Il cryptojacking (anche chiamato cryptomining dannoso) è una minaccia online emergente, che si nasconde su un computer o dispositivo mobile e utilizza le risorse della macchina per “generare” tipi di denaro virtuale noti come criptovalute. Si tratta di una minaccia in via di espansione, in grado di infiltrarsi nei browser web e di compromettere ogni tipo di dispositivo, dai PC desktop ai laptop fino agli smartphone e perfino i server di rete. Come per la maggior parte degli attacchi informatici il movente è il profitto ma, al contrario di altre minacce, questo sistema è pensato per rimanere completamente nascosto.
Un attacco Sybil è un attacco informatico dove i sistemi di reputazione sono sovvertiti falsificando le identità di una persona in una rete p2p. Questa tipologia di minaccia contro sistemi online, in cui una persona cerca di assumere il controllo del network creando diversi account, nodi o computer, può essere molto semplice, come nel caso di una persona che crea diversi account su un social media. Tuttavia, nel mondo delle criptovalute, un esempio più rilevante è una persona che gestisce diversi nodi all’interno di un network blockchain. Il termine “Sybil” nel nome deriva da un caso di studio su una donna di nome Sybil Dorsett, ricoverata per Disturbo Dissociativo d’Identità – chiamato anche Sindrome di Identità Dissociata. Per contrastare gli effetti di questo tipo di attacco è fondamentale generare indirizzi univoci per ogni transazione. La blockchain non risolve solo il Double Spending, di cui abbiamo già parlato, ma tutta una serie di temi legati all’identità univoca e sicura, permettendo così di mantenere la propria identità e univocità e mettendo in archivio i dati relativi alla transazione.
Al fine di ridurre la possibilità di perdere la criptovaluta è importante proteggere gli account con l’autenticazione a due fattori – 2FA. Ricordiamo che un sistema fa leva su una autenticazione a due fattori quando si basa su due diversi metodi di autenticazione. Una autenticazione a due fattori si contrappone dunque ad una comune autenticazione basata sulla sola password. Una autenticazione basata su password richiede infatti un solo fattore di autenticazione per concedere l’accesso ad un sistema. Le più comuni forme di autenticazione a due fattori usano “una cosa che conosci” (una password) come primo dei due fattori, mentre come secondo fattore viene utilizzato o “una cosa che hai” (un oggetto fisico) o “una cosa che sei” (una caratteristica biometrica come una impronta digitale).
Inviare soldi a un address dinamico, che può essere collegato sia a un account normale o a uno contratto, è sempre difficile, in quanto non si sanno preventivamente le operazioni che questo contratto che chiamiamo debba eseguire e quindi quale limite di gas fee sarebbe opportuno stabilire al momento della chiamata.
Un contratto poison è un contratto smart che viene costruito solo a fini distruttivi, non “ruba” soldi e non genera introiti per l’attaccante, si tratta invece di un contratto scritto in modo da usare una quantità così esorbitante di gas fee per concludere la propria esecuzione quando chiamato, da creare un disservizio simile a quello generato da un attacco informatico DoS (denial-of-service, negazione di servizio) in cui l’aggressore cerca di impedire agli utenti di accedere alla rete o alle risorse del computer.
