Situazione Attuale nel Settore delle Criptovalute
Il fondatore di deBridge, Alex Smirnov, ha esortato i validatori a sospendere le transazioni fino a quando non verrà attuato un piano di rimedio per gli utenti colpiti. Separatamente, Trust Wallet ha confermato che un codice malevolo incorporato nella sua estensione per Chrome ha portato a circa 7 milioni di dollari in asset rubati su più blockchain, spingendo il fornitore del wallet a lanciare un processo di compensazione formale. Il fondatore di Binance, Changpeng Zhao, ha dichiarato che tutte le perdite subite saranno coperte.
Controversia sulla Blockchain di Flow
Alex Smirnov, fondatore del fornitore di bridge cross-chain deBridge, ha pubblicamente esortato i validatori sulla blockchain di Flow a fermare l’elaborazione delle transazioni fino a quando non verrà stabilito un chiaro piano di rimedio per gli utenti colpiti dalla controversa proposta di rollback della rete. L’appello è stato fatto dopo un exploit di 3,9 milioni di dollari avvenuto il 27 dicembre, quando un attaccante ha sfruttato una vulnerabilità nel layer di esecuzione di Flow e ha drenato fondi dalla rete attraverso più bridge cross-chain.
Il piano di rollback è stato introdotto come risposta d’emergenza all’exploit, ma ha suscitato preoccupazioni diffuse nell’ecosistema di Flow. Smirnov ha avvertito che il rollback ha creato confusione intorno ai saldi degli utenti, in particolare per coloro che hanno trasferito asset fuori da Flow durante la finestra colpita e ora affrontano la possibilità di saldi duplicati o non corrispondenti. Essendo uno dei principali fornitori di bridge di Flow, deBridge è stato direttamente esposto a queste incoerenze, il che ha portato Smirnov a chiedere maggiore trasparenza e coordinamento da parte della Flow Foundation.
Nonostante l’appello, i validatori di Flow non sono ancora stati in grado di rispondere. I dati blockchain mostrano che Flow è rimasto bloccato all’altezza del blocco 137.385.824 da sabato sera, anche se la Flow Foundation ha indicato che la rete era prevista per un riavvio entro quattro-sei ore. Finora, la reazione del mercato è stata severa: il token FLOW è sceso di circa il 42% dall’exploit, secondo i dati di CoinCodex.
“Il danno alla fiducia era già stato fatto.” – Critici della proposta di rollback
Reazioni e Critiche
La controversia è stata ulteriormente complicata da messaggi contrastanti da parte degli stakeholder dell’ecosistema. In ottobre, Dapper Labs—il creatore di Flow—ha dichiarato che un piano di recupero rivisto avrebbe eliminato completamente la necessità di un rollback, preservando l’attività legittima degli utenti mentre ripristinava le operazioni della rete. Tuttavia, i critici sostengono che il danno alla fiducia era già stato fatto. Smirnov ha descritto la decisione di rollback come affrettata e ha affermato che i partner dell’ecosistema non erano stati adeguatamente informati, avvertendo che i rollback possono causare problemi a cascata per bridge, custodi, scambi e utenti che hanno agito in buona fede.
Gabriel Shapiro, consulente legale di Delphi Labs, ha criticato l’approccio di Flow, suggerendo che crea effettivamente asset non garantiti e sposta il peso della mitigazione su bridge ed emittenti. Sebbene Dapper Labs abbia insistito sul fatto che nessun saldo utente—compreso il proprio tesoro—sia stato colpito, rimane scetticismo. Flow una volta ha attratto molti investimenti, e ha persino ottenuto 725 milioni di dollari di finanziamenti da aziende tra cui Andreessen Horowitz e Union Square Ventures. Oggi, tuttavia, la rete ha solo 85,5 milioni di dollari in valore totale bloccato, e FLOW è scivolato fuori dalle prime 300 criptovalute per capitalizzazione di mercato.
Incidenti di Sicurezza di Trust Wallet
Un’altra azienda legata alle criptovalute sta cercando di recuperare dopo un recente exploit. Trust Wallet ha annunciato il lancio di un processo di compensazione formale per gli utenti colpiti da un recente incidente di sicurezza che coinvolge la sua estensione per il browser Chrome, dopo la scoperta di codice malevolo incorporato nella versione 2.68 del software. Il problema è stato identificato due giorni prima dell’annuncio, dopo che sono emerse segnalazioni che i fondi degli utenti venivano drenati poco dopo un aggiornamento rilasciato il 24 dicembre. Gli utenti colpiti possono ora presentare richieste tramite un modulo di supporto ufficiale ospitato sul sito web di Trust Wallet.
Il processo di richiesta richiede agli utenti di fornire dettagli tra cui il proprio indirizzo email, paese di residenza, indirizzi del wallet compromessi, indirizzi di ricezione dell’attaccante e hash delle transazioni pertinenti. Trust Wallet ha dichiarato di essere impegnata a compensare tutti gli utenti colpiti dall’incidente. Secondo Trust Wallet, circa 7 milioni di dollari in asset digitali sono stati rubati su più blockchain, tra cui Bitcoin, Ethereum e Solana. La società di sicurezza blockchain PeckShield ha riportato che oltre 4 milioni di dollari dei fondi rubati erano già stati canalizzati attraverso scambi centralizzati come ChangeNOW, FixedFloat e KuCoin.
Changpeng Zhao, fondatore di Binance, che ha acquisito Trust Wallet nel 2018, ha confermato pubblicamente che tutte le perdite sarebbero state coperte. Zhao ha dichiarato su X che i fondi degli utenti rimangono “SAFU“. L’incidente è stato segnalato pubblicamente per la prima volta il giorno di Natale dall’investigatore on-chain ZachXBT, che ha avvertito che più utenti di Trust Wallet stavano segnalando saldi drenati poco dopo l’aggiornamento dell’estensione per Chrome. Trust Wallet ha emesso una correzione nella versione 2.69 il 25 dicembre.
Il CEO Eowyn Chen ha poi spiegato che gli utenti che hanno accesso all’estensione prima del 26 dicembre alle 11:00 UTC potrebbero essere stati colpiti. L’indagine dell’azienda ha determinato che una chiave API del Chrome Web Store trapelata è stata utilizzata per pubblicare l’estensione compromessa, eludendo i controlli interni di rilascio. La società di sicurezza SlowMist ha scoperto che il codice malevolo raccoglieva frasi seed del wallet utilizzando una libreria di analisi open-source modificata. Trust Wallet ha confermato che gli utenti dell’app mobile e gli utenti di altre estensioni per browser non sono stati colpiti.
