Perché la sicurezza degli Exchange Crypto è fondamentale

Cosa è un Exchange

Un Exchange Crypto è un marketplace su internet nel quale è possibile convertire valute fiat in cryptovalute e fra cryptovalute stesse.
Chi vuole investire in cryptovalute può quindi iscriversi ad una di queste piattaforme, lasciare le proprie generalità, trasferire dei fondi in valute fiat per poi trovarsi la cifra corrispondente nella crypto valuta desiderata sul proprio conto crypto.
Gli Exchange sono in sostanza aziende che gestiscono la propria piattaforma e applicano commissioni alle operazioni eseguite. Gli Exchange più noti sono Binance, Huobi Global e Coinbase, quest’ultimo recentemente quotato al Nasdaq. A seconda dell’Exchange, possono cambiare le valute utilizzabili e la disponibilità di servizi, oltre che la facilità d’uso della piattaforma, ma non solo, infatti anche l’affidabilità e la sicurezza possono cambiare.

Exchange e sicurezza

Gli Exchange nella maggior parte dei casi gestiscono i dati dei clienti mediante un sistema informatico centralizzato, quindi, che non beneficia delle forme di sicurezza della Distributed Ledger Technology. Gli Exchange sono quindi un elemento di grande interesse per gli hacker e al contempo un punto debole del mondo delle cryptovalute. Nei sistemi degli Exchange infatti si trovano i dati personali dei clienti, oltre ai fondi gestiti attraverso la piattaforma e alle informazioni sulle operazioni svolte. La storia delle cryptovalute ha infatti mostrato che i più clamorosi furti di cryptovalute sono avvenuti mediante attacchi a degli Exchange crypto.
Di seguito alcuni esempi.

Mt. Gox

Tra il 2013 e il 2014 sono spariti 650.000 bitcoin dal sito Mt.Gox, circa 25 miliardi di dollari al valore attuale. Mt.Gox ha in seguito dovuto dichiarare il fallimento. Al tempo Mt.Gox, piattaforma giapponese, era il più grande Exchange al mondo: gestiva infatti il 70% delle transazioni del mondo crypto. In seguito alle vicende relative al fallimento, durate molti anni, è stato scoperto un patrimonio di 200’000 bitcoin che era sfuggito ai cybercriminali e che potrà essere ridistribuito tra i clienti di Mt.Gox. Il 20 ottobre 2021 si terrà infatti la riunione dei creditori per l’eventuale approvazione definitiva del piano di rimborso. Le date del rimborso sono invece ancora da definire. Secondo l’agenzia di sicurezza informatica che si occupò del caso, si trattò di sparizione di fondi in seguito a furti perpetrati nel corso degli anni a partire dal 2011, non quindi di un singolo episodio.

Bitfinex

Ad agosto 2016, Bitfinex subisce il furto di 120.000 bitcoin, corrispondenti a 5 miliardi di dollari. Bitfinex é un Exchange di Hong Kong tra i più grandi al mondo.
Il furto è stato possibile a causa di un problema di sicurezza della piattaforma, che peraltro risultava fino a quel momento una delle più sicure. In seguito il sito ha annunciato di rifondere le perdite ai propri clienti (che ammontavano a circa il 36% del patrimonio) mediante l’emissione di un nuovo token. Da successive indagini, tuttavia emerse che l’ammanco di Bitfinex fu anche causato da un’impropria gestione finanziaria.

QuadrigaCX

L’Exchange crypto canadese QuadrigaCX, nel 2019 fu la causa delle perdita dei fondi di tutti i propri clienti, non per un cyberattacco, ma per la morte del suo CEO e la successiva impossibilità all’accesso al suo notebook. Il computer era criptato e accessibile con una password solo a lui nota. Il danno è stato di circa 250 milioni di dollari.
Tuttavia, Ernst & Young, nominata dai giudici curatore fallimentare Quadriga CX, scoprì che i wallet dell’exchange erano vuoti e i fondi erano stati spostati su altri exchange e wallet. Si ipotizzò quindi che probabilmente il CEO non era veramente morto, oppure qualcun altro conosceva le chiavi di accesso ai wallet e approfittò della situazione per impadronirsi dell’intero capitale.

La criticità della sicurezza

Le aziende che posseggono Exchange crypto sanno che un cliente considera la sicurezza e l’affidabilità dell’Exchange come un criterio fondamentale per decidere se trasferirvi dei propri fondi. Va da sé quindi che gli Exchange più grandi e attivi da anni si impegnino per offrire al cliente un contesto operativo che dia il massimo delle garanzie.
Tra gli elementi fondamentali per aumentare il livello di sicurezza vi sono i tipi di wallet utilizzati: gli hot wallet, benché più comodi da utilizzare, presentano livelli di vulnerabilità più alta e richiedono che il resto della piattaforma sia quindi assolutamente sicura.
Altri fattori critici sono il rispetto delle buone pratiche sia della sicurezza, fra cui l’identificare le aree di vulnerabilità e applicare più livelli di sicurezza, che del risk management e di disporre di sistemi di verifica continua delle vulnerabilità ad opera di specialisti esterni all’azienda che si dedichino a test della sicurezza e audit. Vi sono anche fornitori software che vendono soluzioni specifiche per rendere più sicuri i siti degli Exchange.

L’Exhange Security Report

A fine 2018, la società indipendente ICOrating ha reso pubblico il rapporto sulla sicurezza degli Exchange crypto (Exhange Security Report) che comprendeva la valutazione di 135 piattaforme aventi un volume giornaliero di transazioni superiore a 100’000 dollari.
Delle 135 piattaforme, nessuna ha avuto la valutazione A+, mentre il 16% ha avuto valutazione A oppure A- (comunque valutazioni molto alte).
Il rapporto ha valutato quattro ambiti: la sicurezza degli utenti, la sicurezza del nome di dominio, la sicurezza web e la protezione da attacchi Denial of Service. Ogni categoria è stata valutata a livello di vari parametri fino ad arrivare alla verifica dettagliata della protezione dei più comuni tipi di cyber-attacco.

Conclusioni

Varie sono le situazioni che espongono i clienti di un Exchange al rischio di perdita del proprio capitale, dal rischio di cyber-attacchi, a quello del fallimento dell’azienda che possiede la piattaforma.
Dal lato degli exchange, è critico riuscire a garantire la sicurezza ai propri clienti, pena il ridimensionamento del proprio business o persino il proprio fallimento. Per questo, almeno gli exchange più grandi si sono attivati per massimizzare le barriere difensive e per dare garanzie ai clienti in caso di problemi.
L’eterna lotta tra guardie e ladri, che si è trasferita dal mondo fisico a quello virtuale diventa sempre più sofisticata su entrambi i fronti e non avrà mai probabilmente un vincitore, per cui non si può contare solo su difese tecniche ma si deve ricorrere anche a forme di garanzia e assicurazione che tutelino il cliente.