Blockchain ha creato nuove economie basate su registrazioni delle transazioni più economiche e veloci. Ma può sopravvivere all’audit della sicurezza informatica?
Già nel 2009, la prima generazione di tecnologia blockchain prometteva valore attraverso il suo utilizzo come libro mastro per le transazioni di criptovaluta. Il solito lavoro assegnato ai banchieri e ai processori di pagamento nei sistemi finanziari storici per mantenere i registri ed elaborare le transazioni, insieme alle loro commissioni, è passato nelle mani di un gruppo più ampio di pari all’interno della blockchain.
Chiunque abbia abbastanza risorse informatiche per aggiungere transazioni al libro mastro di una blockchain in un processo chiamato cryptomining potrebbe essere un minatore. Questi minatori, proprio come i processori di pagamento, hanno ottenuto il loro guadagno, ma in criptovaluta. Finché le commissioni forniscono entrate sufficienti per compensare i costi dei minatori, le transazioni continuano ad essere elaborate.
In definitiva, il valore economico derivato dalla blockchain è reso possibile grazie al modo in cui sfrutta la potenza di elaborazione del computer insieme a un design trasparente e affidabile per il registro blockchain al fine di rendere le transazioni più economiche, veloci e affidabili come quelle gestite dai sistemi finanziari esistenti. Da allora le persone hanno acquistato e venduto in queste nuove economie digitali.
Nel 2015, una blockchain, Ethereum, ha reso popolare un nuovo modo di creare valore economico: gli smart contract. L’idea era semplice. Scrivi un programma per computer – un contratto intelligente – in grado di registrare le transazioni in un libro mastro e attivare automaticamente altre transazioni quando le condizioni predefinite sono state soddisfatte.
Con i contratti intelligenti, i vantaggi di transazioni più economiche e veloci sono diventati disponibili per una gamma più ampia di applicazioni. Le transazioni non erano più solo per l’acquisto e la vendita di criptovalute, ma anche per la registrazione di eventi della catena di approvvigionamento, fatturazione e pagamenti. Catturate dalla prospettiva di migliori efficienze e risparmi sui costi, le imprese si sono unite a consorzi blockchain e hanno dato il via a progetti pilota che hanno sperimentato contratti intelligenti.
Blockchain aziendale che crea nuovo valore tramite Smart Contract
Alcuni anni dopo, nel 2020, i giganti del settore della vendita al dettaglio e della drogheria come Walmart Canada hanno implementato soluzioni basate su blockchain. Con l’aiuto di DLT Labs, una startup canadese di tecnologia finanziaria, Walmart Canada ora condivide con i corrieri partner un registro blockchain che promette di ridurre le controversie sulle fatture con i corrieri. Finora, la quota di fatture emesse è stata ridotta da un massimo del 70% a meno del 2%, un punto di svolta per accelerare l’elaborazione delle fatture e dei pagamenti.
Nell’industria petrolifera e del gas, due progetti blockchain in corso sono VAKT e Komgo. VAKT mira a ridurre i costi amministrativi e accelerare i processi coinvolti nel trading utilizzando la tecnologia blockchain Quorum. Le società energetiche BP, Shell ed Equinor e le società commerciali Gunvor e Mercuria sono i primi partecipanti. Allo stesso modo, la società di trading di petrolio greggio SOCAR Trading si è rivolta alla piattaforma blockchain di Komgo, anch’essa costruita su Quorum.
Lo spettro di interessanti progetti blockchain include quelli che mirano a offrire tariffe migliori per il factoring delle fatture, accelerando la presentazione delle polizze di carico, riducendo i costi e i tempi per l’elaborazione dei pagamenti transfrontalieri e migliorando l’elaborazione dei contratti di (ri) assicurazione.
Hacking blockchain’s trust?
La fiducia offerta dalla tecnologia blockchain risiede nella sua garanzia che, per tutti i membri della rete, la registrazione delle transazioni è la fonte indiscutibile della verità. Poiché non è possibile modificare le transazioni una volta inserite nel libro mastro, il modo in cui una blockchain verifica le transazioni prima che vengano registrate in modo permanente diventa l’elemento cruciale per la sicurezza.
Un modo per infrangere questa fiducia sarebbe quando un partecipante o un gruppo aumenta la propria quota di potere – potere di mining o altro – nella rete oltre una soglia prestabilita. Per blockchain come Bitcoin quella soglia è del 50% o per Tangle del 33%. Un gruppo che supera una certa quota di potere può ottenere il monopolio della verità e rompere la fiducia insita nel sistema.
Un altro pericolo – come per tutti i sistemi informatici – è che i criminali informatici rubino le chiavi private dei partecipanti alla blockchain per impersonarli ed effettuare transazioni non autorizzate. Le chiavi private sono normalmente archiviate in portafogli digitali. I pericoli sono gli stessi per un portafoglio personale, un portafoglio aziendale o un portafoglio di una borsa valori e occorre prestare attenzione alle migliori pratiche di sicurezza per tutte le parti che ne gestiscono uno.
Sebbene le transazioni economiche e veloci rendano la blockchain più preziosa come strumento, non dovrebbero essere perseguite a scapito della sicurezza e della fiducia.
Hackerare gli smart contract?
Forse l’hack più famigerato è avvenuto nel 2016 quando la Decentralized Autonomous Organization (DAO) ha perso quasi 3,7 milioni di token Ethereum ($ 250 milioni di dollari) da un portafoglio collegato a uno smart contract costruito sulla blockchain di Ethereum. Un hacker ha sfruttato una bug di logica all’interno del contratto intelligente che ha permesso di interrompere ripetutamente una richiesta di prelievo con un’altra senza sottrarre l’importo inizialmente richiesto. In effetti, questo ha permesso ripetuti prelievi degli stessi fondi.
La maggior parte della comunità che partecipa a Ethereum ha votato per “riscrivere” il libro mastro e restituire i fondi persi, creando un hard fork della blockchain per farlo. Coloro che si sono opposti all’hard fork e hanno preferito rimanere con la timeline originale in cui è avvenuto l’hack DAO fanno ora parte del rinominato “Ethereum Classic”.
Raccomandazioni per la sicurezza degli smart contract
Chiaramente, la progettazione di smart contract rimane un punto di sicurezza critico, poiché i driver blockchain continuano a esplorare applicazioni su scala aziendale che mirano a migliorare le catene di approvvigionamento, i pagamenti e l’elaborazione dei documenti. Ecco alcuni consigli per migliorare la sicurezza degli smart contract:
- Assumi una terza parte per condurre un controllo completo della sicurezza delle applicazioni blockchain. Avere nuovi occhi per rivedere il codice o testare strenuamente nuove applicazioni può rilevare sviste.
- Prendi in considerazione l’utilizzo di strumenti di analisi del codice di contratti intelligenti per scoprire le vulnerabilità.
- Utilizza strumenti di monitoraggio e difesa attivi che funzionano in tempo reale per cercare nei registri delle transazioni o nelle ricevute degli smart contract alla ricerca di comportamenti sospetti.
- Assicurati che la crittografia sia implementata correttamente nelle applicazioni in modo che i dati sensibili come le credenziali di accesso non siano esposti.
- Autentica correttamente tutte le parti che partecipano agli smart contract o conducono transazioni in una blockchain.
- Implementa una soluzione di autenticazione a più fattori come il kit di sviluppo software ESET Secure Authentication (SDK) per proteggere ulteriormente le chiavi private dei partecipanti alla blockchain.