Em 8 de fevereiro de 2018, 15 milhões de Raiblocks, a antiga moeda nativa da rede Nano, foram roubados da casa de câmbio de criptomoeda italiana BitGrail. A fim de fornecer informações sobre a alegada violação de segurança e o roubo de mais de US $ 150 milhões de dólares em XRB, a Cointelegraph realizou uma entrevista exclusiva com Francesco Firano, fundador e operador da BitGrail à época.

Desta vez, a Cointelegraph se encontrou com a equipe Nano e realizou uma entrevista com Troy Retzer, do Nano Core Team, que supervisiona a comunidade e as relações públicas na organização, para entender melhor o roubo em grande escala.

Conflito com a Nano e timestamp

Durante a entrevista com a Cointelegraph, Firano afirmou que a equipe de desenvolvimento do Nano core acusou a BitGrail de ser insolvente e negligente na gestão de centenas de milhões de dólares em fundos. Firano acrescentou que o problema se originou da tecnologia timestamp do Nano e que o explorador de blocos da criptomoeda não é confiável. Firano disse:

"As acusações sem máculas e mal-intencionadas são feitas pelo time de desenvolvimento nano. A verdade é que seu explorador de blocos é datado de 19 de janeiro, a data do roubo. Uma vez que os RaiBlocks não têm timestamps na corrente, não podemos realmente descobrir quando realmente aconteceu além de contar com o explorador de blocos, o que, como já mostrava a conversa privada que eles revelaram, é completamente pouco confiável".

No entanto, Troy Retzer explicou que, em 19 de janeiro, a data dada por Firano, a rede Nano blockchain realizou uma ressincronização de seus nós, fornecendo todos os blocos ou transações que estivessem faltando antes de 19 de janeiro com um carimbo de data/hora (timestamp) gravado no momento. Isso significava que todas as transações ou blocos foram registrados com precisão, com um carimbo de data/hora naquela data. Retzer disse à Cointelegraph:

"Em 19 de janeiro, uma ressincronia de nó foi conduzida e, nesse processo, ele envolveu blocos que ainda não tinham um registro de timestamp e os gravaram naquele momento, com esse timestamp. E pelo motivo de haver lacunas, durante a transição do site, houve falhas no script em execução, enquanto lidávamos com a transição do administrador anterior do site para o atual. Recebemos uma cópia do banco de dados antigo e trabalhamos por algum tempo para executá-lo corretamente no novo servidor, portanto muitos blocos nunca tiveram um carimbo de data/hora gravado até a sincronia total em 19 de janeiro".

Em relação ao comentário de Firano de que a equipe Nano lançou acusações maliciosas contra ele e a plataforma de negociação da BitGrail, Retzer comentou que a equipe central não recebeu nenhuma informação da BitGrail e de Firano além dos dados que ele divulgou publicamente.

"É difícil para nós ajudar a resolver a situação devido à falta de informação sobre o suposto hack", disse Retzer, afirmando que a BitGrail não conseguiu esclarecer detalhes básicos, como quantos tokens XRB foram realmente roubados da casa. Os relatórios da BitGrail sugeriram que foram 17 milhões, mas os relatórios divulgados no final deste mês alegaram que 15 milhões de tokens XRB foram roubados.

A equipe Nano também enfatizou que contatou a polícia italiana para cooperar na investigação do roubo e fornecer qualquer assistência que possa precisar para analisar o hack da BitGrail.

“Transações faltando”

No dia 15 de fevereiro, Firano divulgou uma conversa de Telegram em seu Twitter, na qual afirmava que as transações de antes de 19 de janeiro estão faltando no explorador de blocos da rede Nano. Firano também afirmou que as transações foram de alguma forma removidas e reinseridas em uma data posterior. Mas, em qualquer Blockchain público, não é possível remover dados armazenados em blocos passados, a menos que o Blockchain inteiro seja atacado e comprometido.

Mesmo através de ataques públicos, como um ataque de 51% (em que um grupo ganha controle sobre mais da metade do poder de hash do Blockchain), não é realisticamente possível modificar dados armazenados em blocos já passados. Em resposta a tais alegações, a desenvolvedora da Nano, Mica Busch, escreveu:

"Um Blockchain, e as contas dentro de um bloco da rede, são estruturas unidirecionais. Cada uma faz referência à assinatura criptográfica do bloco anterior. É impossível que novos blocos sejam inseridos antes do bloco mais recente. Continuando com esta lógica, o nosso explorador de blocos armazena selos de data/hora com base no melhor esforço. Portanto, se uma transação mostrar uma data posterior a outra transação que se segue, podemos provar que essa transação ocorreu antes da data posterior e considera o timestamp como errôneo".

Dado que a Nano é uma rede Blockchain pública e os blocos dentro de um Blockchain não podem ser modificados, é provável que não seja válida uma reivindicação de transações faltando no Blockchain.

Uso de carteira quente, segurança pobre

Em 23 de outubro de 2017, como revelou a equipe Nano em sua declaração oficial, uma enorme quantidade de XRB foi retirada abruptamente da casa de câmbio de criptomoeda BitGrail. 1 milhão de XRB foram retirados, que valem cerca de US $ 10 milhões com base no preço atual do XRB em US $ 9,82.

Embora a natureza desta transação ainda não tenha sido confirmada, também poderia ser possível que o roubo de 15 milhões de tokens XRB tenha sido iniciado em 23 de outubro, começando pela retirada de 1 milhão de XRB.

"Especificamente, esta transação para uma retirada de 1 milhão de XRB ocorreu em 23 de outubro de 2017, à 1:22 da manhã (GMT) de acordo com as informações de data e hora do banco de dados da BitGrail. Você pode ver dos dados do Explorer que houve fundos significativos retirados antes e depois dessa transação para a conta 'bbjn'. Firano categorizou esta transação no Twitter e em nossa conversa no Telegram como 'não autorizada'" afirma o relatório da Nano sobre o tema.

De acordo com o explorador público Blockchain da Nano, o Nanode, a BitGrail continuou a usar uma carteira quente para armazenar todos seus fundos emXRB, o que é inseguro. As carteiras quentes são gerenciadas on-line e podem ser vulneráveis a ataques e violações de segurança como consequência. Por exemplo, a Coincheck do Japão, uma das maiores casas de câmbio de criptomoeda do país, foi hackeada em US $ 530 milhões devido ao fato de a casa de câmbio armazenar fundos em carteiras quentes.

Até 16 de dezembro de 2017, a carteira BitGrail Rep 1 foi usada como a única carteira quente da casa de câmbio BitGrail para armazenar fundos de usuários, o que é extremamente inseguro e perigoso. Uma vez que uma carteira quente é comprometida, todos os fundos dentro dela podem ser perdidos, especialmente se não houver sistemas de segurança baseados em tecnologia de assinatura múltipla postados.

Em 16 de dezembro, a carteira BitGrail Rep 1 foi mudada para uma carteira fria e a BitGrail Rep 2 foi trocada para uma carteira quente, como visto no Nanode.

Não é possível declarar definitivamente que a plataforma de negociação BitGrail foi hackeada devido a medidas de segurança precárias, a menos que e até que todas as informações relativas ao roubo sejam compartilhadas de forma transparente com a comunidade. Mas, ao contrário da Coincheck e outras casas de câmbio de criptomoeda em larga escala como a Bithumb da Coreia do Sul, a BitGrail não conseguiu reembolsar seus investidores e, como explicou Firano na entrevista para a Cointelegraph, a empresa acredita que é "impossível" reembolsar todos seus investidores Nano.

Em última análise, como uma empresa independente, a BitGrail pode ser responsabilizada pelo roubo dos fundos de seus clientes se achar que a causa do roubo dos 15 milhões de XRBs na plataforma não se deve a um problema do protocolo do Nano Blockchain .