Il fondatore Ethereum risponde all'exploit zkLend e sottolinea il meccanismo di privacy di Railgun

Il co-fondatore Ethereum Vitalik Buterin ha elogiato il protocollo di privacy Railgun per aver impedito con successo a un aggressore di riciclare fondi rubati. La sua risposta fa luce su Railgun, un meccanismo di pool di privacy che mira a garantire la privacy finanziaria implementando al contempo misure per contrastare le frodi dilaganti.

Il 12 febbraio, un hacker ha sfruttato una falla di precisione nell'arrotondamento del protocollo zkLend, un sistema di scambio di criptovalute all'interno di Starknet, rubando 3.600 ETH, equivalenti a 9,5 milioni di dollari all'epoca. L'hacker ha incrementato il "lending_accumulator" depositando e prelevando continuamente wstETH, per poi trasferire gli asset su Ethereum.

Inoltre, trasferendo l'importo rubato a un protocollo incentrato sulla privacy, Railgun, che utilizza la prova a conoscenza zero, l'aggressore non è stato in grado di gestire i beni. La funzione "Private Proofs of Innocence" di Railgun ha anche impedito che fondi illeciti finissero nel pool di protezione della privacy.

I beni rubati sono ancora nel portafoglio dell'hacker, che è stato contrassegnato dagli scanner blockchain. In un post di giovedì, Buterin ha commentato la risposta di Railgun, affermando che si tratta di una delle migliori dimostrazioni del funzionamento previsto dei pool di privacy. Ha inoltre sottolineato che il sistema non ha permesso l'esecuzione di operazioni illegali senza portare a sorveglianza o backdoor.

I pool di privacy come soluzione di conformità

L'dent illustra l'attuale preoccupazione per l'applicazione della regolamentazione alle tecnologie di tutela della privacy basate sulla blockchain. Recentemente, si è cercato di chiudere i mixer di criptovalute, tra cui Tornado Cash e Bitcoin Fog, strettamente correlati al riciclaggio di denaro. A differenza di altri mixer, Railgun segue un approccio basato sulla conformità che gli consente di bloccare qualsiasi fondo collegato ad attività illecite.

Il team di zkLend ha cercato di contattare un hacker e di raggiungere un accordo per trattenere il 10% del denaro rubato e restituire il resto. Tuttavia, l'hacker non ha ancora risposto.

"Al hacker: Siamo a conoscenza del fatto che lei è responsabile dell'attacco odierno a zkLend. Può trattenere il 10% dei fondi come ricompensa per l'attacco etico e restituire il restante 90%, ovvero 3.300 ETH per l'esattezza, a questo Ethereum : 0xCf31e1b97790afD681723fA1398c5eAd9f69B98C"

zkLend

Attualmente, il personale di sicurezza di StarkWare, della Starknet Foundation, Binance Security e di altre società di analisi sta monitorando questo indirizzo. Buterin ha rilasciato queste dichiarazioni dopo che il Threat Researcher Vladimir S. ha segnalato che gli hacker che hanno hackerato zkLend miravano a riciclare i dati tramite Railgun. Il protocollo ha lanciato l'allarme e ha respinto la transazione, dimostrando così l'efficacia del protocollo nel contrastare gli abusi.

L'attacco hacker a zkLend mette in luce l'attuale problema della privacy e della conformità nel mondo decentralizzato. Sebbene la trasparenza sia utile ai fini della sicurezza, esporre i fondi rubati al registro pubblico potrebbe creare problemi di anonimato finanziario per i normali possessori di wallet.

Buterin ha sostenuto l'utilizzo di strumenti per la privacy che non violino gli standard di conformità. Nel 2023, è stato coautore del documento di ricerca su Privacy Pool, un framework che faciliterà le transazioni private scoraggiando al contempo le attività criminali.

Per gli sviluppatori che non supportano il sistema di filtraggio di Railgun, Buterin suggerisce di creare pool di privacy con diverse condizioni di screening. Tuttavia, queste opzioni devono essere supportate dalla comunità, che dispone di una solida protezione dell'anonimato.