Un attacco hacker alla piattaforma Qubit Finance rimette le criptovalute sotto ai riflettori, in un momento storico nel quale tanto si discute dell’ascesa di valore e di credibilità di questo bene immateriale sui mercati finanziari, ma ancora si evidenziano i molti rischi sottostanti. Non solo le criptovalute possono essere “estratte” illecitamente con programmi di cryptomining, ma sfruttando le vulnerabilità delle piattaforma exchange c’è chi realizza delle vere e proprie rapine stando dietro a una tastiera e a uno schermo.
Così è successo, appunto, a Qubit Finance, piattaforma di finanza decentralizzata (DeFi) per il lending e il borrowing, che tratta le principali valute come Qubit (QBT), Bitcoin (BTC), Ethereum (ETH), Binance Coin (BNB) e altre. Come svelato dai gestori della piattaforma attraverso Medium, nella serata del 27 gennaio “il protocollo Qubit è stato oggetto di un exploit sulla nostra funzione di deposito QBridge”.
Dalle analisi eseguite da CertiK, società di sicurezza informatica specializzata in blockchain, probabilmente l’autore o gli autori dell’attacco hanno sfruttato una vulnerabilità presente nel codice software della piattaforma relativo agli smart contract. Così facendo, hanno potuto fare un versamento in Ethereum pari a zero e scambiarlo con 80 milioni di dollari in Binance Coin. Al momento le funzioni Supply, Redeem, Borrow, Repay, Bridge e Bridge Redemption sono state disabilitate, mentre è attiva la funzione Claiming.
Si è trattato, in termini di bottino realizzato, del più grande hackeraggio ai danni di una piattaforma di scambio di criptovalute mai realizzato. “Le persone”, si rimarca nell’analisi fatta da CertiK, “hanno bisogno di spostare fondi da una blockchain all’altra, ma devono poterlo fare in modi non vulnerabili agli hacker”.
La reazione di Qubit Finance è diversa da quella scelta (o se non altro palesata) da molte aziende colpite dagli hacker: una richiesta di collaborazione, nella improbabile speranza di poter recuperare il maltolto. Il team della piattaforma sta continuando a indagare sull’accaduto ma ha anche contattato l’autore dell’attacco per offrire il premio massimo previsto dal programma di bug hunting di Qubit Finance. In fondo, gli hacker hanno il “merito” di aver evidenziato un difetto di codice decisamente critico.