Il Pentagono rileva importanti vulnerabilità nella blockchain

Oltre il 20% dei nodi che gestiscono i Bitcoin in tutto il mondo utilizzano versioni obsolete del software Bitcoin Core, le cui vulnerabilità possono essere sfruttate dai criminali informatici.

Il Pentagono, tramite la DARPA, Agenzia di Progetti di Ricerca Avanzata di Difesa, ha chiamato a collaborare la società di ricerca di sicurezza Trail of Bits. Questa ha pubblicato un rapporto dal nome “Are Blockchains Decentralized, Unintended Centralities in Distributed Ledgers?” che trae una conclusione inattesa: un gruppo ridotto di partecipati può esercitare un “controllo eccessivo e centralizzato” sulla totalità del sistema della Blockchain, ossia un fatto che collide fortemente con uno dei principi cardine della tecnologia.

La conclusione sarebbe quindi preoccupante per diversi settori, da quello delle criptovalute a quello delle fintech o per chiunque abbia concesso una sicurezza giuridica rafforzata ai contratti intelligenti basati su blockchain, che quindi non appare così immutabile, incontrollabile o manipolabile come si credeva.

All’atto pratico, il rapporto di Trail of Bits si riferisce alle criptovalute più comuni, Bitcoin e Ethereum, e trae le medesime conclusioni per cui con solo la concorrenza di quattro entità, sarebbe possibile arrivare a manipolare massicciamente il Bitcoin. La questione sarebbe poi anche peggiore nel caso di Ethereum visto che basterebbe l’accordo di due entità per arrivare al medesimo risultato. Inoltre, come se ciò non bastasse, Trail of Bits ha rilevato che il 60% della totalità del traffico di operazioni con Bitcoin transita su appena tre ISP.

Le password più vulnerabili al mondo

A peggiorare la situazione di scarsa sicurezza della blockchain verso il settore delle criptovalute, Trail of Bits rivela che ViaBTC, un importante pool di cryptomining, assegna ai propri account la password “123” mentre Slushpool (con oltre 1,2 milioni di Bitcoin oggetto di cryptomining dal 2010) consiglia ai propri utenti di lasciare in bianco il campo dove dovrebbero inserire la propria password.

Inoltre, sono state rilevate importanti mancanze di sicurezza a livello di software, soprattutto poiché la maggior parte dei nodi di Bitcoin utilizzano ancora versioni obsolete del client Bitcoin Core, il che facilita la vita a eventuali criminali informatici che volessero sfruttare le vulnerabilità del sistema, un comune che sembra estendersi al 20% di tutti i nodi esistenti al mondo.