Il primo furto di NFT: il caso del phishing ad Open Sea
Fa notizia che un sistema tanto tecnologicamente avanzato sia stato violato da una frode informatica vecchia quale il phishing; sono stati gli stessi titolari di NFT ad aprire il loro portafogli digitale cliccando sul link dell'e-mail e inserendo i loro dati
Il primo furto di NFT ai danni della piattaforma Open Sea "minerà" la fiducia degli utenti?
Il primo furto di NFT, ai danni della nota piattaforma Open Sea, ci permette una serie di interessanti spunti di riflessione; fa notizia che un sistema tanto tecnologicamente avanzato sia stato violato da una frode informatica vecchia come internet: il phishing.
In realtà, di vero breach non può parlarsi, in quanto sono stati gli stessi titolari di NFT ad aprire il loro portafogli digitale (il wallet) cliccando improvvidamente sul link dell'e-mail e inserendo i loro dati.
Il secondo rilievo è che la fiducia negli NFT non dovrebbe venirne scossa da un'azione da considerarsi, per certi versi, dimostrativa. Su migliaia di utenti, sembra che "solo" 17 sarebbero stati derubati. Una percentuale da far invidia a qualsiasi statistica di criminalità nel mondo "reale", analogico, anche se i clamori per l'allarme ci metteranno tempo a spegnersi.
Gli NFT consistono in certificati di proprietà "al portatore". I vari passaggi non hanno valore se non annotati sul registro virtuale, né un NFT, per la sua smaterializzazione, ha senso se portato al di fuori del Metaverso. L'unico modo che avevano gli Hacker per guadagnare dal loro furto – perché di reato si tratta – è di rivendere i token ad altri utenti e trasferire gli ETH ricavati su wallet a loro riconducibili, sia pure con forme più o meno elaborate di disguise.
La tracciabilità dovrebbe essere fattibile, di certo molto più di quando si ruba un quadro e lo si tiene nascosto per anni, come fece Vincenzo Peruggia con la Gioconda. E mentre Peruggia aveva comunque la consolazione di poter ammirare la Monna Lisa nel chiuso di uno sgabuzzino, riesce difficile immaginare una fruizione clandestina di un NFT.
Copie delle opere digitali "sottostanti" sono ovunque, accessibili con una semplice ricerca google.
Si profilano comunque diversi problemi, quali il coordinamento dell'azione di polizia nei Paesi interessati, l'onerosità di una tutela legale a livello internazionale e, soprattutto, l'impossibilità di sostituire il blocco rubato.
La blockchain è e resta immodificabile ed è il perno su cui si regge il "Grande gioco".
Il risarcimento, se ci sarà, non potrà che essere per equivalente.
Azione dimostrativa, si diceva, che potrebbe persino rivelarsi utile, per l'hype generato, una pubblicità globale dal valore di gran lunga superiore di quello degli NFT rubati. L'importante è che se ne parli, recita l'adagio. I primi NFT rubati potrebbero avere persino un certo interesse collezionistico, fermo restando la loro assoluta incommerciabilità perché oggetto di reato.
La vicenda ha dimostrato come la crescita degli NFT abbia superato per il momento la conoscenza dello strumento: gli utenti si interfacciano già in modo automatico con le piattaforme attraverso i DAO, organizzazioni autonome decentralizzate. Il meccanismo ha come effetto collaterale una certa perdita di consapevolezza nell'interazione.
Gli hacker hanno giocato sul fatto che i proprietari dei wallet erano abituati ad interfacciarsi con il marketplace (anche) tramite e-mail e cliccare su di un link è spesso un'azione che precede il pensiero. Una truffa più elaborata avrebbe paradossalmente colpito meno nel segno.
Un gap che si colmerà col tempo con una maggiore informazione o forse si profilano all'orizzonte questionari tipo quelli del MIFID per appurare le conoscenze del singolo rispetto ai prodotti che acquista.
Gli NFT hanno già attirato l'attenzione di Consob, Siae, Dpo, AML-CFT, etc. e il Metaverso comincia ad essere un luogo affollato come il Sole Nero immaginato da Neal Stephenson. L'attuale bolla speculativa rende difficile vedere cosa ci sarà dietro.
Nell'immediato, l'interrogativo, più pressante, è un altro: le piattaforme si doteranno di una adeguata copertura assicurativa, magari includendo un piccolo premio nel gas price da versare per la creazione dei token? Ne va della fiducia dell'intero sistema.
_____
* Roberto Colantonio, Avvocato cassazionista. Esperto in diritto del lavoro e diritto d'autore. Docente di diritto dell'arte al Master Uniarp Consulente d'arte
