Insolita ricompensa per bug: Zengo Wallet offre una ricompensa di 10 Bitcoin agli hacker

In una mossa senzadentnel mondo della sicurezza informatica, Zengo Wallet, un fornitore di portafogli per criptovalute, ha annunciato un esclusivo programma bug bounty che offre agli hacker la possibilità di vincere una sostanziosa ricompensa di 10 Bitcoin (BTC), attualmente valutata oltre $ 430.000. 

Questo approccio non convenzionale mira a mettere a dura prova la sicurezza del Portafoglio Zengo, fornendo un forte incentivodente allo sfruttamento di potenziali vulnerabilità. Il programma durerà 15 giorni, a partire dal 9 gennaio e si concluderà il 24 gennaio 2024.

A differenza dei tradizionali programmi bug bounty che premiano gli hacker white hat per la scoperta e la divulgazione responsabile delle vulnerabilità, Zengo Wallet segue una strada diversa. Invece di pagare gli hacker perdente segnalare i bug, l'azienda deposita 10 Bitcoin in un conto controllato dagli sviluppatori. 

La novità è che se un hacker riesce a prosciugare i Bitcoin dal conto, potrà tenere l'intera somma.

La cronologia del programma di ricompensa

Il programma bug bounty di Zengo Wallet è suddiviso in diverse fasi, della durata di 15 giorni, a partire dal 9 gennaio. Ecco una ripartizione delle tempistiche del programma:

9 gennaio: verrà rivelato l'indirizzo del conto, che inizialmente conterrà 1 BTC, pari a circa 43.000 $.

14 gennaio: Zengo Wallet aggiungerà altri 4 BTC, per un totale di $ 172.000, all'account e fornirà uno dei "fattori di sicurezza" utilizzati per proteggere l'account.

21 gennaio: il team aggiungerà altri 5 BTC, per un totale di 215.000 dollari, al portafoglio e rivelerà un secondo fattore di sicurezza. Il portafoglio si basa su un totale di tre fattori di sicurezza.

Gli hacker che desiderano partecipare avranno tempo fino alle 16:00 UTC del 24 gennaio per tentare di violare il portafoglio. Se qualcuno ci riuscirà entro questo lasso di tempo, avrà diritto all'intera ricompensa di 10 BTC.

Le caratteristiche di sicurezza uniche di Zengo Wallet

Zengo Wallet vanta un approccio distintivo alla sicurezza. Si definisce un portafoglio "senza vulnerabilità alle seed phrase", un netto distacco dai tradizionali portafogli per criptovalute. Gli utenti non sono tenuti a copiare le seed phrase durante la creazione dell'account e il portafoglio non memorizza alcun file di sicurezza delle chiavi.

Il fulcro della sicurezza di Zengo Wallet risiede nell'utilizzo della tecnologia di rete Multi-Party Computing (MPC) per la firma delle transazioni. Anziché generare una chiave privata, il wallet crea due "condivisioni segrete" separate. La prima condivisione è memorizzata sul dispositivo mobile dell'utente, mentre la seconda risiede sulla rete MPC.

La quota dell'utente è ulteriormente protetta tramite un metodo di autenticazione a tre fattori (3FA), che richiede l'accesso a un file di backup crittografato sul proprio account Google o Apple, l'indirizzo email collegato all'account wallet e una scansione del volto sul dispositivo mobile. Questi tre fattori sono cruciali per ricostruire la quota dell'utente.

Esiste inoltre un metodo di backup per la condivisione della rete MPC. Zengo Wallet ha affidato a uno studio legale terzo una "chiave di decrittazione master". Se i server della rete MPC diventano inaccessibili, questo studio legale può pubblicare la chiave di decrittazione su un repository GitHub. 

In tal caso, l'app wallet entreràmaticin "modalità di ripristino", consentendo agli utenti di ricostruire la quota della rete MPC corrispondente al proprio account. Una volta ottenute entrambe le quote, gli utenti possono generare una chiave privata tradizionale e importarla in un'altra app wallet, facilitando il ripristino dell'account.

La decisione di Zengo Wallet di optare per un programma bug bounty non convenzionale sta suscitando notevole interesse nelle community di criptovalute e sicurezza informatica. Questo approccio unico sfida gli hacker a trovare e sfruttare le vulnerabilità in un portafoglio che afferma di offrire una maggiore sicurezza, in particolare eliminando la necessità di seed phrase e chiavi private tradizionali.

Il mondo delle criptovalute seguirà da vicino gli sviluppi del programma bug bounty nelle prossime settimane. Questa iniziativa innovativa mette alla prova la sicurezza del wallet e supera i limiti delle tradizionali pratiche di bug bounty.