Una introduzione a bitcoin, monete virtuali ed alla ......2018/10/27 · Property”, cioè della...
Transcript of Una introduzione a bitcoin, monete virtuali ed alla ......2018/10/27 · Property”, cioè della...
Giancarlo Castorina
XIV CONGRESSO NAZIONALE ANSSAIFROMA, 27/10/2018 1
Una introduzione a bitcoin, monete virtuali ed
alla infrastruttura Blockchain
AGENDA1. Valute virtuali: aspetti monetari
2. Il retroterra tecnologico
3. L’economia delle criptovalute
4. Scenari di blockchain in ambito finanziario
5. Sviluppi industriali
6. Regolamentazioni
7. Rischi
8. Frodi
Parte del contenuto è tratto da:
G. Castorina, “Blockchain in ambito finanziario: scenari ed evoluzione”
Facoltà di Ingegneria dell’informazione, Informatica e Statistica, La Sapienza,
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 2
MI PRESENTO …
Giancarlo Castorina [[email protected]]
25+ anni di attività nella sicurezza delle informazioni
11+ anni in un Istituto di Credito
(CISO, Responsabile SGSI, …)
CISA, CISM, CRISC, CSX, LA27001, LA22301, LA9001, UNI10459
Disclaimer:
le opinioni presentate sono esclusivamente personali e non impegnano in alcun modo il mio datore di lavoro e in nessun modo rappresentano consigli su investimenti finanziari
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 3
PREQUEL: PRIMA DI “BITCOIN”
Il termine «bitcoin» appare per la prima volta nel 2008 nel documento «Bitcoin: a Peer-to-
Peer Electronic Cash System» e la sua originalità consiste anche nell’assemblare idee
provenienti da ricerche ed esperienze precedenti
• Esempi di monete virtuali
• Universal Electronic Cash
• eCache
• Tecnologie
• Crittografia a chiavi pubbliche e private
• Reti Peer to Peer
• Struttura degli Alberi di Merkle
• Protocolli
• Hashcash
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 4
PREQUEL: PRIMA DI “BITCOIN”
Interview with eCache Operators, by Jonathan Logan December 17 2007
[https://www.scribd.com/document/27467097/Interview-With-Operator-of-eCache]
“With the USA and other states cracking down on digital gold currencies it has become clear that a
structure that is too open invites predators. e-gold has been attacked and funds frozen or actually stolen,
Liberty Dollar has been raided, several exchangers and value transfer system operators have
experienced some rather big troubles. None of these things increased trust in digital gold currencies.
So, you have to reconsider the whole concept of “offshore” DGCs. Nothing can keep those bureaucrats
from attacking things they do not understand or approve of.
I have to admit that I am not brave or stupid enough to risk any of this. That’s why we do not mention our real
names, that is why our servers are only connected to the Tor network, that is why our backing is in
a place never mentioned in public. In my opinion that is the only reasonable way to operate any such system
without implementing “Know your customer” rules or risking complete disaster.
Another way is to keeping the eCache operated mint small and going for a
distributed ecosystem as soon as possible.”
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 5
Le caratteristiche tipiche di una moneta sono riscontrabili anche nei bitcoin:
• Non deperibilità: essendo svincolate da oggetti materiali, i bitcoin ovviamente non
possono deperire; possono essere persi, ma di certo non rovinarsi; anzi, la caratteristica
distribuita della blockchain pone al riparo dalla perdita di integrità che può affliggere
singoli archivi informatici
• Divisibilità: l’unità minima di misura utilizzata per i bitcoin è il “satoshi”, corrispondente
ad un centomilionesimo (10-8) di bitcoin
• Verificabilità/autenticità: l’autenticità dei bitcoin che si ricevono è assicurata dalla
blockchain e dalle tecnologie crittografiche sottostanti
• Controllo della Disponibilità: per esplicita scelta iniziale, il numero di bitcoin che mai
saranno in circolazione è limitato a 21 milioni (nel 2018 vi sono già più di 17 milioni di
bitcoin circolanti)
Non vi è però nessuna autorità centrale cha operi a garanzia del suo valore e della sua
stessa capacità di agire come moneta reale. La fiducia viene quindi riposta (da parte di
chi vuole riporvela) nella solidità del sistema stesso che è stato avviato e nella sua
irreversibilità.
1. bitcoin come “Moneta”
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 6
• D. Lgs 90/2017 («Attuazione della direttiva (UE) 2015/849
relativa alla prevenzione dell'uso del sistema finanziario a
scopo di riciclaggio dei proventi di attività criminose e di
finanziamento del terrorismo»)
«valuta virtuale: la rappresentazione digitale di valore, non
emessa da una banca centrale o da un'autorità pubblica, non
necessariamente collegata a una valuta avente corso legale,
utilizzata come mezzo di scambio per l'acquisto di beni e
servizi e trasferita, archiviata e negoziata elettronicamente»
La definizione è ripresa dalla proposta di modifica nella Direttiva Europea
Antiriciclaggio (AMLD5), approvata nel 2018 con piccole differenze
1. “Valuta virtuale” (“Virtual Currency”)
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 7
Dati relativi al 27/10/2018 ore 6.30 [fonte: coinmarketcap.com]
• Bitcoin:
• Valore: $ 6.487,00 (picco del 17/12/2017: $ 19.279,90)
• Capitalizzazione: $ 112.508.812.208
• Percentuale di «mercato»: 53,8 %
• Complessivamente:
• Monete virtuali censite: 2076
• Capitalizzazione: $ 209.380.068.424
• picco del 6/1/2018: $ 795.832.000.000
1. “Valuta virtuale” : Capitalizzazione
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 8
Andamento valore bitcoin [fonte: coinmarketcap.com]
1. “Valuta virtuale” : Capitalizzazione
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 9
1/1/2017 1/1/2018
Andamento valore tulipani
[http://www.consob.it/web/investor-education/la-bolla-dei-tulipani1]
1. “Valuta virtuale” : Capitalizzazione
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 10
• Comunicazioni
• Bitcoin si basa su protocolli P2P (peer-to-peer)
• Memorizzazione
• La base dati è decentralizzata (“Blockchain”)
• Ciascuno dei partecipanti (“nodo”) ne gestisce una copia (>75 GB)
• I client “light” conservano solo gli header dei blocchi e ne caricano il
contenuto solo quando serve
• Crittografia
• Crittografia a chiave pubblica e privata
• Hash
• Firma Digitale
• Logica applicativa
• Smart Contracts
2. Il retroterra tecnologico
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 11
• Una “blockchain” è una struttura di dati costituita da una
sequenza ordinata di blocchi, ciascuno collegato al precedente
tramite l’utilizzo di funzioni crittografiche
• E’ aggiornata di continuo tramite l’aggiunta di nuovi blocchi in
coda.
• Si parla di “registro o libro giornale pubblico” (“public ledger”)
• A seconda della possibilità di accesso sono definite:
→ «Permissionless blockchain»: non vi è limitazione
nell’accesso alla rete dei partecipanti
→ «Permissioned blockchain»: l’accesso è limitato ai
partecipanti di una comunità definita
2. Il retroterra tecnologico: Blockchain
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 12
La struttura dati• Ciascun blocco che costituisce la Blockchain è sostanzialmente un
contenitore di transazioni. Esso è formato da una testata (“header”) e da
una lista di transazioni, mediamente circa 500.
• La testata contiene l’hash del blocco precedente, che svolge il ruolo di
collegamento tra di essi, e, oltre ad altri campi, anche l’hash della radice
di una struttura ad albero delle transazioni contenute nel blocco.
• L’hash della testata di un blocco ne costituisce l’identificativo principale e
permette di verificare l’integrità della catena, cioè che nessun blocco
risulta mancante.
• Le transazioni contenute nel blocco sono gestite da una struttura ad albero
binario denominata “Merkle Tree”, in cui ogni nodo della struttura
contiene l’hash dei nodi sottostanti
2. Il retroterra tecnologico: Blockchain
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 13
• In un sistema senza autorità centrale uno dei problemi principali è quello di
determinare una modalità con cui possano venire confermati gli
aggiornamenti alla propria base dati («Problema dei Generali Bizantini»)
• La “proof-of-work” consiste nel risolvere un problema di calcolo che richieda
elevate risorse computazionali, tali da rendere improbabili isolati attacchi e
che tragga invece giovamento dalla crescita stessa della rete di partecipanti.
• l’algoritmo utilizzato (inizialmente definito da Hashcash, un protocollo anti-
spam) richiede che, partendo da una stringa da validare, venga calcolata una
impronta (hash, ad esempio attraverso la funzione SHA-256) che abbia la
caratteristica di iniziare con un numero minimo predeterminato di zeri
• il requisito che una stringa di 256 bits inizi con 70 zeri comporta mediamente
l’esecuzione di 269 (pari a circa 590 miliardi di miliardi) tentativi
• qualora si volesse alterare una blockchain occorrerebbe dotarsi di
potenza di calcolo superiore a quella utilizzata da almeno la metà dei
partecipanti (il che corrisponde ad avere da soli una capacità superiore a
quella complessiva di tutti gli altri), operazione inizialmente non ritenuta
verosimile se non, forse, nel caso in cui entrassero in gioco potenze statali.
2. Il retroterra tecnologico: “Proof of Work”
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 14
Fonte: https://digiconomist.net/bitcoin-energy-consumption
2. Il retroterra tecnologico: “Proof of Work”
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 15
• Ethereum nasce con l’intento di aumentare le funzionalità della
blockchain di Bitcoin e di offrire una piattaforma completamente
programmabile su una infrastruttura decentralizzata.
• Oltre ad account simili a quelli di Bitcoin (qui chiamati “externally owned
accounts”), sono introdotti dei “contract account”, dotati di codice di
programmazione proprio, capacità di memorizzazione di dati e
informazioni persistenti e che vengono attivati alla ricezione di
messaggi.
• Accanto al concetto di Smart Contract, può associarsi quello di “Smart
Property”, cioè della proprietà di un bene (materiale o immateriale)
rappresentata dalla sua registrazione in una blockchain e dal controllo
delle relative chiavi private. Ciò costituisce la base per utilizzi di natura
anagrafica: ad esempio catasto urbano, certificati anagrafici, proprietà
intellettuale in vari ambiti, ecc.
2. Il retroterra tecnologico: “Smart Contracts”
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 16
• Sviluppi tecnologici su blockchain o modelli simili
• Blockchain-as-a-service
• Piattaforme di scambio
• Mining
• Vendita di hardware specializzato (schede CPU, wallet hardware, ATM)
• Data Center specializzati in paesi a bassi costi elettrici
• Raccolta di fondi (ICO)
• gestione di titoli o di strumenti finanziari
3. L’economia delle monete virtuali
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 17
• Pagamenti e Carte di pagamento
• possibilità di ridimensionare il ruolo degli intermediari, favorendo
anche, in certi casi (ad es. bonifici) la velocità di esecuzione
• Bitcoin ATMs
• Credito
• erogazione di finanziamenti con garanzia di terzi o vincolati a
determinati utilizzi
• Finanza
• gestione di titoli o di strumenti finanziari
• «Know Your Customer»
• gestione integrata dell’identità
• Finanziamenti
• ICO («Initial Coin Offering»): raccolta di fondi necessari ai propri
progetti di sviluppo
4. Scenari di utilizzo di Blockchainin ambito finanziario
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 18
Fonte: Banca d’Italia, Convegno La tecnologia blockchain: nuove prospettive per i mercati finanziari -
21/6/2016
4. Scenari di utilizzo di Blockchainin ambito finanziario
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 19
4. Scenari di utilizzo di Blockchainin ambito finanziario
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 20
Fonte: Banca d’Italia, Convegno La tecnologia blockchain: nuove prospettive per i mercati finanziari -
21/6/2016
4. Scenari di utilizzo di Blockchainin ambito finanziario
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 21
Fonte: Banca d’Italia, Convegno La tecnologia blockchain: nuove prospettive per i mercati finanziari -
21/6/2016
Il Consorzio R3 e Corda
• Il Consorzio R3 è stato costituito nel settembre 2015, da parte di 9
istituti finanziari (Barclays, BBVA, Commonwealth Bank of Australia,
Credit Suisse, Goldman Sachs, J.P. Morgan, Royal Bank of Scotland,
State Street, and UBS). Il numero di aderenti è progressivamente
cresciuto sino a superare i cento nel 2017
• Ricerca di soluzioni tecnologiche basaste su blockchain che
superino le ricorrenti problematiche di interoperabilità che si
riscontrano nella gestione dei mercati bancari e finanziari: la
piattaforma sviluppata («Corda») è però esplicitamente basata su
protocolli e tecnologie diversi da quelli utilizzate dalle varie
blockchain (dopo aver investito 59M $ …)
• Corda mantiene i principi architetturali di una “distributed ledger
technology”; non ha «proof of work», ma «notaries»
5. Sviluppi industriali
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 22
Hyperledger Fabric
• Il progetto Hyperledger è stato lanciato nel 2015 dalla
Linux Foundation come collettore di una serie di progetti
legati alle distributed ledger technologies (DLT).
• Hyperledger Fabric è un framework di implementazione,
sviluppato inizialmente da IBM e Digital Asset, per lo
sviluppo di applicazioni e soluzioni
• Si tratta di una piattaforma infrastrutturale e non ha
monete virtuali direttamente associate
5. Sviluppi industriali
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 23
• Il mondo delle valute virtuali è largamente «non regolamentato»
• Dal 2014 EBA (l’Autorità Bancaria Europea) auspica una regolamentazione a livello di Comunità
Europea e, in attesa di regolamentazioni più organiche, «scoraggia» gli istituti di credito e
finanziari dall’intraprendere azioni di acquisto/conservazione/vendita di monete virtuali al fine
di proteggere la stabilità dell’attuale sistema finanziario da rischi derivanti dalle monete virtuali
• Banca d’Italia ha fatto proprie le indicazione di EBA nel 2015, dividendo esplicitamente il tema in
due contesti:
• l’utilizzo: “In Italia, l’acquisto, l’utilizzo e l’accettazione in pagamento
delle valute virtuali debbono allo stato ritenersi attività lecite”
• le attività tipiche di un soggetto bancario: «le attività di emissione
di valuta virtuale, conversione di moneta legale in valute virtuali e
viceversa e gestione dei relativi schemi operativi potrebbero invece
concretizzare, nell’ordinamento nazionale, la violazione di disposizioni
normative, penalmente sanzionate, che riservano l’esercizio della
relativa attività ai soli soggetti legittimati»
6. Regolamentazioni
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 24
• Dal punto di vista fiscale, in Europa l’acquisto e la vendita di
monete virtuali non sono considerati investimenti finanziari e, di
conseguenza, non sono soggette a tassazione di plusvalenze
• Antiriciclaggio:
• La revisione della direttiva antiriciclaggio (AMLD5), introduce la definizione
di «valuta virtuale» e aggiunge all’elenco dei soggetti destinatari della
regolamentazione (cosiddetti “soggetti obbligati”) i “prestatori di servizi la cui
attività principale e professionale consiste nella fornitura di servizi di cambio tra
valute virtuali e valute legali” ed i “prestatori di servizi di portafoglio digitale
che offrono servizi di custodia delle credenziali necessarie per accedere alle
valute virtuali”.
• Sulla base di tali principi, Il Decreto Legislativo 90/2017 novella il Titolo I del
D.Lgs 231/2007, introducendo le definizioni di “valuta virtuale” e “prestatori
di servizi relativi all'utilizzo di valuta virtuale”, sottoponendo questi ultimi alle
prescrizioni in tema di lotta al riciclaggio ed al finanziamento del terrorismo,
seppure “limitatamente allo svolgimento dell'attività di conversione di valute
virtuali da ovvero in valute aventi corso forzoso”
• Il MEF ha proposto uno schema di Decreto per il censimento dei prestatori di
servizi di valuta virtuali
6. Regolamentazioni
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 25
• Nel 2014 EBA ha analizzato i fattori di rischio
connessi alle valute virtuali:
• Rischi per gli utenti (consumatori/investitori privati)
• Rischi per gli altri partecipanti al mercato
• Rischi per l’integrità finanziaria
• Rischi per i sistemi di pagamento tradizionali
• Rischi per le autorità di regolamento
7. Rischi
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 26
• Banca d’Italia, nel recepire le indicazioni di EBA, ha indicato rischi legati a;
• Carenza di informazioni, dovuti all’assenza di regolamentazione su
obblighi di informazione e trasparenza verso la clientela;
• Assenza di tutele legali e contrattuali connesse alle transazioni o
alla presenza di costi di commissione, anche in virtù della non certa
identità delle controparti;
• Assenza di forme di controllo e vigilanza, che caratterizzano
invece le attività di emissione, gestione e conversione di monete
tradizionali;
• Assenza di forme di tutela o garanzia delle somme “depositate”,
che possano intervenire nei casi di insolvenza degli intermediari;
• Rischi di perdita permanente della moneta a causa di
malfunzionamenti, attacchi informatici, smarrimento;
7. Rischi
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 27
• Banca d’Italia, nel recepire le indicazioni di EBA, ha indicato rischi legati a;
• Accettazione su base volontaria, cioè la possibilità che la moneta virtuale
perda la capacità di esser scambiata con altro bene, se non in base a
decisione volontarie dei fornitori;
• Elevata volatilità del valore; rischi di perdite dovute a fluttuazione del
valore in un mercato non regolato e stabilizzato;
• Rischio di utilizzo per finalità criminali e illecite, anche a fronte di
possibile intervento dell’Autorità Giudiziaria per chiudere o bloccare le
piattaforme di scambio qualora vi sia la presunzione di utilizzo per attività
criminali o di riciclaggio;
• Rischi fiscali, con “implicazioni imprevedibili” sul trattamento fiscale delle
monete virtuali;
• Non sono “Bancomat”, in riferimento ad apparecchiature che permettano
l’acquisto o la vendita di monete virtuali in cambio di monete con corso
legale, senza però il quadro di tutela dei normali Bancomat/ATM
7. Rischi
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 28
• Tipologie di frodi connesse alle criptovalute
• «Riciclaggio»: sfruttamento dell’assenza di regole di verifica degli utenti
per nascondere operazioni di riciclaggio
• «Frodi informatiche»: l’origine è simile alle frodi sui sistemi di
pagamento ma la rilevazione, analisi e gli impatti sono connaturati dalle
caratteristiche delle monete virtuali
• Compromissione di client (wallet personali)
• Compromissione di server (piattaforme di exchange)
• Smart Contracts fraudolenti
• «Frodi finanziarie»: offerta e vendita di «prodotti» millantando il valore
sottostante o, in certi casi «semplicemente» sparendo con il bottino
• «Frodi tecnologiche»: tendenti alla compromissione dell’infrastruttura
• Double spending
• Attacks to blockchain integrity
• «Mining Fraudolento»: compromissione di computer per sfruttarne le
capacità elaborative al fine di effettuare mining a beneficio di terzi
8. Frodi
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 29
Riciclaggio
• In linea teorica, la totale tracciabilità delle transazioni dovrebbe limitare le possibilità di
effettuare operazioni di riciclaggio
• In realtà, i partecipanti alla transazione sono protetti dalla pseudonimizzazione (per alcune
criptovalute, come Monero, si arriva al vero anonimato)
• Gli indirizzi IP collegabili a transazioni sono spesso protetti dalla rete TOR
• Le somme riciclate sembrano essere intorno all’ 1% del totale delle
transazioni (cfr «Bitcoin Laundering» https://info.elliptic.co/whitepaper-fdd-bitcoin-
laundering)
• Le somme provengono per lo più da parte di cosiddetti «Mixers» (scambiatori di accounti bitcoin) e da siti
di giochi d’azzardo, indirizzati verso piattaforme di scambio
• Le piattaforme europee sono le più interessate dal fenomeno (seguite da piattaforme di localizzazione
sconosciuta)
• Dove maggiore è l’utilizzo di criptovalute (Asia) sembra esservi anche maggiore controllo (maturità ?)
• Una sintesi plausibile porta a dire che bitcoin era maggiormente utilizzato negli anni in cui
ancora non era così «famoso» ed osservato; la presenza di valute virtuali effettivamente anonime
rende oggi maggiormente appetibili queste ultime
• Un’ultima considerazione, di carattere generale, riguarda l’equilibrio da trovare tra tutela della
«privacy» e contrasto delle attività criminali
8. Frodi
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 30
Frodi Informatiche
• La prima Frode registrata nel mondo delle valute virtuali risale al 2011
• 500.000 $ sottratti tramite la compromissione del PC di un «Investitore»;
• Nel 2014 i bersagli di frode diventano i gestori di piattaforme di scambio,
dove la compromissione di utenze amministrative ha permesso lo
spostamento massivo di fondi dai wallet gestiti per conto degli utenti
• Nel 2017 nel corso di una operazione internazionale, è stato arrestato un cittadino russo
sospettato di essere coinvolto in svariate frodi in bitcoin per un valore complessivo di 4
miliardi di dollari;
• Le Frodi attualmente hanno per lo più le caratteristiche di «Frodi informatiche
applicate al mondo delle valute virtuali»: l’origine è simile alle frodi sui
sistemi di pagamento ma la rilevazione, analisi e gli impatti sono connaturati
dalle caratteristiche delle monete virtuali
8. Frodi
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 31
Frodi Informatiche
• Oltre alla compromissione dei dispositivi utilizzati da utenti (wallet
e/o client) e dei sistemi utilizzati dalle infrastrutture web
(piattaforme di exchange), è da considerare la possibilità di avere
componenti applicative («Smart Contracts») che prevedano
funzionalità di addebito non trasparenti o vere e proprie finalità
fraudolente
8. Frodi
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 32
Frodi finanziarie
• Una diversa tipologia, purtroppo in crescita, è legata ad eventi
connessi alle ICO in casi in cui si è proceduto alla raccolta di
fondi e … a scomparire
• Le «Initial Coin Offering» (ICO) sono uno strumento per la
raccolta di fondi per iniziative di natura progettuale o per
start-up.
• Esse non sono ad oggi regolamentate e di conseguenza non sono
applicabili le «usuali» garanzie per gli investitori
• In vari paesi, a partire dagli USA, le Autorità di controllo hanno
iniziato a sanzionare pesantemente i responsabili di ICO non
trasparenti
8. Frodi
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 33
Frodi tecnologiche (51% Attacks)
• I cosiddetti “51% Attacks” sono direttamente collegati alle
modalità con cui una blockchain auto-determina la propria
crescita, cioè l’aggiunta di nuovi blocchi.
• Qualora un singolo “miner”, o un gruppo o “pool” di “miners”,
abbia a disposizione una capacità computazionale superiore a
quella di tutti gli altri messi insieme (cioè che raggiunga almeno il
51% del totale), esso è in grado di poter produrre nuovi blocchi
con velocità superiore a chiunque altro e quindi è nelle condizioni
di poter far accettare a tutti gli altri nodi della rete la propria
versione delle aggiunte da applicare alla blockchain.
8. Frodi
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 34
Frodi tecnologiche (double spend attack)
• L’attaccante, dopo avere eseguito una transazione, ha bisogno che essa sia
considerata valida per un certo periodo di tempo, affinché il beneficiario di una
transazione sia indotto a completare lo scambio.
• L’attaccante costruisce quindi nel frattempo una propria versione dei blocchi da
aggiungere nella blockchain (nella quale la transazione interessata non è presente)
e la mantiene riservata (“stealth”) fino a quando non ha ottenuto il bene richiesto.
• Solo a questo punto, sfruttando la propria capacità di calcolo per aggiungere
ulteriori blocchi con maggiore velocità rispetto ad altri “miners”, introduce in rete
la propria versione modificata che, risultando più lunga della versione ritenuta
sinora ufficiale, viene considerata per buona dai nodi della rete.
• In questa nuova versione “ufficiale” la transazione di spesa non risulta e quindi il
possessore della moneta è in grado di poter spenderla di nuovo, violando uno dei
principi alla base del sistema. Si parla quindi di “double spend attack”.
8. Frodi
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 35
Frodi tecnologiche (double spend attack)
Fonte: https://www.crypto51.app/ Ottobre 2018
8. Frodi
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 36
Frodi tecnologiche
Altre frodi sono state recentemente compiute sfruttando
vulnerabilità del codice applicativo di sistemi che
implementano criptovalute, riuscendo a violare i protocolli
prestabiliti e ad inserire (anche senza godere di particolare
capacità elaborativa) numerosi blocchi per poi rimuoverli
dopo aver effettuato dei «double spending».
In generale, gli attacchi sulle infrastrutture sono resi più
agevoli su blockchain che usino esclusivamente il «proof-of-
work» e che siano di medie – piccole dimensioni
8. Frodi
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 37
Frodi tecnologiche
Dal primo attacco ad una piccola blockchain nel 2016, il
primo semestre 2018 ha visto una preoccupate frequenza
di eventi che hanno coinvolto anche blockchain di medie
dimensioni (come ad esempio Bitcoin Gold).
Le blockchain più grandi sembrano oggi essere ancora al
riparo, anche se la tematica è ampiamente dibattuta.
8. Frodi
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 38
Comunque,
non dimentichiamo da dove veniamo …
Grazie per l’attenzione !
XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 39