1 BTC =
100041.6300 USD
99997.6400 USDT
95501.0100 EUR
78890.6700 GBP
156836.7000 AUD
142390.6900 CAD
15282839.7600 JPY
38800.0000 CNY
Secondo Chat GPT, la crescente popolarità di Bitcoin attirerebbe hacker e altri attori malintenzionati. Ma cosa possono effettivamente violare questi hacker?
Bene, ci sono più livelli di sicurezza informatica Bitcoin. Possiamo parlare di mining e di potenziali attacchi 51% per riorganizzare i blocchi più recenti, possiamo esaminare le probabilità di forzare un wallet per trovare la sua chiave privata, oppure possiamo prendere la via più semplice e ipotizzare un aumento degli attacchi sociali ( sviluppatore dannoso che inserisce codice dannoso o singoli utenti Bitcoin che vengono indotti a perdere i loro fondi).
Prima di tutto, l’attacco del 51% è una delle maggiori minacce alla sicurezza informatica di Bitcoin – e fa parte del progetto Proof of Work. L’idea che la maggioranza semplice dell’hashrate dei miner possa agire in malafede è un serio vettore di attacco. Tuttavia, gli incentivi del cosiddetto consenso di Nakamoto sono progettati in modo tale che rispettare le regole è più redditizio che tentare di attaccare il sistema. Acquistare e noleggiare l’attrezzatura mining, quindi consumare molta elettricità per raddoppiare le transazioni e riorganizzare i blocchi più recenti, non è affatto economico.
Con un hashrate di oltre 360 exahash al secondo, anche i governi e le multinazionali più intraprendenti del mondo farebbero fatica ad accumularne il 51%. Inoltre, i supercomputer non sono ottimizzati per eseguire hash SHA-256 come gli ASIC Bitcoin, quindi se metti insieme tutti i supercomputer del mondo, otterrai solo l’equivalente di un mining pool molto piccolo e insignificante.
L’esecuzione di un attacco del 51% su Bitcoin richiede l’acquisto o il noleggio di hardware scarso e altamente specializzato che viene attualmente utilizzato per proteggere la rete e guadagnare ricompense per aver rispettato le regole. Gli incentivi finanziari contano e finora hanno mantenuto i minatori onesti, concentrati sul loro obiettivo ed efficienti nell’uso dell’energia. Chiunque persegua questo tipo di attacco contro Bitcoin necessita di molte risorse per sostenerlo. Il rischio maggiore che l’aggressore deve affrontare è che i partecipanti onesti della rete si dirigano verso una nuova chain che copia il set UTXO per mantenere la legittima proprietà della moneta. Un simile sforzo non offre garanzie di redditività o successo – che nella migliore delle ipotesi possono fungere da FUD politico contro la sicurezza informatica della rete. Se gli incentivi finanziari rimangono costanti, molto probabilmente non vedremo mai alcun tipo di serio attacco del 51%.
Anche i grandi pool, costituiti da più utenti che mettono insieme il loro potere di hashing per condividere i premi, sono soggetti a un tipo di teoria dei giochi che li mantiene onesti. Sotto la pressione del governo, potrebbero preferire interrompere del tutto il mining per rinunciare ad attaccare la rete. La disattivazione delle operazioni di mining causerà interruzioni per i blocchi rimanenti del ciclo, ma dopo ogni blocco del 2016 (circa 2 settimane) c’è un nuovo aggiustamento della difficoltà e c’è sempre qualcun altro in una parte diversa del mondo che è disposto a iniziare il mining quando il le probabilità di trovare con successo l’hash giusto diventano più alte. Bitcoin è estremamente ben pensato e c’è una ragione per cui questi attacchi non hanno mai avuto veramente successo: non nei primi giorni in cui erano più facili da portare a termine, non oggi che il numero di macchine altamente specializzate che proteggono la rete è più alto che mai .
Inoltre, ChatGPT sostiene che gli attori malintenzionati emergerebbero come conseguenza della crescente popolarità. Quindi, fin dall’inizio, il lancio di attacchi del 51% non dovrebbe rientrare in questa descrizione, poiché un numero maggiore di utenti che si uniscono comporterà anche l’implementazione di più piattaforme di mining. Tuttavia, era importante spiegarlo poiché il software AI non allude direttamente al problema.
In secondo luogo, parliamo di brute force dei wallet per trovare la chiave privata che consente agli hacker di rubare i fondi. È certamente un tipo di vulnerabilità della sicurezza informatica che teoricamente dovrebbe diventare più diffusa man mano che Bitcoin ottiene l’adozione di massa. Ogni hacker di Internet dovrebbe tentare di forzare i file del wallet, provare a indovinare le frasi seed BIP39 valide e generare passphrase corrette. Buona fortuna, però: avrai maggiori probabilità di trovare vita aliena intelligente su un pianeta lontano o di scavare un particolare granello di sabbia nel deserto.
Prendiamo l’esempio più ovvio: le monete di Satoshi Nakamoto. Il leggendario milione, come descritto da Sergio Demian Lerner nel suo progetto di ricerca Patoshi, è la ricompensa finale. Non ci sono prove che questa teoria su ciò che Satoshi potrebbe possedere sia corretta: è una mera analisi che presuppone che Satoshi estraesse costantemente. Ma le monete risultanti, a chiunque appartengano, sono in bella vista e non si sono mosse dal 2009. Tutti conoscono la loro esistenza e possono rintracciarle nel registro pubblico. Tuttavia, nessuno può forzare le chiavi private per rivendicarne la proprietà.
Per mettere tutto in numeri, Bitcoin ha un numero totale di 2256 possibili chiavi private e solo 2160 combinazioni di indirizzi che possono esistere (assumendo che siano tutte a 160 bit). Tuttavia la forzatura bruta deve iniziare da una chiave pubblica esistente e valida. Il che di per sé richiede uno sforzo ulteriore.
Un modo più efficiente per forzare i portafogli consiste nel provare a trovare una delle 2 96 chiavi private che corrispondono allo stesso indirizzo. Il numero di possibilità è 79.228.162.514.264.337.593.543.950.335 – circa 79.228 volte superiore al numero stimato di stelle nell’universo. D’altra parte, se vuoi applicare la forza bruta a un wallet specifico (come quello di Satoshi), devi gestire l’insieme di 2 256 combinazioni di chiavi private. Supponendo che tu possieda la potenza di elaborazione necessaria per provare 1000 trilioni di chiavi al secondo, esaminare ogni chiave richiederà una quantità di tempo pari a 2,7×10 44 × età dell’universo (come sottolineato dallo sviluppatore Raghav Sood sul Bitcoin StackExchange). Questo numero supera qualsiasi cosa misurabile dall’uomo, inclusa la quantità di atomi che circondano il nostro mondo osservabile.
Per quanto riguarda le frasi seed BIP39, ci sono 2048 parole e 12/24 combinazioni di esse. Per comodità, assumiamo una configurazione base di 12 parole. Per indovinarne uno a caso hai 2048 12 (o 2 132 ) possibilità. Per citare il moderatore di Reddit BashCo, quel numero è uno su 115 quattuorvigintillioni 792 trevigintillioni 89 duovigintillioni 237 unvigintillioni 316 vigintillioni 195 novemdecillioni 423 ottodecillioni 570 septendecillioni 985 sexdecillioni 8 quindecillioni 687 quattuordecillioni 907 tredecillioni 853 duo decillioni 269 undecillioni 984 decillioni 665 nonillioni 640 ottillioni 564 settilionei 39 sestilionei 457 quintilionii 584 quadrilionii 7 trilioni 913 miliardi 129 milioni 639 mila 936.
Se sei sicuro che una delle 2048 parole debba essere la prima, le tue probabilità diventano 2048 11 , perché in BIP39 puoi avere parole ripetute nella stessa configurazione. E se hai le prime 10 parole nell’ordine corretto e hai bisogno solo dell’undicesima e della dodicesima, hai solo 2048 2 possibilità – il che lo rende già possibile oggi con un normale processore per computer. Quindi prenditi cura della tua frase seed e, se ti senti a tuo agio, aggiungi una passphrase in aggiunta alla lista BIP39. Ciò migliorerà notevolmente la tua sicurezza informatica, ma potrebbe diventare problematico solo se dimentichi/perdi la passphrase.
Ma in generale, come hanno sottolineato Peter Todd e il co-creatore di BIP39 Pavol “Stick” Rusnak, è molto poco pratico ed è come affermare che si possono parcheggiare 500 auto su un campo da calcio. Il suggerimento di Peter è stato quello di eliminarlo del tutto, poiché il modo efficace per attaccare le frasi seed BIP39 è forzare la chiave privata che genera.
Sì, l’informatica quantistica potrebbe diventare una minaccia in futuro. Ma questo futuro è molto lontano: a marzo 2023, il computer quantistico più potente al mondo è Osprey di IBM, una macchina che vanta 433 qubit fisici. Come sottolineato da un documento di ricerca del 2022 pubblicato sulla rivista AVS Quantum Science, un computer che mira a rompere la crittografia a chiave pubblica della curva ellittica di Bitcoin entro 24 ore richiede 13 × 10 6 qubit. In altre parole, i computer quantistici devono diventare migliaia di volte più potenti per rompere il bitcoin.
Finora, il salto tecnologico nel campo dell’informatica quantistica supera leggermente la legge di Moore. PEr fare una previsione, utilizziamo questo modello per presupporre che il modello continui e che la quantità di qubit continui a raddoppiare ogni 2 anni. Per passare da 433 a 13 × 10 6 , i computer quantistici devono diventare 30023 volte più potenti. Ci vorranno almeno altri 20 anni prima che cominciamo seriamente a preoccuparci.
Ci sono voluti 24 anni di ricerca e sviluppo per passare da 2 qubit a 433 qubit. Quanto tempo ci vorrà per raggiungere i 10.000 qubit? Probabilmente ancora qualche decennio. A 10.000 qubit e alcune condizioni fisiche molto specifiche (un tempo di ciclo del codice di 1 μs , un tempo di reazione di 10 μs e un errore di gate fisico di 10^−3), un computer quantistico sarà in grado di rubare le monete da un wallet Bitcoin arbitrario in 10 giorni. Tuttavia, a quel punto anche la crittografia migliorerà enormemente e Bitcoin potrebbe migrare verso un modello migliore che renda la forzatura così difficile che i computer quantistici avranno bisogno di molto più tempo per mettersi al passo.
L’aggiornamento a chiavi resistenti ai computer quantistici richiede solo un soft fork che può essere attivato dalla maggior parte dei nodi o miner. Quindi l’intera discussione potrebbe rivelarsi semplicemente un indegno pezzo di FUD.
Ora che abbiamo eliminato questi due attacchi molto complessi ed estremamente costosi, è tempo di concentrarci su quelli più probabili: gli attacchi sociali. In Bitcoin ci piace dire “don’t trust, verify”. Tuttavia, la creazione di sistemi di fiducia che rimuovano i dubbi sulla potenziale pericolosità degli sviluppatori è un vettore di attacco molto serio.
Il modo più semplice per mitigare qualsiasi tipo di attacco è rimanere prudenti riguardo al codice: non aggiornare alla versione più recente a meno che non lo verifichi prima o paghi qualcun altro per farlo per te. E se non fai nessuna delle due cose, assicurati almeno che un numero sufficiente di persone con incentivi contraddittori abbiano verificato il nuovo codice. Quando la posta in gioco è così alta che il sistema finanziario globale è in pericolo, è lecito ritenere che gli sviluppatori siano sottoposti a molta pressione e potrebbero commettere errori o essere compromessi.
Questo però non è un argomento a favore dell’ossificazione: il progetto Bitcoin non è completo e sono ancora necessari perfezionamenti. C’è ancora molto da fare, dall’aggiunta della privacy alla riduzione delle dimensioni delle transazioni, fino alla resistenza agli attacchi informatici quantistici. La mia argomentazione è contro l’adozione di tecnologie non testate, le cui conseguenze non sono del tutto comprese, ma non contro l’innovazione.
Tuttavia, pur perseguendo l’innovazione, non dovremmo arrenderci. Come comunità, dovremmo incoraggiare gli sviluppatori Bitcoin a preparare le opzioni prima che la minaccia diventi imminente: modelli per la crittografia a curva ellittica resistente ai quanti, privacy scalabile e così via. Alcune di queste soluzioni sono già in fase di test con incentivi di mercato su altre reti: ciò che conta di più è che gli sviluppatori Bitcoin prestino attenzione ai legittimi miglioramenti tecnologici, perfezionino ciò che è già disponibile e presentino proposte su cui tutti devono discutere. Inoltre, non dovremmo mai trascurare il nostro ruolo di operatori di nodi sovrani: siamo noi a scegliere quale codice eseguire e i client Bitcoin possono funzionare con alcune specifiche minimaliste. Non tutto ciò che è stato aggiunto a Core è necessario, ma le funzionalità ben testate forniscono utili ottimizzazioni.
Ultimo ma non meno importante, dobbiamo parlare della sicurezza informatica di ogni singolo utente Bitcoin. Questo, molto probabilmente, è il tipo principale di FUD espresso da ChatGPT quando menzionava hacker e attori malintenzionati. Qualsiasi cosa, dai keylogger che registrano e trasmettono gli input della tastiera del tuo computer (che possono contenere le tue passphrase Bitcoin Core o la frase seed BIP39) alle truffe di affinità e agli attacchi fisici, è sempre più probabile che si verifichi man mano che il prezzo di BTC aumenta.
La cattiva notizia è che nessuno sviluppatore, nessun cambiamento di protocollo, entità governativa o non governativa è in grado di proteggerti dal commettere errori. La buona notizia è che esistono alcune buone pratiche generali che puoi seguire per migliorare la tua sicurezza informatica. Queste includono:
– utilizzo di un dispositivo dedicato per firmare e trasmettere transazioni Bitcoin (un laptop o telefono Linux che esegue il software Bitcoin full node durante l’uso, portafogli hardware BIP39 con passphrase forti);
– creazione di configurazioni che eliminino i singoli punti di guasto (backup multisig e SLIP39 Shamir);
– utilizzo di cold storage (piastre metalliche , portafogli di carta, bitcoin fisici);
– proteggerti attraverso una buona sicurezza operativa e privacy (non rivelare a sconosciuti casuali dove vivi, qual è la tua configurazione Bitcoin e quanti soldi hai – questo include anche vivere una vita materialmente normale per il tuo quartiere/comunità senza metterti in mostra ). Ricorda: fai trapelare quante meno informazioni possibile sulla tua attività Bitcoin, o almeno induci in errore le tue spie per avere un’immagine distorta di ciò che stai realmente facendo e di quanto sei ricco.
Bitcoin è una valuta che impone la proprietà assoluta. Ciò significa che, una volta trasmessa e confermata in un blocco, una transazione diventa irreversibile. Pertanto, ogni utente è responsabile di proteggere la propria ricchezza al meglio delle proprie conoscenze e capacità, secondo un modello di minaccia reale. Prima di creare qualsiasi tipo di configurazione, devi chiederti “chi è l’avversario più pericoloso che potrebbe tentare di rubare le mie monete?”.
Se condividi il computer con altre persone, non dovresti lasciare file del wallet non crittografati. Se sei in viaggio, è una cattiva idea portare con sé dispositivi che rivelino che stai trasportando bitcoin (di solito, un wallet hardware è più facile da riconoscere e più sospetto di un laptop o un pezzo di carta). Se hai figli o un coniuge ficcanaso che potrebbe intromettersi nei tuoi schedari e cassetti, allora è meglio non tenere il backup a portata di mano. Se vivi in un brutto quartiere con alti tassi di criminalità, probabilmente dovresti evitare di tenere backup di bitcoin in casa tua. E se la tua zona è minacciata da inondazioni, incendi, eruzioni vulcaniche o terremoti, allora devi trovare un sistema con una buona distribuzione geografica che renda allo stesso tempo impossibile perdere tutto e facile accesso alle altre chiavi/parti del tuo backup.
Tuttavia, la minaccia più comune è rappresentata dagli hacker. Puoi trovare questi criminali sotto forma di individui che tentano illegalmente di entrare nel tuo computer, così come uomini d’affari in giacca e cravatta che progettano sistemi che essenzialmente rubano le tue monete all’interno di un quadro legale. Dalla prima categoria puoi distinguere le persone che codificano malware oppure fanno amicizia con te per poi chiederti soldi (che si tratti di un principe nigeriano o di una modella OnlyFans che ha un disperato bisogno di aiuto). La seconda categoria è costituita da borse e banche, che promettono di custodire le tue monete in un ambiente sicuro ma ti impediranno di prelevare ogni volta che il loro modello di business è sott’acqua. Dovresti evitare entrambi questi hacker a tutti i costi, poiché sono i più propensi a rubare i tuoi bitcoin.
Sebbene sia conveniente depositare le tue monete su qualche conto bancario, questo tipo di azione vanifica lo scopo del progetto Bitcoin e diminuisce notevolmente la tua sovranità finanziaria. Le terze parti fidate sono buchi di sicurezza informatica e non dovresti mai fidarti di un individuo o di un’azienda che promette di detenere i tuoi BTC in cambio di sicurezza e/o rendimento.
Naturalmente, ci sono altri tipi di attacchi sociali: false e-mail di exchange che ti chiedono di verificare la tua frase seed in una risposta, chiamanti che si spacciano per un servizio di wallet che ti chiede di confermare i tuoi dati (a volte anche un indirizzo di casa) consegne di wallet hardware che vengono intercettati e compromessi tramite l’inserimento di frasi seed BIP39 (gli aggressori lasciano la propria frase seed nella casella, sperando che gli utenti principianti inviino lì le loro monete), attacchi con chiave inglese da $ 5 e imitatori che fingono di essere amici o familiari che hanno urgentemente bisogno di soldi consegna. Questi sono quelli che diventano più comuni man mano che il prezzo e l’adozione aumentano. Ecco perché devi esserne consapevole e proteggerti riducendo al minimo la quantità di dati che fornisci sui servizi che utilizzi, sul luogo in cui vivi e sulla quantità di bitcoin che possiedi.
Tornando all’argomentazione di ChatGPT, è falso presumere che le persone truffate costituiscano una seria minaccia per Bitcoin. La rete esisterà e continuerà a funzionare nonostante i ladri. Certo, un gran numero di persone potrebbe sentirsi spaventato e scoraggiato dall’idea di responsabilità. Ma non dobbiamo dimenticare che le soluzioni di self-custody diventano anche più sicure e facili da usare nel tempo. Anche i livelli di Bitcoin diventano più sviluppati e vengono sbloccati nuovi modi per utilizzare e archiviare i tuoi soldi. Ad esempio, il progetto Fedimint prevede di abilitare banche comunitarie in cui gli utenti possano sbloccare i propri fondi semplicemente con un selfie.
Gli hacker e gli attori malintenzionati esistono in ogni sistema monetario e organizzazione umana. Ciò che conta di più è costruire una cultura di equità, responsabilità, buone pratiche e verità. Finché questi saranno in atto, ChatGPT si prenderà un altro GRAVEMENTE INSUFFICIENTE per essere sbagliato ancora con il suo FUD.
Tradotto da Bitcoin 24 ORE
Articolo originale qui
Recent Comments