Il più grande furto di crypto della storia è passato inosservato

29 marzo 2022, il Pattern Bar di Los Angeles brulicava di decine e decine di persone in festa, tuttavia, più che a un party, sembra di assistere a una fiera tech. Si potevano scorgere businessman con il colletto della camicia allentato e giovani informatici che sembravano appena scappati da uno skatepark, ma anche tutta una seria di personaggi alieni all’ambiente che si sono avvicinati al settore attratti dalle potenzialità speculative del blockchain. Nella folla, inabissato in una felpa nera e con lo sguardo afflitto, c’era anche il trentunenne Jeff “The Jiho” Zirlin, organizzatore dell’evento. Avrebbe dovuto annunciare gli obiettivi futuri dal suo progetto imprenditoriale NFT, Axie Infinity, invece non ha potuto che rivelare pubblicamente come l’azienda che controlla il brand, Sky Mavis, si sia trovata improvvisamente con un buco di circa 620 milioni di dollari, buco creato da un furto avvenuto appena sei giorni prima. Nonostante la batosta, attorno a lui la gente continuava a brindare, ridere e dirsi ottimista per il futuro.

Cos’è Axie Infinity?

Axie Infinity è una realtà aziendale che esiste a cavallo tra la finanza e il videogame, è un “play-to-earn”, ovvero un gioco online che “premia” gli sforzi dei suoi utenti concedendo loro un ritorno economico diretto. Almeno su carta. Iniziare la propria avventura su Axie Infinity prevede un acquisto iniziale di NFT il cui costo è fortemente determinato dall’andamento del Mercato dei crypto. Coloro che non sono dotati del capitale necessario possono in ogni caso noleggiare gli asset da altri giocatori attraverso un programma di “scolarship” che nella concretezza sa di subappalto, ma che nella narrazione dell’impresa viene descritto come il primo mattone per costruirsi un futuro pregno di successi.

In un mondo tinto da una crescente popolazione di lavoratori poveri, da disuguaglianze sempre più marcate, dagli strascichi di una pandemia pluriennale, Axie Infinity si è proposto come una soluzione facilmente accessibile ai problemi economici, rimarcando con decisione gli episodi trionfali che hanno permesso ad alcuni studenti di accumulare risorse al punto da potersi permettere case e oggetti di lusso. Secondo il reparto marketing del titolo, la ricchezza è praticamente alla portata di tutti, basta affidarsi a delle dolci creature fumettistiche che, attraverso combattimenti digitali, recuperano degli “smooth love potion” che, se fusi con gli “Axie Infinity shards”, possono generare animali da battaglia sempre più potenti. In pratica Pokémon, ma svuotato della sua profondità ludica e oberato da tre diversi tipi di token blockchain.

Gli stessi autori hanno d’altronde descritto la propria creatura al pari di «un gioco grezzo che incorpora tecnologie non rifinite, rischiose e altamente sperimentali», ma i fan più sfegatati sono annebbiati dalla prospettiva che a maggiori rischi corrispondano maggiori guadagni, idea che scatena un’esaltazione che non tiene conto di una domanda essenziale: come vengono generati i soldi che poi finiscono agli utenti? L’economia di Axie Infinity si regge sugli scambi e sulle transazioni – scambi su cui il portale si trattiene il 4.25% del valore -, una dinamica che funziona molto bene fintanto che nuovi utenti affluiscono verso il gioco, ma che sembra zoppicare nel momento in cui le risorse dall’esterno subiscono rallentamenti. Gli asset si sono concentrati rapidamente in “gilde” che monopolizzano il settore delle scholarship con fare latifondista, con il risultato che i nuovi arrivati devono sottostare a un Mercato che tende a sfruttarli in favore di chi sta loro sopra. Nel novembre 2021, un’indagine di Naavik segnalava che il ritorno economico giornaliero degli utenti neofiti fosse oramai inferiore allo stipendio minimo di un lavoratore filippino.

Il grande furto

Facendo riferimento ai dati di Compari Tech, l’attacco finanziario del 23 marzo segna il record massimo tra i furti di criptovalute mai registrati. Nello specifico, sono scomparsi 173.600 ETH e 25,5 milioni di stablecoin USDC dal Ronin Network, una “side-chain” creata per far interagire le diverse tecnologie di blockchain. Si tratta di una specie di agente di cambio che Sky Mavis ha voluto imbastire per evitare di costruire il proprio prodotto direttamente sull’infrastruttura Ethereum, la quale chiede “tasse sulle emissioni” che l’azienda ha considerato troppo onerose. I giocatori di Axie Infinity depositano i loro Ethereum sul Ronin Network, quindi riscattano i token specifici distribuiti da Sky Mavis, attenuando di molto il peso delle commissioni.

Ronin Network è una Rete decentralizzata che si appoggia su nove nodi di controllo, quattro dei quali sono in mano all’azienda stessa. Nel novembre 2021, nel pieno del picco di fama del titolo, Sky Mavis ha minato il proprio sistema di sicurezza prendendo temporaneamente il controllo di un quinto nodo, di fatto centralizzando su di sé il sistema. L’eccezionalità del caso si è risolta in meno di un mese e l’impresa ha restituito la gestione del nodo in questione, tuttavia i codici di programmazione che ne hanno permesso il temporaneo assorbimento non sono stati adeguatamente rimossi.

Senza scendere in tecnicismi, gli hacker – il Lazarus Group, stando alle indagini l’FBI – sarebbero riusciti a utilizzare i rimasugli di quel codice per ottenere il controllo del Ronin Network, così da autenticarsi le due transazioni che hanno svuotato le casse dell’azienda. Scoperto il furto, il servizio di Ronin è stato sigillato completamente e i giocatori si sono trovati impossibilitati a ritirare i loro fondi. Ufficialmente la scelta è giustificata dal desiderio di non voler inficiare le indagini, tuttavia non è difficile credere che un simile blocco sia comodo anche nell’assicurarsi che gli utenti, per quanto spaventati, non possano ritirarsi dal gioco, cosa che potrebbe portare a un terrificante effetto domino.

Sky Mavis ha promesso di risarcire i fondi perduti. Almeno qualora i fondi in questione fossero recuperati entro due anni grazie all’intervento delle autorità, ipotesi non semplice da concretizzare visto che i cybercriminali starebbero già riciclando il maltolto attraverso servizi quali Tornado Cash. Consapevole di questo ostacolo, l’impresa ha annunciato di aver raccolto altri 150 milioni di dollari di investimenti per compensare i propri fan. Non solo, ha anche dichiarato di essere disposta a rimetterci i propri soldi, pur di coprire il buco. Nel frattempo, Sky Mavis ha annunciato un nuovo gioco, Axie Infinity: Origin, il quale potrebbe a sua volta contribuire a far defluire una nuova ondata di liquidi.

Il pensiero magico

Non è escluso che l’FBI sia in grado di rimettere le mani su parte della refurtiva: riciclare tali somme di denaro richiede tempo e il portafoglio digitale adottato dagli hacker contiene ancora almeno 400 milioni di dollari (qui potete consultare la situazione in tempo reale), tuttavia queste speranze fanno affidamento su un contenimento dei danni tutt’altro che salutare. Quando ci sono in ballo cifre simili, solitamente gli hacker impostano una qualche forma di trattativa, tuttavia il Lazarus Group sembra piuttosto focalizzato sull’arraffare ciò che può prima che le criptovalute vengano recuperate. La cosa potrebbe sorprendere, se non fosse che i cybercriminali in questione vengono generalmente identificati come hacker governativi al soldo della Corea del Nord.

Nonostante futi e truffe sempre più audaci, il settore degli NFT continua a offrire grandi promesse e le realtà “play-to-earn” stanno sbocciando senza sosta, tuttavia questo movimento speculativo si appoggia su un miraggio, su un pensiero magico che confida di poter plasmare la realtà con l’ottimismo, con grandi doti di marketing e con qualche manovra finanziariamente torbida. Sotto molti aspetti, questa costola digitale della finanza ricorda molto la situazione del mercato immobiliare statunitense della metà degli anni Novanta, quel mercato in cui prestiti scoperti si accumulavano forsennatamente sotto lo sguardo cieco degli istituti finanziari, quello che si è tradotto nell’epocale crisi finanziaria del 2008.

I noticed that Axie bridge was exploited for $600m 6 days ago, so I shorted AXS with high leverage

I was early. I executed quickly, like the expert traders taught me

Within 24 hours I was liquidated because nobody else noticed the hack for 6 days and the price pumped instead 🙌

— Cobie (@cobie) March 29, 2022

A confidare che il furto potesse tradursi nel crack del portale è stato CryptoCobain, un investitore blockchain dal passato riconducibile all’online banking che ha intercettato la notizia del furto ancor prima che questa venisse resa pubblica, vendendo allo scoperto i token Axie Infinity shards (AXS). Una scommessa che non gli ha però fruttato. A suo dire, la sua posizione è stata liquidata prima che il valore del crypto risentisse della notizia e a nulla sono valse le sue segnalazioni ai broker di FTX, i quali si sono adamantinamente rifiutati di bloccare gli scambi.

A prendere in contropiede l’influencer è stato proprio il clima che si respirava al Pattern Bar, un clima di immotivata fiducia che non tiene in considerazione gli accadimenti, certa del fatto che la propria fede sarà ripagata con un futuro radioso. Quei festaioli californiani sono i bersagli perfetti per la strategia del “pump-and-dump”, delle frodi in cui il valore di un titolo viene fatto lievitare artificiosamente per permettere a pochi di ottenere successo sulle spalle di una massa che viene abbandonata al tracollo. Si tratta di soggetti che accantonano lo spirito critico, che abbracciano la dissonanza cognitiva e l’appartenenza del gruppo, che aderiscono a quella che Michael Burry, soggetto che la crisi del 2008 l’aveva prevista e calcata, non esita a definire «religione». Nonostante questo, le previsioni di CryptoCobain non erano sbagliate, semplicemente si è mosso con eccessivo anticipo. Avesse agito una settimana dopo, si sarebbe trovato in mano il doppio del capitale investito.

Aggiornamento 19/04/2022: corretto l’anglicismo “play-to-earn”, il quale era prima stato erroneamente riportato come “pay-to-earn”.

[di Walter Ferri]