Una introduzione a bitcoin, monete virtuali ed alla infrastruttura Blockchain - XIV CONGRESSO NAZIONALE ANSSAIF - ANSSAIF 27/10/2018
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Una introduzione a bitcoin, monete virtuali ed
alla infrastruttura Blockchain
Giancarlo Castorina
XIV CONGRESSO NAZIONALE ANSSAIF
ROMA, 27/10/2018 1AGENDA 1. Valute virtuali: aspetti monetari 2. Il retroterra tecnologico 3. L’economia delle criptovalute 4. Scenari di blockchain in ambito finanziario 5. Sviluppi industriali 6. Regolamentazioni 7. Rischi 8. Frodi Parte del contenuto è tratto da: G. Castorina, “Blockchain in ambito finanziario: scenari ed evoluzione” Facoltà di Ingegneria dell’informazione, Informatica e Statistica, La Sapienza, XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 2
MI PRESENTO …
Giancarlo Castorina [giancarlo.castorina@acm.org]
25+ anni di attività nella sicurezza delle informazioni
11+ anni in un Istituto di Credito
(CISO, Responsabile SGSI, …)
CISA, CISM, CRISC, CSX, LA27001, LA22301, LA9001, UNI10459
Disclaimer:
le opinioni presentate sono esclusivamente personali e non
impegnano in alcun modo il mio datore di lavoro e in nessun
modo rappresentano consigli su investimenti finanziari
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 3PREQUEL: PRIMA DI “BITCOIN”
Il termine «bitcoin» appare per la prima volta nel 2008 nel documento «Bitcoin: a Peer-to-
Peer Electronic Cash System» e la sua originalità consiste anche nell’assemblare idee
provenienti da ricerche ed esperienze precedenti
• Esempi di monete virtuali
• Universal Electronic Cash
• eCache
• Tecnologie
• Crittografia a chiavi pubbliche e private
• Reti Peer to Peer
• Struttura degli Alberi di Merkle
• Protocolli
• Hashcash
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 4PREQUEL: PRIMA DI “BITCOIN”
Interview with eCache Operators, by Jonathan Logan December 17 2007
[https://www.scribd.com/document/27467097/Interview-With-Operator-of-eCache]
“With the USA and other states cracking down on digital gold currencies it has become clear that a
structure that is too open invites predators. e-gold has been attacked and funds frozen or actually stolen,
Liberty Dollar has been raided, several exchangers and value transfer system operators have
experienced some rather big troubles. None of these things increased trust in digital gold currencies.
So, you have to reconsider the whole concept of “offshore” DGCs. Nothing can keep those bureaucrats
from attacking things they do not understand or approve of.
I have to admit that I am not brave or stupid enough to risk any of this. That’s why we do not mention our real
names, that is why our servers are only connected to the Tor network, that is why our backing is in
a place never mentioned in public. In my opinion that is the only reasonable way to operate any such system
without implementing “Know your customer” rules or risking complete disaster.
Another way is to keeping the eCache operated mint small and going for a
distributed ecosystem as soon as possible.”
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 51. bitcoin come “Moneta” Le caratteristiche tipiche di una moneta sono riscontrabili anche nei bitcoin: • Non deperibilità: essendo svincolate da oggetti materiali, i bitcoin ovviamente non possono deperire; possono essere persi, ma di certo non rovinarsi; anzi, la caratteristica distribuita della blockchain pone al riparo dalla perdita di integrità che può affliggere singoli archivi informatici • Divisibilità: l’unità minima di misura utilizzata per i bitcoin è il “satoshi”, corrispondente ad un centomilionesimo (10-8) di bitcoin • Verificabilità/autenticità: l’autenticità dei bitcoin che si ricevono è assicurata dalla blockchain e dalle tecnologie crittografiche sottostanti • Controllo della Disponibilità: per esplicita scelta iniziale, il numero di bitcoin che mai saranno in circolazione è limitato a 21 milioni (nel 2018 vi sono già più di 17 milioni di bitcoin circolanti) Non vi è però nessuna autorità centrale cha operi a garanzia del suo valore e della sua stessa capacità di agire come moneta reale. La fiducia viene quindi riposta (da parte di chi vuole riporvela) nella solidità del sistema stesso che è stato avviato e nella sua irreversibilità. XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 6
1. “Valuta virtuale” (“Virtual
Currency”)
• D. Lgs 90/2017 («Attuazione della direttiva (UE) 2015/849
relativa alla prevenzione dell'uso del sistema finanziario a
scopo di riciclaggio dei proventi di attività criminose e di
finanziamento del terrorismo»)
«valuta virtuale: la rappresentazione digitale di valore, non
emessa da una banca centrale o da un'autorità pubblica, non
necessariamente collegata a una valuta avente corso legale,
utilizzata come mezzo di scambio per l'acquisto di beni e
servizi e trasferita, archiviata e negoziata elettronicamente»
La definizione è ripresa dalla proposta di modifica nella Direttiva Europea
Antiriciclaggio (AMLD5), approvata nel 2018 con piccole differenze
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 71. “Valuta virtuale” :
Capitalizzazione
Dati relativi al 27/10/2018 ore 6.30 [fonte: coinmarketcap.com]
• Bitcoin:
• Valore: $ 6.487,00 (picco del 17/12/2017: $ 19.279,90)
• Capitalizzazione: $ 112.508.812.208
• Percentuale di «mercato»: 53,8 %
• Complessivamente:
• Monete virtuali censite: 2076
• Capitalizzazione: $ 209.380.068.424
• picco del 6/1/2018: $ 795.832.000.000
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 81. “Valuta virtuale” :
Capitalizzazione
Andamento valore bitcoin [fonte: coinmarketcap.com]
1/1/2017 1/1/2018
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 91. “Valuta virtuale” :
Capitalizzazione
Andamento valore tulipani
[http://www.consob.it/web/investor-education/la-bolla-dei-tulipani1]
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 102. Il retroterra tecnologico
• Comunicazioni
• Bitcoin si basa su protocolli P2P (peer-to-peer)
• Memorizzazione
• La base dati è decentralizzata (“Blockchain”)
• Ciascuno dei partecipanti (“nodo”) ne gestisce una copia (>75 GB)
• I client “light” conservano solo gli header dei blocchi e ne caricano il
contenuto solo quando serve
• Crittografia
• Crittografia a chiave pubblica e privata
• Hash
• Firma Digitale
• Logica applicativa
• Smart Contracts
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 112. Il retroterra tecnologico:
Blockchain
• Una “blockchain” è una struttura di dati costituita da una
sequenza ordinata di blocchi, ciascuno collegato al precedente
tramite l’utilizzo di funzioni crittografiche
• E’ aggiornata di continuo tramite l’aggiunta di nuovi blocchi in
coda.
• Si parla di “registro o libro giornale pubblico” (“public ledger”)
• A seconda della possibilità di accesso sono definite:
→ «Permissionless blockchain»: non vi è limitazione
nell’accesso alla rete dei partecipanti
→ «Permissioned blockchain»: l’accesso è limitato ai
partecipanti di una comunità definita
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 122. Il retroterra tecnologico:
Blockchain
La struttura dati
• Ciascun blocco che costituisce la Blockchain è sostanzialmente un
contenitore di transazioni. Esso è formato da una testata (“header”) e da
una lista di transazioni, mediamente circa 500.
• La testata contiene l’hash del blocco precedente, che svolge il ruolo di
collegamento tra di essi, e, oltre ad altri campi, anche l’hash della radice
di una struttura ad albero delle transazioni contenute nel blocco.
• L’hash della testata di un blocco ne costituisce l’identificativo principale e
permette di verificare l’integrità della catena, cioè che nessun blocco
risulta mancante.
• Le transazioni contenute nel blocco sono gestite da una struttura ad albero
binario denominata “Merkle Tree”, in cui ogni nodo della struttura
contiene l’hash dei nodi sottostanti
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 132. Il retroterra tecnologico:
“Proof of Work”
• In un sistema senza autorità centrale uno dei problemi principali è quello di
determinare una modalità con cui possano venire confermati gli
aggiornamenti alla propria base dati («Problema dei Generali Bizantini»)
• La “proof-of-work” consiste nel risolvere un problema di calcolo che richieda
elevate risorse computazionali, tali da rendere improbabili isolati attacchi e
che tragga invece giovamento dalla crescita stessa della rete di partecipanti.
• l’algoritmo utilizzato (inizialmente definito da Hashcash, un protocollo anti-
spam) richiede che, partendo da una stringa da validare, venga calcolata una
impronta (hash, ad esempio attraverso la funzione SHA-256) che abbia la
caratteristica di iniziare con un numero minimo predeterminato di zeri
• il requisito che una stringa di 256 bits inizi con 70 zeri comporta mediamente
l’esecuzione di 269 (pari a circa 590 miliardi di miliardi) tentativi
• qualora si volesse alterare una blockchain occorrerebbe dotarsi di
potenza di calcolo superiore a quella utilizzata da almeno la metà dei
partecipanti (il che corrisponde ad avere da soli una capacità superiore a
quella complessiva di tutti gli altri), operazione inizialmente non ritenuta
verosimile se non, forse, nel caso in cui entrassero in gioco potenze statali.
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 142. Il retroterra tecnologico:
“Proof of Work”
Fonte: https://digiconomist.net/bitcoin-energy-consumption
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 152. Il retroterra tecnologico: “Smart
Contracts”
• Ethereum nasce con l’intento di aumentare le funzionalità della
blockchain di Bitcoin e di offrire una piattaforma completamente
programmabile su una infrastruttura decentralizzata.
• Oltre ad account simili a quelli di Bitcoin (qui chiamati “externally owned
accounts”), sono introdotti dei “contract account”, dotati di codice di
programmazione proprio, capacità di memorizzazione di dati e
informazioni persistenti e che vengono attivati alla ricezione di
messaggi.
• Accanto al concetto di Smart Contract, può associarsi quello di “Smart
Property”, cioè della proprietà di un bene (materiale o immateriale)
rappresentata dalla sua registrazione in una blockchain e dal controllo
delle relative chiavi private. Ciò costituisce la base per utilizzi di natura
anagrafica: ad esempio catasto urbano, certificati anagrafici, proprietà
intellettuale in vari ambiti, ecc.
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 163. L’economia delle monete virtuali
• Sviluppi tecnologici su blockchain o modelli simili
• Blockchain-as-a-service
• Piattaforme di scambio
• Mining
• Vendita di hardware specializzato (schede CPU, wallet hardware, ATM)
• Data Center specializzati in paesi a bassi costi elettrici
• Raccolta di fondi (ICO)
• gestione di titoli o di strumenti finanziari
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 174. Scenari di utilizzo di Blockchain
in ambito finanziario
• Pagamenti e Carte di pagamento
• possibilità di ridimensionare il ruolo degli intermediari, favorendo
anche, in certi casi (ad es. bonifici) la velocità di esecuzione
• Bitcoin ATMs
• Credito
• erogazione di finanziamenti con garanzia di terzi o vincolati a
determinati utilizzi
• Finanza
• gestione di titoli o di strumenti finanziari
• «Know Your Customer»
• gestione integrata dell’identità
• Finanziamenti
• ICO («Initial Coin Offering»): raccolta di fondi necessari ai propri
progetti di sviluppo
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 184. Scenari di utilizzo di Blockchain
in ambito finanziario
Fonte: Banca d’Italia, Convegno La tecnologia blockchain: nuove prospettive per i mercati finanziari -
21/6/2016
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 194. Scenari di utilizzo di Blockchain
in ambito finanziario
Fonte: Banca d’Italia, Convegno La tecnologia blockchain: nuove prospettive per i mercati finanziari -
21/6/2016
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 204. Scenari di utilizzo di Blockchain
in ambito finanziario
Fonte: Banca d’Italia, Convegno La tecnologia blockchain: nuove prospettive per i mercati finanziari -
21/6/2016
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 215. Sviluppi industriali
Il Consorzio R3 e Corda
• Il Consorzio R3 è stato costituito nel settembre 2015, da parte di 9
istituti finanziari (Barclays, BBVA, Commonwealth Bank of Australia,
Credit Suisse, Goldman Sachs, J.P. Morgan, Royal Bank of Scotland,
State Street, and UBS). Il numero di aderenti è progressivamente
cresciuto sino a superare i cento nel 2017
• Ricerca di soluzioni tecnologiche basaste su blockchain che
superino le ricorrenti problematiche di interoperabilità che si
riscontrano nella gestione dei mercati bancari e finanziari: la
piattaforma sviluppata («Corda») è però esplicitamente basata su
protocolli e tecnologie diversi da quelli utilizzate dalle varie
blockchain (dopo aver investito 59M $ …)
• Corda mantiene i principi architetturali di una “distributed ledger
technology”; non ha «proof of work», ma «notaries»
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 225. Sviluppi industriali
Hyperledger Fabric
• Il progetto Hyperledger è stato lanciato nel 2015 dalla
Linux Foundation come collettore di una serie di progetti
legati alle distributed ledger technologies (DLT).
• Hyperledger Fabric è un framework di implementazione,
sviluppato inizialmente da IBM e Digital Asset, per lo
sviluppo di applicazioni e soluzioni
• Si tratta di una piattaforma infrastrutturale e non ha
monete virtuali direttamente associate
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 236. Regolamentazioni
• Il mondo delle valute virtuali è largamente «non regolamentato»
• Dal 2014 EBA (l’Autorità Bancaria Europea) auspica una regolamentazione a livello di Comunità
Europea e, in attesa di regolamentazioni più organiche, «scoraggia» gli istituti di credito e
finanziari dall’intraprendere azioni di acquisto/conservazione/vendita di monete virtuali al fine
di proteggere la stabilità dell’attuale sistema finanziario da rischi derivanti dalle monete virtuali
• Banca d’Italia ha fatto proprie le indicazione di EBA nel 2015, dividendo esplicitamente il tema in
due contesti:
• l’utilizzo: “In Italia, l’acquisto, l’utilizzo e l’accettazione in pagamento
delle valute virtuali debbono allo stato ritenersi attività lecite”
• le attività tipiche di un soggetto bancario: «le attività di emissione
di valuta virtuale, conversione di moneta legale in valute virtuali e
viceversa e gestione dei relativi schemi operativi potrebbero invece
concretizzare, nell’ordinamento nazionale, la violazione di disposizioni
normative, penalmente sanzionate, che riservano l’esercizio della
relativa attività ai soli soggetti legittimati»
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 246. Regolamentazioni
• Dal punto di vista fiscale, in Europa l’acquisto e la vendita di
monete virtuali non sono considerati investimenti finanziari e, di
conseguenza, non sono soggette a tassazione di plusvalenze
• Antiriciclaggio:
• La revisione della direttiva antiriciclaggio (AMLD5), introduce la definizione
di «valuta virtuale» e aggiunge all’elenco dei soggetti destinatari della
regolamentazione (cosiddetti “soggetti obbligati”) i “prestatori di servizi la cui
attività principale e professionale consiste nella fornitura di servizi di cambio tra
valute virtuali e valute legali” ed i “prestatori di servizi di portafoglio digitale
che offrono servizi di custodia delle credenziali necessarie per accedere alle
valute virtuali”.
• Sulla base di tali principi, Il Decreto Legislativo 90/2017 novella il Titolo I del
D.Lgs 231/2007, introducendo le definizioni di “valuta virtuale” e “prestatori
di servizi relativi all'utilizzo di valuta virtuale”, sottoponendo questi ultimi alle
prescrizioni in tema di lotta al riciclaggio ed al finanziamento del terrorismo,
seppure “limitatamente allo svolgimento dell'attività di conversione di valute
virtuali da ovvero in valute aventi corso forzoso”
• Il MEF ha proposto uno schema di Decreto per il censimento dei prestatori di
servizi di valuta virtuali
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 257. Rischi
• Nel 2014 EBA ha analizzato i fattori di rischio
connessi alle valute virtuali:
• Rischi per gli utenti (consumatori/investitori privati)
• Rischi per gli altri partecipanti al mercato
• Rischi per l’integrità finanziaria
• Rischi per i sistemi di pagamento tradizionali
• Rischi per le autorità di regolamento
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 267. Rischi
• Banca d’Italia, nel recepire le indicazioni di EBA, ha indicato rischi legati a;
• Carenza di informazioni, dovuti all’assenza di regolamentazione su
obblighi di informazione e trasparenza verso la clientela;
• Assenza di tutele legali e contrattuali connesse alle transazioni o
alla presenza di costi di commissione, anche in virtù della non certa
identità delle controparti;
• Assenza di forme di controllo e vigilanza, che caratterizzano
invece le attività di emissione, gestione e conversione di monete
tradizionali;
• Assenza di forme di tutela o garanzia delle somme “depositate”,
che possano intervenire nei casi di insolvenza degli intermediari;
• Rischi di perdita permanente della moneta a causa di
malfunzionamenti, attacchi informatici, smarrimento;
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 277. Rischi
• Banca d’Italia, nel recepire le indicazioni di EBA, ha indicato rischi legati a;
• Accettazione su base volontaria, cioè la possibilità che la moneta virtuale
perda la capacità di esser scambiata con altro bene, se non in base a
decisione volontarie dei fornitori;
• Elevata volatilità del valore; rischi di perdite dovute a fluttuazione del
valore in un mercato non regolato e stabilizzato;
• Rischio di utilizzo per finalità criminali e illecite, anche a fronte di
possibile intervento dell’Autorità Giudiziaria per chiudere o bloccare le
piattaforme di scambio qualora vi sia la presunzione di utilizzo per attività
criminali o di riciclaggio;
• Rischi fiscali, con “implicazioni imprevedibili” sul trattamento fiscale delle
monete virtuali;
• Non sono “Bancomat”, in riferimento ad apparecchiature che permettano
l’acquisto o la vendita di monete virtuali in cambio di monete con corso
legale, senza però il quadro di tutela dei normali Bancomat/ATM
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 288. Frodi
• Tipologie di frodi connesse alle criptovalute
• «Riciclaggio»: sfruttamento dell’assenza di regole di verifica degli utenti
per nascondere operazioni di riciclaggio
• «Frodi informatiche»: l’origine è simile alle frodi sui sistemi di
pagamento ma la rilevazione, analisi e gli impatti sono connaturati dalle
caratteristiche delle monete virtuali
• Compromissione di client (wallet personali)
• Compromissione di server (piattaforme di exchange)
• Smart Contracts fraudolenti
• «Frodi finanziarie»: offerta e vendita di «prodotti» millantando il valore
sottostante o, in certi casi «semplicemente» sparendo con il bottino
• «Frodi tecnologiche»: tendenti alla compromissione dell’infrastruttura
• Double spending
• Attacks to blockchain integrity
• «Mining Fraudolento»: compromissione di computer per sfruttarne le
capacità elaborative al fine di effettuare mining a beneficio di terzi
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 298. Frodi
Riciclaggio
• In linea teorica, la totale tracciabilità delle transazioni dovrebbe limitare le possibilità di
effettuare operazioni di riciclaggio
• In realtà, i partecipanti alla transazione sono protetti dalla pseudonimizzazione (per alcune
criptovalute, come Monero, si arriva al vero anonimato)
• Gli indirizzi IP collegabili a transazioni sono spesso protetti dalla rete TOR
• Le somme riciclate sembrano essere intorno all’ 1% del totale delle
transazioni (cfr «Bitcoin Laundering» https://info.elliptic.co/whitepaper-fdd-bitcoin-
laundering)
• Le somme provengono per lo più da parte di cosiddetti «Mixers» (scambiatori di accounti bitcoin) e da siti
di giochi d’azzardo, indirizzati verso piattaforme di scambio
• Le piattaforme europee sono le più interessate dal fenomeno (seguite da piattaforme di localizzazione
sconosciuta)
• Dove maggiore è l’utilizzo di criptovalute (Asia) sembra esservi anche maggiore controllo (maturità ?)
• Una sintesi plausibile porta a dire che bitcoin era maggiormente utilizzato negli anni in cui
ancora non era così «famoso» ed osservato; la presenza di valute virtuali effettivamente anonime
rende oggi maggiormente appetibili queste ultime
• Un’ultima considerazione, di carattere generale, riguarda l’equilibrio da trovare tra tutela della
«privacy» e contrasto delle attività criminali
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 308. Frodi
Frodi Informatiche
• La prima Frode registrata nel mondo delle valute virtuali risale al 2011
• 500.000 $ sottratti tramite la compromissione del PC di un «Investitore»;
• Nel 2014 i bersagli di frode diventano i gestori di piattaforme di scambio,
dove la compromissione di utenze amministrative ha permesso lo
spostamento massivo di fondi dai wallet gestiti per conto degli utenti
• Nel 2017 nel corso di una operazione internazionale, è stato arrestato un cittadino russo
sospettato di essere coinvolto in svariate frodi in bitcoin per un valore complessivo di 4
miliardi di dollari;
• Le Frodi attualmente hanno per lo più le caratteristiche di «Frodi informatiche
applicate al mondo delle valute virtuali»: l’origine è simile alle frodi sui
sistemi di pagamento ma la rilevazione, analisi e gli impatti sono connaturati
dalle caratteristiche delle monete virtuali
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 318. Frodi Frodi Informatiche • Oltre alla compromissione dei dispositivi utilizzati da utenti (wallet e/o client) e dei sistemi utilizzati dalle infrastrutture web (piattaforme di exchange), è da considerare la possibilità di avere componenti applicative («Smart Contracts») che prevedano funzionalità di addebito non trasparenti o vere e proprie finalità fraudolente XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 32
8. Frodi
Frodi finanziarie
• Una diversa tipologia, purtroppo in crescita, è legata ad eventi
connessi alle ICO in casi in cui si è proceduto alla raccolta di
fondi e … a scomparire
• Le «Initial Coin Offering» (ICO) sono uno strumento per la
raccolta di fondi per iniziative di natura progettuale o per
start-up.
• Esse non sono ad oggi regolamentate e di conseguenza non sono
applicabili le «usuali» garanzie per gli investitori
• In vari paesi, a partire dagli USA, le Autorità di controllo hanno
iniziato a sanzionare pesantemente i responsabili di ICO non
trasparenti
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 338. Frodi Frodi tecnologiche (51% Attacks) • I cosiddetti “51% Attacks” sono direttamente collegati alle modalità con cui una blockchain auto-determina la propria crescita, cioè l’aggiunta di nuovi blocchi. • Qualora un singolo “miner”, o un gruppo o “pool” di “miners”, abbia a disposizione una capacità computazionale superiore a quella di tutti gli altri messi insieme (cioè che raggiunga almeno il 51% del totale), esso è in grado di poter produrre nuovi blocchi con velocità superiore a chiunque altro e quindi è nelle condizioni di poter far accettare a tutti gli altri nodi della rete la propria versione delle aggiunte da applicare alla blockchain. XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 34
8. Frodi Frodi tecnologiche (double spend attack) • L’attaccante, dopo avere eseguito una transazione, ha bisogno che essa sia considerata valida per un certo periodo di tempo, affinché il beneficiario di una transazione sia indotto a completare lo scambio. • L’attaccante costruisce quindi nel frattempo una propria versione dei blocchi da aggiungere nella blockchain (nella quale la transazione interessata non è presente) e la mantiene riservata (“stealth”) fino a quando non ha ottenuto il bene richiesto. • Solo a questo punto, sfruttando la propria capacità di calcolo per aggiungere ulteriori blocchi con maggiore velocità rispetto ad altri “miners”, introduce in rete la propria versione modificata che, risultando più lunga della versione ritenuta sinora ufficiale, viene considerata per buona dai nodi della rete. • In questa nuova versione “ufficiale” la transazione di spesa non risulta e quindi il possessore della moneta è in grado di poter spenderla di nuovo, violando uno dei principi alla base del sistema. Si parla quindi di “double spend attack”. XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 35
8. Frodi Frodi tecnologiche (double spend attack) Fonte: https://www.crypto51.app/ Ottobre 2018 XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 36
8. Frodi Frodi tecnologiche Altre frodi sono state recentemente compiute sfruttando vulnerabilità del codice applicativo di sistemi che implementano criptovalute, riuscendo a violare i protocolli prestabiliti e ad inserire (anche senza godere di particolare capacità elaborativa) numerosi blocchi per poi rimuoverli dopo aver effettuato dei «double spending». In generale, gli attacchi sulle infrastrutture sono resi più agevoli su blockchain che usino esclusivamente il «proof-of- work» e che siano di medie – piccole dimensioni XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 37
8. Frodi Frodi tecnologiche Dal primo attacco ad una piccola blockchain nel 2016, il primo semestre 2018 ha visto una preoccupate frequenza di eventi che hanno coinvolto anche blockchain di medie dimensioni (come ad esempio Bitcoin Gold). Le blockchain più grandi sembrano oggi essere ancora al riparo, anche se la tematica è ampiamente dibattuta. XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 38
Grazie per l’attenzione !
Comunque,
non dimentichiamo da dove veniamo …
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 39Puoi anche leggere
