L’hack di Solana (o meglio, di alcuni wallet sviluppati per Solana) del 3 Agosto ha fatto tremare le ginocchia al mondo crypto. Non tanto per l’importo (oltre $5 milioni in totale), piccolo rispetto ad exploit passati. Ma per l’oggetto dell’attacco: un wallet decentralizzato, in teoria. Molti utenti (oltre 10 mila wallet) si sono trovati completamente ripuliti, senza spiegarsi il perché. Senza ricordarsi di essersi collegati a qualcosa di strano. In alcuni casi, wallet creati e mai più utilizzati -che volevano essere i loro cold wallet.
Quanto successo non è ancora completamente chiaro, e sono necessari alcuni condizionali. A quanto pare, quello che è successo è che Slope, uno sviluppatore di un dApp centralizzato, ha subito l’hack. Non è colpa di Phantom, come sembrava in un primo momento; non è, una volta tanto, colpa di Solana. Quello che si intuisce, deduce e suppone per ora è che le chiavi private dei wallet creati e importanti su Slope siano (o siano state in passato) visibili e quindi prelevate e utilizzate da un hacker.
Slope, Phantom, Solana
Il 3 Agosto, CT è andata in subbuglio. Denunciava (l’ennesimo) hack di Solana: decine e decine di wallet svuotati. I wallet erano principalmente di Phantom e Slope. Immediatamente, ovvio, tutti hanno messo in dubbio queste due applicazioni.
Slope è una dApp -ovvero app decentralizzata- che vuole permettere agli utenti di utilizzare in modo sicuro le varie applicazioni. Spesso, infatti, esiste un rischio nel momento in cui si firmano autorizzazioni (senza leggere), nel caso il codice presenti errori o sia proprio maligno.
Phantom, invece, è il più utilizzato wallet decentralizzato di Solana. Su questa blockchain, infatti, è semplicemente il leader di mercato. Ragion per cui, probabilmente, è rimasto invischiato. All’inizio sembrava lui il colpevole -ma, a quanto sappiamo ora, il problema non sembra essere suo.
In questa novella, insomma, si è cercato di capire il colpevole dell’hack. Difficile da trovare: in molti utilizzavano quel wallet su varie dApp. E un attacco phishing sembrava improbabile. Con così tante vittime allo stesso tempo, sarebbe servito uno sforzo incredibile. Poi la svolta: alcuni wallet che non erano mai stati utilizzati. Wallet creati su Slope. Solana ha confermato in serata.
Ma le chiavi private?
A questo punto, la teoria era che alcuni utenti avessero utilizzato chiavi private più volte per i loro wallet. Una teoria abbastanza assurda: chi mai riuserebbe le stesse chiavi, anziché generarne una nuova per ciascun wallet? Ma forse sono paranoico io (no).
La svolta ci arriva da un tweet, la cui veridicità va ovviamente presa con le pinze. È assolutamente possibile che si tratti di fake news, al momento impossibili da confermare o smentire.
Secondo questo screenshot, e probabilmente per inviare le informazioni a qualche terza parte o archiviarle, le seed phrases dei wallet creati e/o importati sono visibili nel codice!
Secondo alcuni dei commenti, questo era forse possibile da vedere mesi fa -e qualcuno se ne è accorto, si è salvato tutte le seed phrase, e appena adesso ha lanciato il suo script per completare l’hack di Solana.
L’hack di Solana: i rischi dei wallet decentralizzati
In un periodo in cui i siti centralizzati non se la passano bene, questo hack solleva ulteriori dubbi e paure. Ma allora nemmeno i siti decentralizzati sono sicuri? Qui, peraltro, nemmeno si trattava di un liquidity pool, yield farming o qualcosa di complesso. Era semplicemente un wallet di cui l’utente deteneva le chiavi private.
Una delle ragioni per cui cerco di essere selettivo nel presentare un progetto è che un errore anche piccolo può portare a conseguenze disastrose per l’utente ignaro. Se quello che sembra si rivelerà vero (se), una vulnerabilità nel codice sarà la causa dell’hack. E ovviamente l’utente medio non è capace di leggere il codice.
Ovviamente, allo stesso tempo, non ha senso iniziare a dubitare di tutte le alternative decentralizzate. È, però, fondamentale affidarsi a qualcosa di solido. Perché, appunto, serve che il codice sia scritto bene. Anche io potrei creare un wallet -con un codice, come potete immaginarvi, non buono (diciamo pure inesistente).
Ricordando sempre che il modo più sicuro -ad ora- è utilizzare soluzioni (1) conosciute, e (2) decentralizzate. Meglio ancora se hardware.
Disclaimer: il contenuto dell’articolo è un’opinione, e ha unicamente fini informativi. Non intende fornire consulenzia finanziaria di alcun tipo. Consulta un professionista certificato per ottenere consulenza finanziaria.