Finché la morte non ci separi — Cosa significa il crollo di QuadrigacX per la sicurezza criptata. Dopo i risultati scioccanti che il nord di $1,7 miliardi di criptovaluta è stato rubato nel 2018, la sicurezza crittografica continua a peggiorare.
La risposta che la maggior parte degli esperti danno per prevenire gli hack è usare lo stoccaggio a freddo. Ma cosa succede se quel deposito frigorifero viene perso o danneggiato? Perdere il tuo portafoglio hardware personale può essere devastante, ma che dire di perdere $190 milioni in fondi degli utenti come QuadrigacX, il più grande scambio crittografico del Canada?
Mi dispiace, signore, ho perso i miei portafogli frigoriferi
QuadrigacX ha scioccato il mondo cripto il mese scorso annunciando che aveva perso più di $190 mn in fondi di criptovaluta detenuti nei portafogli di stoccaggio a freddo. Questi portafogli erano sotto l'unico controllo dell'amministratore delegato Gerald Cotten.
Allora, cos'ha da dire in proposito? Beh, in realta' non molto. Purtroppo, è morto improvvisamente in India, come annunciato sulla pagina Twitter di QuadrigacX il 14 gennaio:
Certamente, il suo contributo a Bitcoin in Canada sarà gravemente mancato. Ma purtroppo, ciò che ci mancherà ancora di più sono i fondi di 116.000 utenti, la cui posizione è presumibilmente portato nella sua tomba.
Il tweet di QuadrigacX sulla morte del loro amministratore delegato ha provocato una raffica di condoglianze insieme a una raffica di rabbia e abusi, con alcuni teorici della cospirazione che suggeriscono addirittura di aver falsificato la propria morte:
Che una persona debba avere accesso esclusivo ai portafogli frigoriferi per un intero scambio sembra un po' improbabile - irresponsabile nel migliore dei casi. E se la società deve essere creduta, lascia l'industria criptata piuttosto ridicola.
QuadrigacX ha detto in una dichiarazione:
“Nelle ultime settimane, abbiamo lavorato a lungo per affrontare i nostri problemi di liquidità, che includono la localizzazione delle nostre riserve di criptovaluta molto significative detenute in portafogli freddi necessari per soddisfare i saldi di criptovaluta dei clienti in deposito e l'approvvigionamento di un istituto finanziario per accettare le bozze bancarie trasferite a noi. Purtroppo, questi sforzi non hanno avuto successo.”
QuadrigaCX ha effettivamente immagazzinamento freddo in primo luogo?
Iniziarono a girare voci sul fatto che lo scambio avesse anche immagazzinamento freddo, in primo luogo. Secondo il Wall Street Journal, gli analisti della sicurezza non erano così sicuri.
Giovedì scorso, hanno riferito sulla sorprendente possibilità che le criptovalute mancanti da QuadrigacX non possano essere bloccate in portafogli freddi, dopotutto. Potrebbero semplicemente mancare... il che porta a tutta una serie di possibilità.
Secondo un rapporto di Chain Analysis pubblicato da Zerononcense:
“Sembra che non ci siano riserve di portafoglio freddo identificabili per QuadrigacX.”
I risultati sono stati basati su diversi fattori, ma questa teoria è dovuta principalmente al fatto che i principali portafogli hanno identificato finora transazioni registrate non solitamente regolate tramite portafogli a freddo.
I portafogli freddi sono in genere per transazioni di grandi dimensioni
Affinché uno scambio possa utilizzare portafogli freddi, essi devono fare di tutto per garantire la sicurezza dei fondi dei loro clienti. Ciò significa che le dimensioni delle transazioni sono di solito molto grandi. Quando viene avviata una transazione a freddo, in genere coinvolge milioni di dollari, degni della necessità di una protezione aggiuntiva.
Eppure i tipi di transazioni sui portafogli QuadrigacX erano di piccole dimensioni, rendendo difficile giustificare che venissero detenute in portafogli freddi in primo luogo.
WSJ ha analizzato 50 account dei clienti QuadrigacX e non è riuscito a trovare alcun collegamento con lo stoccaggio a freddo a cui la società si riferisce.
Parlare ha cominciato ad abbondare sul fatto che lo scambio stava tirando fuori una truffa enorme uscita. E più mover e shaker si sono uniti alla conversazione, con il CEO di MyCrypto Taylor Monahan che suggerisce che non ci fossero anche portafogli freddi per le loro transazioni Ethereum.
“Non vedo alcuna indicazione di Quadriga abbia mai portafogli freddi/riserva per ETH”, ha detto.
Ha anche fatto notare che i proprietari di QuadrigacX avevano tutti i dati KYC necessari sui loro clienti per spostare il denaro e aprire un conto di scambio.
Cosa significa questo per la sicurezza crittografica?
Chiaramente, il debacle di scambio QuadrigacX ha molti takeaway per l'industria crittografica. Il primo (che si applica a qualsiasi incidente di sicurezza) non è quello di mantenere i fondi in uno scambio. Gli utenti dovrebbero sempre essere responsabili dei propri fondi.
Ma gli scambi possono anche imparare da QuadrigacX praticando una buona governance e assicurando un processo multi-firma per proteggere i fondi.
Ledger è il fornitore di portafogli hardware più sicuro al mondo. Eppure, il CEO Eric Larchevêque capisce che i portafogli hardware non sono una soluzione pratica per le imprese. Dopotutto, a chi dai il portafoglio? È come consegnare le chiavi della cassaforte a una sola persona. Ha detto:
“Un insieme di regole deve essere applicato da hardware sicuro certificato. Ad esempio, le richieste di pagamento dovrebbero essere soggette a più autorizzazioni da parte di funzionari autorizzati. È fondamentale costruire una governance in modo da garantire che i fondi non vengano messi a rischio se un funzionario viene compromesso.”
A tal fine, la società ha una soluzione per le aziende che si occupano di grandi quantità di criptovaluta chiamata Ledger Vault. Si tratta di una soluzione di gestione dell'autostima di criptovaluta multi-autorizzazione che richiede a più persone di confermare una transazione.
Crypto può imparare dalle banche
Panxora è un'altra società responsabile della detenzione dei fondi dei propri clienti in portafogli freddi. Il CEO Gavin Smith ritiene che gli scambi crittografici siano ingenui e riecheggia anche i sentimenti di Larchevêque:
“Eventi come questi mostrano che molti nel settore crittografico sono ancora ingenui quando si tratta di configurare i loro sistemi di sicurezza. Tutto si riduce al buon senso. Mentre i portafogli freddi sono certamente l'opzione migliore per proteggere le attività dei clienti, anche il processo di prelievo dei fondi deve essere preso in considerazione.
“C'è molto da imparare dalle banche tradizionali qui. Gli scambi crittografici sono altrettanto in grado di impostare un processo in cui il prelievo di fondi richiede a più parti di firmare una transazione e le password sono archiviate in posizioni offline sicure.”
E per quanto riguarda QuadrigacX e la loro storia?
Sembra che ci sia un modo in cui il team QuadrigacX possa dimostrare la propria storia e cancellare i loro nomi nel tempo. Come sottolineato da Deadal Nix su Twitter, se quello che dicono è vero, dovrebbero pubblicare gli indirizzi per dimostrare che i fondi nei presunti portafogli freddi rimangono lì.
Se non possono farlo, allora è probabilmente una delle uscite più elaborate truffe che crypto ha visto finora.
Disclaimer: The views and opinions expressed by the author should not be considered as financial advice. We do not give advice on financial products.