Il recente hack dei server di Binance, costato più di 40 milioni di dollari in Bitcoin rubati, ha riportato al centro la questione della sicurezza degli exchange, quegli hub finanziari dove in molti scambiano le criptovalute contro altre criptovalute, oppure contro monete nazionali fiat.
Sulla questione è intervenuto anche Forbes, punto fermo dell’informazione economica a livello mondiale, con una lista di 5 miti sulla presunta sicurezza degli exchange e delle nuove tecniche per mettersi al riparo da questi eventi.
Abbiamo deciso di commentare questi 5 miti, da un lato per offrire ai nostri lettori la possibilità di comprendere a fondo quanto riportato da Forbes, dall’altro perché non riteniamo che quanto affermato dalla pur affidabile e autorevole rivista, sia corretto.
1. Anche i cold wallet sono a rischio
Parzialmente vero, come ne è d’altronde dimostrazione quanto appena avvenuto su Binance. Da un lato è sicuramente vero che i cold wallet sono sicuramente più resistenti agli attacchi degli hacker, dall’altro è altrettanto vero che gli hacker non hanno bisogno di attaccare i cold wallet se possono mettere le mani sul funzionamento degli exchange.
Tutti gli scambi di Bitcoin (deposito, invio, ritiro di denaro) devono avvenire comunque online.
I cold wallet non sono in alcun modo una misura di sicurezza sufficiente per il nostro denaro.
2. Occhio a dove si trova effettivamente il server
Nonostante Internet e il Web ci abbiano fatto in parte dimenticare del fatto che i confini fisici esistono, bisogna tenerne conto. Non tutte le giurisdizioni obbligano gli exchange ad implementare misure di sicurezza adeguate e non tutte hanno una legislazione adeguata per quanto riguarda i rimborsi dopo un evento del genere.
Meglio affidarsi a quei server e a quegli exchange che possono vantare una presenza stabile in giurisdizioni che si preoccupano di tutelare i clienti.
In questo specifico caso non possiamo che essere d’accordo con quanto riportato da Forbes.
3. La sicurezza a due fattori non è una sicurezza dubbia
Parzialmente vero. Da un lato è sicuramente vero che avere una doppia autenticazione aiuta, dall’altro invece dobbiamo tenere conto del fatto che in genere questo tipo di attacchi utilizzano vulnerabilità che non riguardano l’autenticazione.
Per farla breve, gli hacker non rubano password, gli hacker in genere sfruttano vulnerabilità del software utilizzato. Puoi avere password molto complesse, oppure sistemi a doppia autenticazione, senza metterti effettivamente al riparo da eventi del genere.
4. Anche gli exchange distribuiti (DEX) sono vulnerabili
Vero. Anche se sono relativamente immuni alle vulnerabilità server side, possono esserci problemi client side. Vale la pena di ricordare che è stato anche dimostrato accademicamente che è possibile utilizzare attacchi take over con credenziali rubate.
Anche se si tratta di strutture decisamente più sicure, non è il caso di ritenersi completamente al riparo da quanto appena detto.
5. Occupati di sicurezza e studia il tuo exchange
Chi vuole mantenere grosse somme all’interno di exchange, dovrebbe farlo esclusivamente dopo aver capito che tipo di strutture di sicurezza tale exchange implementa. Per farlo c’è bisogno di studiare.
Si possono sicuramente correre rischi, ma bisognerebbe farlo sempre avendo contezza di quello che stiamo facendo.