Il passato 23 marzo Ronin, la rete su blockchain che funge da base al popolare gioco Axie Infinity, è stata sottoposta ad un clamoroso attacco. A destare sensazione è stato, in particolare, il bottino collezionato dagli attaccanti: ben 625 milioni di dollari in criptovalute!

Si tratta del maggior bottino mai realizzato nel corso di un attacco hacker ad un bridge, ovvero l’infrastruttura digitale preposta a mettere in collegamento blockchain diverse, permettendo la trasmissione di valore dall’una all’altra.

Occorre precisare che l’attacco a Ronin è arrivato ad appena due mesi da un altro sensazionale assalto, quello di cui è stata vittima Warmhole, altro bridge sottoposto ad un vero e proprio salasso, in quel caso “limitato” a 325 milioni di dollari.

Molto meglio è andata invece a Poly, altra infrastruttura digitale analoga, che dopo un attacco si è vista restituire i 600 milioni di dollari sottratti. Tanto da spingere qualcuno a proporre l’ipotesi che in quel caso si sia trattato di un white hat, ovvero un esperto di informatica dedito a capire i punti deboli di un sistema per poterli segnalare ai responsabili della sua gestione.

Una serie di raid i quali hanno naturalmente contribuito a portare alla ribalta il problema rappresentato proprio dai bridge blockchain. La loro debolezza, infatti, è costata ai sistemi crypto che li adottano oltre un miliardo di dollari di perdite nel corso di un solo anno. Andiamo quindi ad osservarli da vicino in maniera da riuscire a capire meglio i termini della questione.

Bridge blockchain: di cosa si tratta?

Per bridge si intende il sistema che viene approntato nel preciso intento di riuscire a collegare blockchain separate tra di loro, consegnando agli utenti l’opportunità di scambiare un token con un altro, senza dover passare da una struttura la quale funge da intermediario.

Come si dovrebbe sapere, ogni criptovaluta funziona sulla propria blockchain, su cui si svolgono tutte le transazioni nel token di sistema. Per poter trasformare un Bitcoin nel corrispondente valore di Ethereum non esistono però vie dirette. A cercare di bypassare questa strozzatura sono appunto i bridge, o ponti, i quali sono in grado di rendere possibile l’interazione in questione.

In pratica, il meccanismo concepito dagli sviluppatori permette a chi possiede ETH e necessita di SOL, il token che alimenta la rete di Solana, magari per iscriversi ad un gioco, di usare il bridge per lo scambio e per il ritorno al coin di Ethereum una volta terminata l’esigenza. Solana è solo il più noto di questo genere di progetti, ma ce ne sono molti altri cui si guarda con sempre maggiore interesse, proprio per l’importanza di avere ponti in grado di collegare direttamente le reti.

La vulnerabilità dei bridge

Il problema dei bridge, deriva proprio dal meccanismo di scambio concepito, nel corso del quale un determinato tipo di criptovaluta, nel caso specifico ETH, resta bloccato in attesa che il suo possessore abbia finito di usare i SOL ricevuti e torni a cambiarne il rimanente. Nel corso dell’attesa, può capitare che gli ETH vengano attaccati e sottratti, esattamente come può capitare al proprietario di un veicolo che abbia lasciato la sua auto in un parcheggio pubblico per andare a fare acquisti.

A creare l’occasione per riuscire nell’intento è in particolare il fatto che i programmi scritti per dare vita al bridge sono estremamente corposi. La loro complessità, a volte, va a tradursi in veri e propri bugs, buchi di sistema, in cui l’hacker trova terreno fertile per il suo attacco.

Si tratta di un limite irreparabile? Non proprio. E’ stato Kim Grauer, direttore della ricerca presso Chainalysis, società che dedica i suoi sforzi alla sicurezza informatica, a dichiarare che gli hack contro i bridge stanno prendendo il posto di quelli agli exchange, tra cui il più clamoroso è stato quello ai danni di Mt. Gox, avvenuto nel 2014, con grande clamore.

Ciò vuol dire che gli scambi centralizzati sono diventati sempre più sicuri, consigliando la criminalità informatica a rivolgersi al ventre molle del settore, individuato in questo momento proprio nei bridge blockchain. E, come è accaduto per gli exchange, il lavoro di messa a punto renderà sempre più sicuri anche gli stessi.

Come impedire la violazione dei bridge blockchain?

Quindi, come abbiamo visto, la situazione dovrebbe migliorare nel futuro, come è accaduto per gli exchange, in effetti al momento più sicuri di quanto non lo fossero un tempo. Il problema, però, nel presente è in effetti pressante, destando notevole preoccupazione.

Se nel caso di Poly potrebbe essere stato un attacco mirato a dimostrare la permeabilità del sistema, proprio la collaborazione di parti esterne potrebbe rappresentare la soluzione migliore, sotto forma di audit del codice. In pratica l’apporto di competenze esterne potrebbe andare a coprire punti ciechi i quali potrebbero non essere rilevati da sviluppatori interni, anche perché impegnati su una miriade di progetti tali da distoglierne l’attenzione.

Una tesi spiegata da Nick Selby, direttore delle pratiche di assurance presso la società di auditing di sicurezza Trail of Bits, secondo il quale la velocità con cui è cresciuto il mercato ha lasciato molti varchi in cui gli hacker possono affondare i loro colpi. La necessità di proporre sempre qualcosa di innovativo, al fine di respingere gli assalti della concorrenza può cioè rivelarsi letale in termini di sicurezza.

Proprio questa evidente sottovalutazione va quindi a produrre un problema che potrebbe essere curato dalle stesse aziende affidando l’esame del codice ad aziende esterne. Una precauzione la quale, con tutta evidenza, non è stata presa nei casi che abbiamo ricordato, con conseguenze in effetti disastrose.

Leggi anche: Guida alle privacy coin, di cosa si tratta e a cosa servono