Una lama a doppio taglio: messi nelle mani sbagliate, i portafogli offline possono causare molti danni. Fonte: CNN
Una lama a doppio taglio: messi nelle mani sbagliate, i portafogli offline possono causare molti danni. Fonte: CNN
RetroscenaInformatica

Cold wallet: un invito all’Exit Scam?

Raphael Knecht
Zurigo, il 18.03.2019
Post-editing/revisione: Leandra Amato
Milioni di valute digitali si accumulano in portafogli offline chiamati «cold wallet», il luogo più sicuro per capitali virtuali. Ma è stato proprio questo elevato livello di sicurezza a causare uno dei più recenti scandali nel settore.

La sera del 9 dicembre 2018 Gerald Cotten esala il suo ultimo respiro. Le lancette dell'orologio sulla parete dell'ospedale Fortis Escorts di Jaipur, in India, segnano le 19:26. Gerald, il fondatore e CEO trentenne dell’exchange canadese QuadrigaCX, ha subito uno shock settico. Proprio durante un viaggio di beneficenza. Medici e investitori sono d'accordo: questo evento, per quanto certamente tragico, è naturale e perciò non particolarmente incredibile.

Eppure, quella notte, nessuno poteva immaginare che la morte di Cotten avrebbe scosso il mondo dei cold wallet e delle criptovalute.

nessuna informazione disponibile su questa immagine
Gerald Cotten durante una presentazione aziendale, quando tutto sembrava normale. Fonte: straight.com/Stephen Hui

Cold wallet: sono necessari?

I wallet sono una sorta di portafoglio o account per bitcoin e altre criptovalute. Ce ne sono molti e non tutti sono affidabili, ma sono essenziali per chiunque voglia inviare o ricevere transazioni con le valute digitali. Oltre ai cold wallet ci sono gli hot wallet, portafogli collegati a Internet. Questi attirano hacker e altri criminali del web, che lavorano sodo per scoprire la tua Wallet Key – cioè la password del wallet – e mettere le mani sui tuoi risparmi.

I cold wallet, invece, sono portafogli virtuali che funzionano senza connessione a Internet. Le password sono conservate offline e così vengono protette da attacchi informatici. Solo tu, il proprietario, conosci la tua password. Ma questa sicurezza ha anche i suoi svantaggi: in caso di morte o di un simile tragico evento, finisci per portarti tutti i soldi nella tomba e rischi di scatenare l’inferno.

Ed è esattamente quello che è successo con la morte di Gerald Cotten.

Finché morte non ci separi

Circa una settimana prima della morte del giovane imprenditore, i clienti di tre banche canadesi che effettuavano transazioni su QuadrigaCX avevano smesso di ricevere denaro. Il problema era stato risolto rapidamente, ma subito dopo era stato stabilito un limite di esborso. Questa notizia ha preoccupato tutti, esperti e neofiti del settore finanziario: erano un chiaro segnale che un exchange di criptovalute si trovava nei guai e non era temporaneamente in grado di rimborsare i depositi dei propri clienti.

nessuna informazione disponibile su questa immagine
I cold wallet sembrano innocui, ma se non li sai usare fai attenzione o rischi di causare seri danni. Fonte: medium.com

Sembra che solo Cotten fosse in possesso dei codici di accesso al cold wallet della QuadrigaCX, così l'intero patrimonio aziendale sarebbe andato perso. Ovviamente, gli investitori sono subito diventati scettici. L’informazione che l’exchange canadese improvvisamente non aveva più accesso a oltre il 99 per cento di tutti i fondi sono arrivate subito sul portale news di Coindesk: conti cliente congelati, una borsa insolvente e il capo che muore inaspettatamente durante le vacanze e si porta nella tomba tutto il capitale. I media non aspettavano altro. E, con grande gioia dei cospiratori, tutto sembrava indicare che si trattava di una truffa «Exit Scam» esemplare.

Una fine involontariamente costosa

Il Darknet descrive un «Exit Scam» come il colpo finale che un criminale è in grado di orchestrare per sparire con il maggior bottino possibile. E tutti gli indizi del caso Cotten sembrano puntare proprio a questo. Nessuno credeva alla legittimità del certificato di morte fornito dalla vedova; gli esperti suggerivano persino che il documento fosse stato falsificato. L'ospedale indiano cui Cotten era stato ricoverato ha persino dovuto confermare ufficialmente la sua morte per calmare le voci, senza riuscire comunque a metterle a tacere.

Il modo in cui funzionano le criptovalute e il fatto che la blockchain non sia anonimizzata non ha permesso di eliminare gli ultimi dubbi sull’accaduto, anzi: gli analisti hanno utilizzato i loro depositi e rapporti presi da forum verificati per rivelare i vari indirizzi associati a QuadrigaCX. Tremite il Wallet Clustering e utilizzando vari strumenti di test, non hanno mai trovato una traccia che indicasse l’esistenza di un cold wallet, che avrebbe dovuto essere incluso nei pagamenti dello scambio di criptovalute tramite questi indirizzi. Le indagini hanno inoltre rivelato che gli addebiti non sono stati effettuati attraverso il capitale proprio dell'impresa, ma attraverso pagamenti effettuati da altri clienti. Gli esperti finanziari si sono meravigliati di come questo caso presentasse tutte le caratteristiche di uno schema Ponzi (o schema piramidale).

Ma non è finita qui: hanno anche scoperto che sono stati effettuati dei pagamenti da indirizzi appartenenti a QuarigaCX 30 giorni prima della morte di Cotten, cosa impossibile secondo la versione ufficiale degli eventi. Dopo aver analizzato un cluster di indirizzi a cui sono stati pagati 760 Bitcoin nel corso di un mese prima della morte del CEO, gli esperti hanno anche messo in dubbio l'affermazione che l’exchange in questione non avesse più accesso al suo cold wallet. Cotten ha orchestrato tutto questo piano ed si è volatilizzato nel nulla per non affrontare i problemi del suo exchange, già annunciati l'anno precedente? I problemi con le banche canadesi di cui ti ho parlato poco fa non sono gli unici eventi a preoccupare gli esperti finanziari; infatti, anche un update difettoso di Ethereum aveva già causato difficoltà di pagamento a QuadrigaCX nel 2017.

nessuna informazione disponibile su questa immagine
Nell’abisso insieme a Cotten: screenshot della pagina QuadrigaCX. Fonte: engadget.com

Tuttavia, gli esperti canadesi di criptovalute non sono mai stati in grado di dimostrare che si trattasse di un Exit Scam. Gerald Cotten rimane quindi innocente fino a prova contraria. Per il momento, dobbiamo prendere per buone le dichiarazioni della moglie e il comunicato stampa dell'ospedale indiano. Dovremo aspettare da uno a due anni prima di avere accesso ai risultati delle udienze in corso.

Uno per tutti, tutti per uno

L'atteggiamento poco professionale di Gerald Cotten e del suo team di Quadriga CX ha dato al settore delle criptovalute e dei portafogli virtuali una cattiva reputazione. Se il capo è l'unico a conoscere la combinazione della cassaforte che contiene tutti i fondi della sua azienda, viene da chiedersi se si fida veramente dei suoi dipendenti e se quindi la sua politica di assunzione non lasci un po’ a desiderare.

Una cassaforte fisica può sempre essere forzata in modo che l'azienda possa sopravvivere al suo manager. Non è facile, ma nemmeno impossibile. Con le criptovalute, le cose cambiano. La blockchain non ammette errori e non può essere violata. È piuttosto ironico che sia proprio l’alto livello di sicurezza e trasparenza della blockchain a essere fortemente apprezzato ma che, allo stesso tempo, permetta a enormi somme di denaro di scomparire senza lasciare traccia. La morte di Gerald Cotten avrebbe fatto affondare QuadrigaCX anche se non fosse accaduto in India. Sarebbe bastato un secondo di distrazione alla guida della sua auto.

Prima o poi, tutti ce ne andiamo

L'errore di Gerald Cotten è stato quello di non usare un cold wallet, perché un cold wallet da solo non può essere utilizzato per un Exit Scam. Il modo in cui viene utilizzato, tuttavia, lo è. In questo caso, sarebbe bastato un portafoglio con più firme. Non avrebbe salvato Cotten dalla morte, ma avrebbe salvato la sua azienda e dissipato le voci che parlano di Exit Scam. Nel caso di un portafoglio a più firme, altre due persone (oltre al CEO) devono avere un portafoglio fisico come un Ledger Nano S, un KeepKey o un Trezor. Funzionano in modo simile ai cold wallet ma, a differenza di questi, richiedono che almeno due dei tre detentori approvino una transazione. Questo sistema impedisce a un singolo dipendente di distruggere un'intera azienda.

nessuna informazione disponibile su questa immagine
Un portafoglio a più firme distribuisce la gestione dei fondi di un'azienda tra più persone. Fonte: holytransaction.com

Il caso di Gerald Cotten ha dimostrato in maniera eclatante la velocità con cui si può fare fortuna con le criptovalute: nell'arco di cinque anni, Cotten ha creato un exchange di monete virtuali e un'azienda di successo. L'errore decisivo non l’ha commesso durante uno dei tanti e complessi processi inerenti all'attività commerciale con i fornitori di servizi finanziari non regolamentati. No. Non si fidava di nessuno e, come un principiante, si è tirato la zappa sui piedi con una cosa così basilare come un cold wallet.

Per il resto, ci restano solo domande a cui per ora non abbiamo risposte. Cotten è stato semplicemente imprudente? Ha orchestrato un colpo degno di Houdini ed è svanito nel nulla con milioni di dollari, o voleva portarsi i suoi Bitcoin nella tomba? Nessuno, a parte Cotten, lo saprà mai.

A 70 persone piace questo articolo


Raphael Knecht
Raphael Knecht
Senior Editor, Zurigo
Se non mi sto cibando di "ciugnate" dolci a volontà vuol dire che sono in qualche palestra: l’unihockey è una mia grande passione, sia come giocatore che come allenatore. Nei giorni di pioggia puoi scovarmi ad avvitare e svitare i miei PC, robot o altri giocattoli elettronici. La musica mi accompagna costantemente. La vita sarebbe dura senza giri in bici sulle strade di montagna ed intense sessioni di sci di fondo.

Potrebbero interessarti anche questi articoli