La smentita

Tramite Reddit è arrivata la (plausibile) smentita da parte di MyEtherWallet: https://www.reddit.com/r/CryptoCurrency/comments/7p61hx/myetherwallet_compromised_blue_team_announcing/dsev4jt/

I'm Wietze from MyEtherWallet. We are currently not aware of any compromises regarding MyEtherWallet and are investigating the claims by EthereumBlue.
You can (and should!) always run MyEtherWallet offline, locally. Please find our guide on it here.

Blue non ha rilasciato ulteriori commenti.

Hacked ?

MyEtherWallet, la famosa piattaforma online con la quale poter generare dei Wallet Ethereum, sembra essere stata direttamente o indirettamente compromessa.

L'indiscrezione è stata riportata quest'oggi da EthereumBlue mediante il proprio profilo Twitter:

MyEtherWallet non è nuova ad accuse di hacking o manomissione invero rilevatesi essere sempre infondate trattandosi di siti Phishing che emulano l'interfaccia di MEW ingannando gli utenti meno accorti, i quali dunque compromettono loro stessi i propri Wallet inserendo le chiavi private su tali siti fake.

Non sembra essere tuttavia questo il caso considerando che Blue nomina esplicitamente una vulnerabilità legata a Spectre.

Cos'è Spectre

Spectre è il nome dato ad una vulnerabilità di tipo hardware legata intrinsecamente al design e progettazione dei processori, sia dei sistemi desktop che di dispositivi mobili. Al fine di garantire prestazioni sempre più elevate, da molti anni a questa parte i processori sono stati strutturati in una serie di unità di calcolo indipendenti che possono lavorare in modo parallelo sfruttando meccanismi di Pipeline.

Per poter ottimizzare tale tipologia architetturale di funzionamento sono state sviluppate delle tecniche di predizione delle istruzioni che dovranno eventualmente essere eseguite in caso si verifichi una certa condizione richiesta dal funzionamento del programma in esecuzione.

Il processore dunque effettua delle ipotesi scommettendo sul possibile risultato della condizione di scelta del programma basandosi sul ciò che ha già eseguito in passato. Questo comporta che alcuni rami di istruzioni vengono pertanto elaborati in un'area temporanea ancor prima di effettivamente sapere se questi sarebbero dovuti essere eseguiti.

Nel caso il processore abbia predetto in modo giusto l'elaborazione è stata già eseguita e dunque si è risparmiato frazioni di tempo importante, nel caso invece il blocco di istruzioni non andava eseguito il processore ricarica lo stato precedente all'elaborazione speculativa e continua come se nulla fosse successo.

La vulnerabilità hardware è determinata proprio in questo punto in quanto il processore effettivamente non va a cancellare tutti i dati contenuti nell'area di memoria temporanea che ha usato per elaborare le istruzioni che pensava sarebbero dovute essere eseguite.

Con una particolare tipo di tecnica è possibile quindi sviluppare dei programmi che accedono a tale regioni di memoria leggendo dati a cui non dovrebbero avere accesso.

MyEtherWallet davvero vulnerabile ed hackerato ?

La tesi sostenuta da Blue nei confronti di MyEtherWallet sarebbe dunque essere molto preoccupante.

In un successivo tweet Blue ha specificato che la vulnerabilità che avrebbero individuato sarebbe legata al sistema di gestione dei cookie di MEW.

Qualche minuto dopo tuttavia, sempre mediante Twitter, Blue rilascia un'ulteriore dichiarazione:

Chi ha una formazione informatica probabilmente si sta già chiedendo come sia collegato un attacco legato alla vulnerabilità Spectre con uno di tipo DNS Spoofing / Injection.

Per tutti gli altri la risposta è: non c'entrano *niente l'uno con l'altro.

Il DNS è un protocollo usato in Internet per risolvere e trasformare gli indirizzi simbolici www in indirizzi IP i quali sono l'unica cosa che la rete Internet comprende.

Quando noi digitiamo dunque myetherwallet.com il browser in realtà si collegherà ad un specifico indirizzo IP che il DNS della propria connessione Internet avrà tradotto.
Con un attacco di tipo DNS Spoofing viene intercettata la richiesta di traduzione del nome simbolico del sito, fornendo come risposta un indirizzo IP diverso che punta ad un sito web malevolo, probabilmente con una interfaccia grafica che emula l'originale per non far accorgere l'utente dell'inganno.

Dunque al tesi sostenuta da Blue risulta essere cambiata radicalmente in quanto prima ha dichiarato che fosse direttamente il sito di MEW ad essere compromesso, per poi invece sostenere che il problema fosse che in alcune aree geografiche collegandosi su myetherwallet.com in realtà si visitava un sito fake e non quello originale.

Come comportarsi ?

Il cambio di posizione nelle dichiarazioni di Blue ha fatto sì che le acque diventassero ancora più torbide di quanto non lo fossero già con la prima dichiarazione.

MyEtherWallet dal proprio canto non ha ancora rilasciato dichiarazioni di smentita né effettuato commenti relativi a quelle che per ora possono definirsi delle vere e proprie accuse da parte di Blue.

Leggendo inoltre qualche altro tweet sembra che i rapporti fra le due realtà non sia dei più sani nella comunità crypto.

Ma un attimo, cos'è Blue ? Direttamente dalla loro topic di presentazione su Bitcointalk:

BLUE is an ERC20 compatible coin building on top of the foundation of the Ethereum project with the ambitious goal to introduce a software security layer to the coin. Blue acts as an active deterrent for common programming mistakes and malicious smart contracts that exist today on the Ethereum platform.

The Blue team aims to create a token that allows for true growth of Ethereum as a currency, and the dev team has focused energy solely on building a pipeline for secure transactions. While Ethereum has been valuable and served us well as a starting point, it has known flaws in the way it interacts with smart contracts. These common programming errors have been eliminated by use of the secure transfer method pioneered by our team.

Le accuse mosse da Blue nei confronti di MEW arrivano inoltre proprio il giorno dopo del rilascio di un proprio Wallet, definito il più sicuro di tutti, il cui annuncio è stato effettuato con molto entusiasmo.

La tempistica quasi non casuale qualche domanda la fa porre, considerando inoltre le differenti tipologie di dichiarazioni effettuate nei confronti del caso MyEtherWallet.

Nel dubbio non rimane solamente che aspettare una qualche forma di dichiarazione da parte di MyEtherWallet.