La sicurezza della blockchain non può che partire da un’analisi concreta delle sue vulnerabilità, potenziali e reali. Secondo le ultime ricerche, infatti, nei confronti di questa tecnologia a crescere non è solo l’interesse della società e delle istituzioni che stanno aumentando i loro investimenti. Se la Blockchain offre immutabilità, tracciabilità e trasparenza in casi d’uso che sono diventati difficili da supportare con l’infrastruttura tradizionale, in parallelo cresce anche il livello di attenzione degli hacker.
Questo perché, come per tutte le tecnologie informatiche, anche l’architettura a blocchi porta con sé una serie di rischi. La sicurezza della blockchain, infatti, va oltre la corruzione dei dati, includendo rischi come il riciclaggio di denaro, la contraffazione, la violazione della privacy e le truffe. Per altro, un ambiente normativo poco chiaro rallenta l’adozione della tecnologia blockchain e crea un terreno fertile per i criminali informatici che possono sfruttare alcune vulnerabilità.
Evoluzione della blockchain
Prima di affrontare il tema della sicurezza della blockchain, è bene capire un po’ meglio il contesto. Negli ultimi anni, da hype tecnologico a fenomeno di massa, una tecnologia nata lanciando la criptovaluta Bitcoin si è evoluta in modo significativo. Le attuali applicazioni blockchain abbracciano settori che vanno ben oltre la moneta virtuale: basti pensare al boom degli NFT (Non-Fungible Token), alla notarizzazione per certificare l’immutabilità e l’immodificabilità nel tempo delle informazioni (premesso che nessuno certifica che le informazioni inserite siano vere tranne nel caso in cui, ad esempio, la blockchain sia agganciata nel mondo reale a un sistema RFID). Il meccanismo funziona in modo così dirompente che i registri distribuiti e l’economia decentralizzata che abilitano le criptovalute stanno caratterizzandosi come il paradigma architettonico del web di prossima generazione.
Centralizzazione versus decentramento: come funziona un modello blockchain
L’asset principale della blockchain è il suo modello di decentramento, con una distribuzione di funzioni, controllo e informazioni che non sono più incardinati in un’unica entità. Il che la rende assolutamente opposta a un modello centralizzato che, idealmente, è costituito da mozzo e raggi, come una ruota di bicicletta. Tutto sugli endpoint viaggia lungo i raggi fino all’hub, o sistema centrale e questa è l’essenza della progettazione di un computer mainframe.
Che si tratti di un terminale verde o di un PC, si connettono tutti al mainframe, creando un singolo punto di vulnerabilità. Se l’hub (in questo caso, il mainframe) si interrompe, l’intera rete si interrompe e non è possibile eseguire alcun lavoro. La rete decentralizzata, invece, è la quint’essenza di Internet e dei suoi prodromi. Per chi non c’era, il web nasce con ARPANET, sistema di comunicazione costruito per il Dipartimento della Difesa degli Stati Uniti nel 1969 e progettato per sopravvivere a un attacco nucleare: se una parte della rete veniva interrotta, il traffico veniva veicolato attraverso le aree rimaste attive del network.
Quel design è ancora il motore del web per cui, anche se le interruzioni locali sono abbastanza frequenti, è praticamente impossibile disattivare l’intera rete Internet mondiale. La blockchain, con il suo modello distribuito, è incentrata sullo stesso modello funzionale.
Pratiche di igiene informatica applicate alla blockchain
In un mondo di archivi distribuiti e applicazioni decentralizzate, le persone devono assumersi una maggiore responsabilità per la loro sicurezza online e le aziende devono mitigare le minacce ragionando ben oltre il proprio orticello operativo considerando il mondo che ruota attorno alle loro risorse proprietarie. Per proteggere la blockchain, organizzazioni e singoli individui devono cambiare cultura e postura della cybersecurity. Il che significa che utenti, dirigenti, dipendenti, collaboratori, clienti e fornitori devono conoscere molto bene tutte le best practices relative all’igiene della sicurezza informatica.
Anche nel caso della sicurezza della blockchain, infatti, è fondamentale stimolare un percorso di educazione e formazione alla cybersecurity. Le organizzazioni devono attivare le risorse necessarie, studiando modalità di ingaggio finalizzate a stimolare la partecipazione delle persone di un’organizzazione al valore della sicurezza della blockchain e a quali sono le tipologie di minacce a cui prestare attenzione.
Per proteggere la tecnologia del registro distribuito e gli utenti che ne fanno uso ci sono diverse best practice che possono essere seguite per garantire la sicurezza della blockchain. Di seguito le più rilevanti:
- Crittografia: Utilizzare algoritmi di crittografia robusti per proteggere i dati presenti sulla blockchain.
- Accesso sicuro: Implementare un sistema di autenticazione a più fattori per garantire che solo gli utenti autorizzati possano accedere alla blockchain.
- Gestione delle chiavi: Proteggere le chiavi private utilizzate per accedere alla blockchain e per firmare le transazioni.
- Sicurezza della rete: Utilizzare una rete sicura e affidabile per evitare attacchi di tipo man-in-the-middle o attacchi di tipo DDoS.
- Audit e monitoraggio: Monitorare costantemente la blockchain per individuare eventuali anomalie o attività sospette.
- Aggiornamenti regolari: Mantenere il software della blockchain aggiornato con le ultime patch di sicurezza per proteggere da vulnerabilità note.
- Contratti sicuri: Verificare attentamente gli smart contract per individuare eventuali falle di sicurezza.
- Backup dei dati: Effettuare regolarmente backup dei dati presenti sulla blockchain per evitare la perdita di informazioni importanti, progettando una solida sicurezza di rete tramite architettura zero-trust, VPN, firewall e via dicendo
- Sicurezza fisica: Proteggere l’infrastruttura fisica che ospita la blockchain da accessi non autorizzati.
- Consenso distribuito: Utilizzare algoritmi di consenso distribuito affidabili per garantire la sicurezza e l’integrità della blockchain.
Vulnerabilità della blockchain: quali sono le ultime tipologie di attacco
Come evidenziano gli analisti, nel 2022 sono stati segnalati più incidenti di sicurezza blockchain rispetto a qualsiasi anno precedente, che hanno portato a perdite superiori a 4 MLD di dollari. Questi exploit includono attacchi tradizionali, di phishing o di rete, ma anche nuove minacce come, ad esempio:
51% attacks
La peculiarità di questo attacco è quando la maggior parte di una rete cospira contro una minoranza di partecipanti, come è successo su una serie di piattaforme come, ad esempio, Ethereum Classic, Verge Currency e Horizen (ex ZenCash). In un attacco del 51%, un miner o un gruppo di miner malintenzionati ottiene il controllo di oltre il 50% dell’uso degli hash di una rete o delle risorse di calcolo, dando loro la possibilità di alterare la blockchain. La parte controllante potrebbe quindi impedire le transazioni, interrompere i pagamenti, invertire le transazioni e clonare la spesa (un tipo di frode che si verifica quando le stesse monete vengono utilizzate in più di una transazione).
Cryptojacking
Il cryptojacking, evolutosi nella forma del cryptomining, è una violazione in cui il cybercrime installa un malware specializzato che consente di utilizzare le risorse informatiche della vittima in questo modo: il malware infetta un dispositivo bersaglio e ne utilizza l’elettricità, l’hardware e altre risorse come un parassita causando surriscaldamento, consumo energetico eccessivo e una maggiore usura dell’hardware, riducendone la durata e l’efficienza. Inoltre, nell’ecosistema del cryptomining ci sono state diverse truffe e frodi legate a schemi di mining fraudolenti. Alcuni operatori truffaldini potrebbero promettere rendimenti elevati o vendere hardware di mining fasullo. Un altro rischio è che i criminali informatici potrebbero arrivare a sottrarre le criptovalute accumulate o i dati personali degli utenti.
Flash loan attacks
Questo tipo di violazioni si verificano in ambito fintech, ovvero in relazione ai contratti di prestito flash che consentono agli utenti di accedere a somme di denaro in base a garanzie verificate da una serie di algoritmi dedicati che vengono hackerati. Manipolando l’intelligenza della algoeconomy gli hacker più abili possono arrivare a sottrarre somme importanti di cryptovaluta. Due casi saliti alle cronache sono l’attacco da 24 milioni di dollari a xToken o l’attacco da 80 milioni di dollari a Beanstalk Farms. In questo secondo caso, in particolare, le rivelazioni sull’attacco hanno anche sollevato interrogativi sulla qualità progettuale della piattaforma stessa di BeanStalk, sulla sua postura di sicurezza e su chi si trovava al vertice dell’azienda. Questo perché anche la non sicurezza della blockchain comporta problemi di brand reputation a cascata.
Rug pulls
Questo tipo di attacchi si verifica quando gli addetti ai lavori, come sviluppatori di criptovalute, gruppi criminali o influencer pagati, invitano gli utenti a partecipare a progetti di investimento o scambi di criptovalute senza l’intermediazione di terze parti. I truffatori creano un progetto apparentemente legittimo, invitano gli utenti a investire, accumulano una grande quantità di criptovalute e, infine, abbandonano il progetto, portando via tutti i fondi con loro. Tali schemi, definiti in gergo pump-and-dump, hanno provocato perdite per 170 milioni di dollari in soli 48 attacchi nel 2022 e hanno costituito più della metà di tutti gli schemi di frode sulle piattaforme di criptovaluta (Fonte: Crystal Blockchain 2023). Dunque, prima di investire in un progetto, è fondamentale condurre una ricerca approfondita sul team di sviluppo, gli obiettivi del progetto e le recensioni degli utenti per verificare l’autenticità delle informazioni e valutare la reputazione del progetto.
Sicurezza della blockchain: quali sono gli exploit noti
Sebbene le tecnologie blockchain siano in genere piuttosto esoteriche per l’utente finale, le interfacce per l’interazione con le applicazioni, le risorse crittografiche o i relativi sistemi di gestione delle identità sono bersagli ottimali per i malintenzionati. Di seguito alcuni esempi:
Attacchi di phishing
Gli attacchi di phishing coinvolgono attori malintenzionati che utilizzano tecniche di ingegneria sociale per ottenere le credenziali degli utenti, installare malware sui dispositivi degli utenti e ottenere le chiavi private e le loro seed phrase. Nel caso specifico, le seed phrase (dette anche recovery phrase) sono una sequenza di parole generata da un wallet crypto che permette all’utente di accedere ai fondi custoditi in esso in sostituzione della chiave privata. Frasi di ripristino generate dai portafogli crittografici durante l’installazione consentono agli utenti di accedere ai propri portafogli se hanno dimenticato la password o hanno perso il loro dispositivo.
Attacchi Sybil
Gli attacchi Sybil si verificano quando gli hacker creano e utilizzano una serie di false identità per inondare, superare o bloccare un sistema, minando così l’autorità. Alcuni dei primi casi di attacchi Sybil si sono verificati su reti peer-to-peer. In un contesto blockchain, gli attacchi Sybil coinvolgono gli aggressori che utilizzano più nodi falsi sulla rete blockchain, non solo impedendo connessioni e transazioni, ma arrivando ad assumere il controllo della rete e condurre attacchi del 51% (vedasi riferimento più sopra).
Attacchi DDoS
Gli attacchi DDoS si verificano quando gli aggressori sovraccaricano la loro rete di destinazione, causando il rallentamento o l’arresto anomalo del sistema, negando così i servizi agli utenti legittimi. Un attacco DDoS su una rete blockchain ha lo stesso obiettivo di abbattere il sistema. In un attacco DDoS blockchain, gli attori malintenzionati potrebbero, ad esempio, inondare la rete con transazioni di spam, rallentando le operazioni e impedendo agli utenti legittimi di accedervi.
Il fattore umano
Molti attacchi blockchain si concentrano molto meno sulla tecnologia e più sul fattore umano che, per pigrizia o per ignoranza è la causa principale delle vulnerabilità informatiche. Nel 2016, ad esempio, le chiavi crittografiche rubate, ovvero le firme digitali private, sono state la probabile causa della violazione da 73 MLN di dollari dell’exchange delle criptovalute Bitfinex.
Vulnerabilità degli endpoint
Le vulnerabilità degli endpoint sono anche punti di ingresso per il cybercrime a livello di dispositivo, app, portafoglio o fornitore di terze parti. Anche i dipendenti e il personale dei fornitori, infatti, sono obiettivi ambiti per i malintenzionati, come dimostrano gli Island hopping attack. L’exchange di criptovalute Bithumb, ad esempio, è stato violato utilizzando il computer di un dipendente nel 2017. L’inserimento di dati errati e l’incompetenza dello sviluppatore, anche senza intenti dannosi, sono altri rischi che vanno tenuti in debita considerazione.
Le architetture blockchain variano ampiamente tra loro. Soprattutto sotto il profilo strutturale, con componenti che introducono compromessi a livello di sicurezza. Le blockchain private e pubbliche, ad esempio, differiscono nel fatto che entità note o entità sconosciute possono unirsi alla rete e partecipare alla verifica. Diverse configurazioni di rete utilizzano componenti diversi, che comportano diversi rischi per la sicurezza della blockchain. Queste configurazioni fanno scattare diverse domande:
- come si ottiene un consenso?
- come viene verificata l’identità?
- come vengono gestiti i sidechain e/o i dati in transito?
- cosa incentiva i minatori?
Gli osservatori sono concordi nell’affermare che, man mano che i componenti, gli algoritmi e gli usi della blockchain continuano a evolversi, anche le tattiche di attacco e le tecniche di mitigazione delle minacce aumenteranno.
Mancanza di regolamentazione
Mentre molti sostenitori della blockchain temono che la regolamentazione ritarderà la portata dell’innovazione, i regolamenti e gli standard favoriscono in realtà la sicurezza della blockchain e dell’innovazione. Il mercato attuale è assolutamente frammentato, con diverse aziende, consorzi e prodotti che operano con regole e protocolli differenti. Ciò significa che gli sviluppatori non possono capitalizzare le esperienze altrui per imparare errori e vulnerabilità.
A questo si aggiungono i rischi di una bassa integrazione. Mentre i broker centralizzati sono soggetti a corruzione, la tenuta dei registri decentralizzata della blockchain offre un’alternativa in cui i dati sono distribuiti tra molti partecipanti, rendendo più difficile la loro manipolazione. Tuttavia, ciò non significa che la blockchain sia completamente immune alla corruzione. La sicurezza della blockchain dipende dalla sua architettura, dagli algoritmi di consenso e dai meccanismi di sicurezza implementati. Anche i cosiddetti smart contract, che sono protocolli informatici che facilitano, verificano o applicano la negoziazione o l’esecuzione di un contratto, non sostituiscono la conformità legale e non sono legalmente vincolanti di per sé. È necessario che le parti coinvolte si attengano alle leggi e alle normative esistenti.
In sintesi, dal riciclaggio di denaro alla contraffazione, dalla privacy alle truffe, un ambiente normativo poco chiaro comporta un rallentamento dell’adozione, consentendo ai criminali informatici di fare un po’ quello che vogliono e di prosperare.
Sicurezza della blockchain: le best practices della governance
L’attuale panorama della cybersicurezza soffre di una grave carenza di competenze. Questa sfida è più grave nell’ambito della sicurezza della blockchain perché sono pochi i professionisti che hanno esperienza nella blockchain e che comprendono l’orizzonte dei rischi dell’emergente economia decentralizzata Web3.
I leader della sicurezza devono bilanciare un approccio tecnologico agnostico, impegnandosi anche a fondo con i rischi legati all’innovazione tecnologica. Ad esempio, la governance delle decisioni di sicurezza, l’orchestrazione e i tempi di risposta dovrebbero abbracciare alcune tecnologie, tenendo conto contemporaneamente dei dettagli che caratterizzano architetture specifiche. Ciò aiuta a mantenere la chiarezza e la responsabilità, nonché l’allineamento organizzativo, indipendentemente dalle tecnologie integrate. Per proteggere la blockchain, le organizzazioni dovrebbero prepararsi ai dettagli dell’elaborazione distribuita con alcune tecniche di mitigazione:
#1 Governance specifica per blockchain
Determinare in che modo nuovi utenti o organizzazioni si uniscono o escono dalla rete e attiva meccanismi per rimuovere i malintenzionati, gestire gli errori, proteggere i dati e risolvere i conflitti tra le parti. Ciò dovrebbe includere anche il coinvolgimento di funzioni quadro per guidare le decisioni di progettazione e incorporare i regimi di conformità.
#2 Sicurezza dei dati on-chain vs. off-chain
Sebbene la minimizzazione dei dati sia una best practice generale per determinare quali dati vengono archiviati sulla blockchain, i leader IT dovrebbero applicare misure di sicurezza aggiuntive a livello di sidechain, dati hash, dati in transito, cloud storage e così via.
#3 Meccanismi di consenso
Il decentramento è una caratteristica chiave della tecnologia blockchain, con i nodi di elaborazione distribuiti che elaborano e registrano i dati in consenso, come gruppo. Se un singolo nodo invia un record fraudolento o difettoso e la maggioranza dei suoi pari non lo riconosce, ad esempio, la rete rifiuterà i dati considerandoli illegittimi. Questo modello fornisce un livello di sicurezza integrato poiché, per manipolare con successo i dati di rete, un utente malintenzionato dovrebbe assumere il controllo del 51% dei nodi di elaborazione. Se, tuttavia, gli attori delle minacce riuscissero a prendere il controllo della maggior parte di una rete con un attacco riuscito del 51%, i risultati potrebbero essere disastrosi. I meccanismi di consenso aiutano a salvaguardarsi da tali attacchi richiedendo ai partecipanti di investire tempo e denaro nel processo e incentivandoli ad agire in buona fede.
Più in dettaglio, i meccanismi di consenso sono i seguenti:
- Proof of Work (PoW). Il PoW è stato il meccanismo di consenso originale utilizzato nella blockchain del Bitcoin e richiede una considerevole quantità di energia e risorse computazionali per il mining. L’obiettivo del PoW è garantire che la convalida dei blocchi sia un processo sicuro e che richieda un’importante quantità di lavoro per prevenire attacchi fraudolenti sulla rete. Nel modello PoW, i minatori utilizzano la potenza di calcolo dei loro computer per risolvere complessi problemi crittografici. Questi problemi richiedono una grande quantità di tentativi e risorse computazionali per essere risolti.
I minatori competono tra loro per risolvere il problema il più velocemente possibile. Una volta che un minatore riesce a trovare la soluzione, può proporre il blocco di transazioni verificate alla rete. Gli altri partecipanti della rete, chiamati nodi, verificano che il blocco proposto sia valido. Se la maggioranza dei nodi accetta il blocco come valido, viene aggiunto alla blockchain e le transazioni contenute nel blocco vengono considerate confermate. Il minatore che ha trovato la soluzione viene ricompensato con una quantità di criptovaluta predefinita come premio per il suo lavoro. Tuttavia, il PoW richiede una grande quantità di energia e risorse computazionali per funzionare correttamente.
- Proof of Stake (PoS). Nel modello PoS, i validatori sono selezionati in base alla quantità di criptovaluta che hanno bloccato come stake nel pool. Più criptovaluta viene bloccata, maggiori sono le probabilità di essere selezionati come validatori. Quando un nuovo blocco di transazioni deve essere convalidato, il sistema seleziona casualmente un gruppo di validatori dal pool in base alla quantità di stake che hanno. Una volta selezionati, i validatori devono verificare l’accuratezza delle transazioni nel blocco.
Se i validatori convalidano correttamente il blocco, vengono ricompensati con una parte delle nuove criptovalute create nel processo di convalida. Tuttavia, se un validatore convalida in modo errato o propaga dati errati, può essere soggetto a sanzioni come la perdita parziale o totale del proprio stake. Il modello PoS punta a ridurre il consumo energetico e la competizione tra i validatori rispetto al Proof of Work (PoW), utilizzato ad esempio dal Bitcoin.
Nel PoS, la selezione dei validatori avviene in modo casuale e i partecipanti sono incentivati a comportarsi correttamente per evitare sanzioni finanziarie. In sintesi, il PoS è un modello di consenso in cui i validatori investono le proprie risorse come stake per avere la possibilità di convalidare blocchi di transazioni nella blockchain, ricevendo ricompense per il lavoro svolto ma rischiando sanzioni in caso di comportamenti scorretti.
- PoS delegato. Il PoS delegato (DPoS) funziona in modo simile al PoS, tranne per il fatto che le terze parti sono in grado di investire nei pool di staking dei validatori, condividendo i rischi e i benefici finanziari. Nel PoS tradizionale, infatti, i partecipanti possono bloccare una certa quantità di criptovaluta come stake per diventare validatori della rete. Nel DPoS, terze parti possono investire nelle risorse di staking dei validatori, consentendo loro di partecipare al processo di convalida senza la necessità di possedere grandi quantità di criptovaluta.
In pratica, i validatori selezionati nel DPoS possono accettare investimenti da altre persone, creando dei pool di staking. Questi pool aggregano gli stake dei partecipanti, consentendo loro di condividere i rischi e le ricompense associate alla convalida dei blocchi nella rete blockchain. In cambio del loro investimento, i partecipanti riceveranno una quota delle ricompense ottenute dal pool in base alla loro percentuale di stake. Questo meccanismo di condivisione dei rischi e delle ricompense nel DPoS offre una maggiore flessibilità e coinvolgimento degli investitori nella convalida della blockchain, consentendo a più persone di partecipare al processo senza dover possedere grandi quantità di criptovaluta.
#4 Strategie di sicurezza a chiave privata
Pratiche di gestione delle chiavi private non sicure mettono a serio rischio le risorse di un’organizzazione sulla blockchain. I leader della sicurezza devono elaborare strategie ponderate per proteggere le chiavi private, magari tramite hardware o portafogli multifirma (o multisig), e istruire gli utenti di conseguenza. La formazione sulla consapevolezza della sicurezza è fondamentale perché gli attacchi di phishing e l’errore umano continuano a rappresentare i maggiori rischi in ambito cybersecurity sempre e comunque: quando si tratta di tecnologia legacy e di nuove tecnologie.
#5 Sicurezza degli smart contract
Nella blockchain gli smart contract, chiamati anche chaincode, sono insiemi di codice che attivano transazioni in base a condizioni programmate. Dal momento che la loro integrità determina l’affidabilità dell’operazione e l’attendibilità dei risultati possono creare una falla al perimetro della sicurezza della blockchain. Ecco perché è consigliabile sviluppare software sicuro, adottando le migliori pratiche di sviluppo. È bene verificare che gli smart contract associati al decentralized finance (DeFi) siano pubblici e verificabili, in modo da poter analizzare il codice e comprendere come funzionano.
È necessario testare attentamente gli smart contract prima della loro distribuzione, al fine di individuare eventuali vulnerabilità o errori di programmazione. Oltre a esaminare attentamente il codice sorgente per identificare eventuali problemi, è opportuno affidare ad audit specializzati la valutazione della loro sicurezza. Solo così è possibile identificare e risolvere eventuali vulnerabilità presenti nel codice.
#6 Sicurezza della rete blockchain
L’uso della blockchain aziendale richiede una forte sicurezza della rete aziendale. La natura stessa della tecnologia implica che diverse organizzazioni partecipino al suo funzionamento. Ogni organizzazione coinvolta nella blockchain avrà i propri ambienti IT e di rete con le proprie politiche e procedure di sicurezza. Questo può introdurre potenziali falle o exploit di sicurezza, poiché ogni organizzazione può avere livelli di sicurezza diversi o potenziali vulnerabilità nel proprio sistema.
Ecco perché è necessario implementare una governance solida, includendo revisioni periodiche delle posture di sicurezza per assicurarsi che siano allineate agli standard di sicurezza richiesti. Le attività di revisione consentono di identificare e correggere eventuali debolezze o vulnerabilità esistenti nel sistema. Infine, è essenziale definire protocolli chiari per gestire gli incidenti di sicurezza. Questi protocolli dovrebbero stabilire le azioni da intraprendere in caso di violazione o compromissione della sicurezza e coinvolgere sia gli utenti interni che i fornitori esterni coinvolti nella gestione della rete aziendale.
#7 Sicurezza delle applicazioni blockchain
Le applicazioni sono la porta di accesso ai dati e ai servizi della blockchain, ma sono anche un possibile punto di vulnerabilità. Per questo dovrebbero essere protette con una forte autenticazione degli utenti e una attenta protezione degli endpoint. Nelle blockchain autorizzate, dove l’accesso e l’uso sono aperti solo a partecipanti controllati o conosciuti, questo può includere livelli di accesso variabili che potrebbero cambiare nel tempo.
#8 Interoperabilità
Il modo in cui i dati, le identità e le interazioni si verificano su reti, applicazioni e contratti intelligenti su larga scala è un altro obiettivo per valutare un panorama di sicurezza distribuito. Le minacce aumentano con l’espandersi della complessità dell’interfaccia e del sistema. Le falle e gli errori di sicurezza in qualsiasi punto dell’ecosistema possono portare a un’autenticazione utente insufficiente, transazioni non autorizzate, configurazioni errate, manipolazione dei dati e altri risultati imprevedibili.
#9 Inclusione di tecnologie che migliorano la privacy
Stanno emergendo diverse tecniche di corollario per mantenere la privacy, l’anonimato, la conformità e la sicurezza senza rinunciare al potenziale valore commerciale dei dati o delle blockchain. Panther Protocol, ad esempio, collega le tecnologie finanziarie decentralizzate alle istituzioni finanziarie tradizionali, utilizzando la divulgazione selettiva di informazioni private e prove a conoscenza zero progettate attorno alla conformità Know Your Customer, consentendo agli utenti di passare da una blockchain all’altra, dimostrando la conformità con parti selezionate senza condividere i dati sottostanti.
Altri esempi di nuove tecniche che migliorano la sicurezza attraverso la minimizzazione dei dati (quando un responsabile del trattamento dei dati limita la raccolta di informazioni personali a ciò che è direttamente pertinente e necessario per raggiungere uno scopo specifico e li conserva solo per il tempo necessario – ndr) includono la privacy differenziale, i protocolli di identità auto-sovrana e l’uso di dati sintetici per la modellazione.
#10 Utilizzo di revisori di fiducia e terze parti
Valutazioni di sicurezza, penetration test e audit di contratti intelligenti, codice sorgente e infrastruttura blockchain dovrebbero essere condotti solo da partner fidati. Questa scelta non solo contribuisce a mitigare le minacce emergenti, come gli attacchi agli algoritmi crittografici o i nuovi tipi di attacco automatizzati. Per proteggere la blockchain e mitigare gli attacchi correlati, le organizzazioni non devono adottare un approccio molto diverso da quello utilizzato per affrontare altre minacce. Sempre e comunque, dal momento che le blockchain possono rappresentare un rinnovarsi di nuove configurazioni progettuali, è essenziale incorporare una strategia di mitigazione delle minacce.
