Coincheck, uno dei più grandi exchange giapponesi, ha perso oltre 400 milioni di dollari di valore in criptomonete per un attacco hacker alla propria rete. Coincheck ha congelato depositi e prelievi per tutte le criptovalute a eccezione dei Bitcoin in quanto ha fatto sapere che il furto ha coinvolto solo NEM, una valuta meno nota ma comunque tra le dieci più capitalizzate.
Si tratta del furto più grande di criptovalute fino a oggi, e supera quello che ha coinvolto un altro exchange nipponico, MtGox. Il furto ha preso di mira gli asset contenuti in un "portafoglio caldo" (hot wallet) - una parte dell'exchange connessa a Internet - e non quelli cold wallet, archiviata offline.
Coincheck dice di avere l'indirizzo digitale verso cui sono stati inviati gli asset. Secondo l'azienda gli hacker hanno colpito alle 02:57 di venerdì, ma l'incursione è stata scoperta solo alle 11:25, quasi otto ore e mezza dopo.
Coincheck sta cercando di capire se l'attacco è avvenuto dal Giappone o da un altro paese. "Sappiamo dove sono stati inviati i fondi", ha dichiarato il direttore operativo di Coincheck, Yusuke Otsuka. "Li stiamo rintracciando e se saremo in grado di continuare a monitorarli, potrebbe essere possibile recuperarli".
Coincheck ha contattato le forze di polizia e la Financial Services Agency giapponese per comunicare il "fattaccio". L'exchange ha fatto sapere che userà i propri capitali per rimborsare i 260.000 utenti coinvolti, valutando 88,549 yen (82 centesimi di dollaro) per ogni NEM. In totale sono state sottratti 523 milioni di criptomonete.
"I tempi del rimborso e il processo di richiesta sono attualmente al vaglio", ha comunicato Coinchek, asserendo che per il 90% dei rimborsi userà fondi interni.
I fatti appaiono semplici, un "banale" furto ma a ben guardare c'è qualcosa in più che si può dire. Cominciando dal fatto che molte volte su Tom's Hardware, per esempio qui, abbiamo parlato di quanto importante sia prestare attenzione alla sicurezza dei propri investimenti.
Una delle regole auree è di detenere gli asset destinati ad essere detenuti a lungo in Wallet di cui si detengono le chiavi (privata e pubblica). Preferibilmente tale Wallet dovrebbe essere un Cold Wallet, offline, lontano da Internet e quindi da potenziali intrusioni di malintenzionati.
E se svariati fra i nostri utenti hanno seguito tali indicazioni è ragionevole immaginare che anche gli Exchange, abituati a custodire miliardi di dollari in asset adottino certamente tali raccomandazioni. Giusto? Sbagliato a quanto pare, visto quanto è accaduto a Coincheck.
Sembra anche che l'Exchange in questione non abbia neppure adottato precauzioni come quella dell'utilizzo di sistemi Multi-Signature, una tecnologia che consente l'invio delle criptomonete solo previo inserimento di molteplici chiavi.
Ben venga, certo, l'impegno a risarcire - vedremo se la promessa sarà onorata. Ma resta l'amaro in bocca nel vedere che un servizio che gestisce il denaro di altri - per miliardi di dollari - abbia un approccio tanto superficiale alla sicurezza.