2022/05/05

“Ogni criptovaluta ha un proprio bug bounty incorporato”

Ci sono alcune frasi che riescono a riassumere un concetto complesso perfettamente, concisamente e in maniera memorabile. A volte hanno anche un altro effetto: permettono di valutare le competenze delle persone in base al modo in cui reagiscono quando le sentono per la prima volta, perché la loro brevità e il loro argomento un po’ tecnico le rende criptiche. Bisogna insomma intendersene un po’per capirle.

Ma se le si capisce, creano un guizzo di piacere intellettuale tutto speciale: quello che spesso su Internet si rappresenta graficamente con il celebre meme mind blown (quello dove qualcuno mette le mani ai lati della propria testa e mima lo scoppio della propria mente causato dalla potenza dell’idea che ha appena ricevuto).

 

Una di queste frasi è “Ogni criptovaluta ha un proprio bug bounty incorporato”. Se avete accanto a voi qualcuno che dice di conoscere bene il mondo delle criptovalute, dai bitcoin agli Ether passando per i Dogecoin e gliela sottoponete, guardate attentamente la sua reazione. Se ci pensa su un attimo e poi si lascia andare a un “a-HA!” di profonda e improvvisa comprensione, seguita da un’espressione preoccupata o rassegnata, allora quella persona sa il fatto suo sull’argomento. Se reagisce diversamente, forse è il caso di essere un po’ cauti nel fidarsi delle sue competenze. Purtroppo quello delle criptovalute è un campo nel quale ci sono molti improvvisati che sono vittima del proprio entusiasmo e della speranza di arricchirsi magicamente e in fretta.

La frase, se ve lo state chiedendo, non è opera mia: l’ha coniata, a quanto mi risulta, l’informatico finlandese Mikko Hyyponen.

Se l’avete capita al volo, e quindi avete provato quel piacere di scoprire un concetto potente espresso con eleganza, complimenti: ma se invece brancolate nel buio, niente paura. Chiarisco subito.

Il termine chiave da conoscere, qui, è bug bounty: è il nome che si dà alla ricompensa, di solito monetaria, che spetta a chi scopre un difetto in un software e lo comunica responsabilmente a chi ha sviluppato quel software. Moltissime aziende informatiche, come Microsoft, Apple o Google, offrono questi bug bounty e ci sono molti informatici che si mantengono grazie a queste ricompense, che possono essere decisamente ragguardevoli. Apple, per esempio, offre centomila dollari a chiunque scopra un modo per ottenere un accesso non autorizzato ai dati di un account iCloud sui server di Apple oppure trovi la maniera di scavalcare la schermata di blocco di un dispositivo della stessa marca. E le ricompense possono arrivare anche a un milione di dollari in alcuni casi molto particolari.

Questi bug bounty esistono e funzionano perché costituiscono un incentivo molto chiaro a ispezionare il software altrui, trovarne gli errori e segnalarli allo sviluppatore del software affinché li corregga, invece di approfittare di questi difetti per commettere qualche crimine informatico. Fanno insomma in modo che convenga essere onesti e responsabili invece di tenere per sé le vulnerabilità scoperte.

Bene. Sappiamo cos’è un bug bounty, sappiamo cos’è una criptovaluta; ma il senso complessivo di quella frase può essere ancora un po’ nebuloso e il momento “a-HA!” non è ancora arrivato. Manca ancora un passo e ci siamo.

Una criptovaluta, semplificando, è una valuta digitale basata sulla crittografia e su un registro digitale condiviso e pubblico delle transazioni (una blockchain): in parole povere, è denaro espresso tramite software e protetto tramite software. Questo vuol dire che se c’è un difetto in quel software e qualcuno lo scopre, chi lo scopre può approfittarne direttamente prelevando quel denaro e saccheggiando i conti altrui. Non c’è bisogno che l’azienda che ha sviluppato il software decida di istituire un sistema di ricompense e di seguire la sua complessa trafila burocratica per riscuotere il premio: la ricompensa è già integrata nella falla. E questo fa crollare completamente il normale incentivo del bug bounty. Allo scopritore di una falla nelle criptovalute conviene non rivelarla e usarla per continuare a depredare i conti altrui.

È per questo motivo che moltissimi operatori del settore delle criptovalute sono stati oggetto di attacchi informatici che hanno portato a saccheggi da centinaia di milioni di dollari: se c’è un singolo difetto in uno dei vari componenti software di una criptovaluta, quel difetto ha effetto su tutti i conti espressi in quella valuta, quei conti sono tutti accessibili online e quindi il furto può essere ripetuto su vastissima scala in pochissimo tempo. 

In altre parole, ogni criptovaluta ha un proprio bug bounty incorporato.

È arrivato il vostro momento “a-HA!”? Ottimo. Allora divertitevi a proporre questa frase ai vostri conoscenti o colleghi presi dalla febbre delle criptovalute: farete bella figura e distinguerete gli intenditori dagli improvvisati.

---

2022/05/06 9:30. Esiste anche il bug bounty inverso: un lettore mi segnala via Twitter il caso di un errore nel software e nelle procedure di JUNO, una comunità basata sulla blockchain, che ha fatto finire circa 36 milioni di dollari in un indirizzo della blockchain che è irraggiungibile per chiunque (persino per i gestori). Per recuperarli sarà necessaria una drastica ristrutturazione dell’intera blockchain. 

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili