, deve fare un certo effetto…

Parity ha annunciato che i suoi sviluppatori stanno lavorando a un aggiornamento che permetterà di correggere la vulnerabilità e The White Hat Group si occuperà di creare i Multi-sig account per restituire i soldi agli utenti che sono riusciti a “mettere in sicurezza”.

Condividi l'articolo