Una piattaforma di criptovaluta progettata per spostare bitcoin tra blockchain ha subito una grave violazione della sicurezza, perdendo circa 11 milioni di dollari in asset digitali. Il servizio, noto come Garden, consente di scambiare e trasferire bitcoin tra diverse reti utilizzando un bridge cross-chain.
Secondo il co-fondatore di Garden, Jaz Gulati, la violazione ha colpito uno dei “solver” della piattaforma, un componente automatizzato responsabile delle operazioni di liquidità e di pricing. Gulati ha affermato che il protocollo principale è rimasto intatto e che i fondi dei clienti non sono stati direttamente interessati. Ha confermato che Garden sta lavorando con i partner di sicurezza per rintracciare i fondi rubati e rafforzare i controlli interni.
L’investigatore blockchain ZachXBT è stato il primo a identificare l’exploit on-chain. Ha riferito che uno dei portafogli di Garden sembrava essere stato compromesso e che il progetto in seguito ha inviato un messaggio all’aggressore, offrendo una taglia del 10% se i beni rubati fossero stati restituiti. Gli analisti della società di sicurezza Cyvers hanno affermato che i fondi sono stati rapidamente spostati attraverso diverse transazioni e convertiti in altre criptovalute, tra cui stablecoin e wrapped bitcoin, prima di essere scambiati con ether.
L’incidente è avvenuto solo pochi giorni dopo che Garden ha annunciato di aver superato un traguardo multimiliardario di valore totale bloccato. La tempistica ha intensificato il controllo perché il progetto era stato precedentemente segnalato per aver facilitato l’attività di riciclaggio di denaro legata agli operatori collegati alla Corea del Nord. Sebbene non ci siano prove che colleghino il recente exploit a tali accuse, si aggiungono alle crescenti preoccupazioni sulla sicurezza nel settore del bridging cross-chain.
I bridge cross-chain sono un’infrastruttura fondamentale nella finanza decentralizzata, che consente agli asset digitali di spostarsi tra le blockchain. Rappresentano anche una delle categorie più mirate negli attacchi alle criptovalute. Quando un singolo bridge viene compromesso, gli aggressori possono spesso accedere a grandi pool di capitale conservati all’interno di smart contract. I ricercatori di sicurezza hanno ripetutamente avvertito che la complessità della progettazione di questi sistemi lascia molteplici potenziali punti di ingresso per gli hacker.
In questo caso, gli investigatori affermano che la debolezza probabilmente derivava dal componente del solutore piuttosto che dagli smart contract principali del protocollo. Anche così, l’incidente solleva dubbi su quanto siano veramente isolati i moduli di Garden. Gli analisti del settore notano che, sebbene Garden affermi che i fondi dei clienti non sono stati interessati, la capacità di compromettere un modulo di sistema suggerisce ancora una segmentazione o una supervisione insufficienti.
L’exploit ha riacceso la discussione sulla trasparenza tra i progetti decentralizzati. Le dichiarazioni iniziali di Garden sono state criticate per la mancanza di dettagli tecnici su come si è verificata la violazione o su quali vulnerabilità specifiche siano state sfruttate. Alcuni investitori stanno esortando la società a commissionare un audit indipendente e a pubblicare i suoi risultati. Altri si sono chiesti se le piattaforme con precedenti controversie sulla conformità debbano gestire volumi di capitale così elevati senza un monitoraggio esterno più rigoroso.
Per il più ampio settore delle criptovalute, la violazione evidenzia due sfide persistenti: la debole sicurezza operativa nei protocolli più piccoli e la crescente attenzione da parte delle autorità di regolamentazione che tracciano la finanza illecita. I bridge cross-chain sono diventati sempre più strumenti per spostare fondi rubati o sanzionati tra le giurisdizioni, spingendo gli organi di vigilanza sui crimini finanziari a chiedere una supervisione più stretta di questi servizi.
Se confermato, il furto da 11 milioni di dollari si aggiungerebbe a una serie di attacchi di alto profilo ai bridge blockchain di quest’anno. Incidenti precedenti hanno preso di mira protocolli simili che gestiscono trasferimenti di bitcoin, ether e stablecoin wrappati, con conseguenti perdite combinate di centinaia di milioni di dollari in tutto il settore.
Garden ha dichiarato che sta continuando a monitorare i wallet interessati e condividerà gli aggiornamenti man mano che le indagini procedono. Sebbene non siano state segnalate ulteriori compromissioni, l’incidente sottolinea che anche i progetti consolidati rimangono vulnerabili ad attacchi mirati contro componenti più piccoli della loro infrastruttura.
Il caso funge da ulteriore avvertimento per gli sviluppatori di finanza decentralizzata che i rischi operativi si estendono ben oltre gli smart contract di base. Con la crescita della tecnologia cross-chain, crescono anche le sue sfide in materia di sicurezza, rendendo il monitoraggio proattivo e la divulgazione trasparente fondamentali per mantenere la fiducia nell’ecosistema.