Bitgrail, Francesco Firano tra furto, bug e fallimento.

Francesco Firano si concede ad un’intervista dopo un anno pieno di insidie.

Ciao Francesco, dal nostro ultimo incontro, ne sono successe di cose, come il fallimento della piattaforma Bitgrail che forse poteva esser evitato con le soluzioni che volevi adottare, ma non è andata come speravi. 

Come stai affrontando la situazione con gli utenti di Bitgrail, il team di Nano e con il settore crypto in generale? 

I membri del Nano team li ho querelati per diffamazione a Febbraio, non li ho più sentiti da allora e non ho intenzione di sentirli. 

Spero solo che la Giustizia sia tale contro di loro, in questo senso, mi aspetto novità.

Con gli utenti BitGrail la situazione non è tesa come post furto, la stragrande maggioranza degli utenti (bitgrail aveva 220000 iscritti) non ha mai dato problemi. 

Moltissimi hanno un atteggiamento educato e rispettoso nonostante la situazione drammatica. 

Tanti hanno capito la situazione. 

Poi sì, ci sono anche i soliti idioti che fanno i leoni da tastiera come sempre ma si parla al massimo di un centinaio di persone che sinceramente mi scivolano addosso.

Per quanto riguardala community Crypto in generale, la situazione è senza dubbio ottima con chi già mi conosceva prima del furto avvenuto su BitGrail. 

Buona anche con chi ha approfondito e capito il problema occorso. 

Meno buona con chi si è semplicemente fermato a leggere gli articoli scritti un po’ a caso dalla maggior parte della stampa che purtroppo non ha minimamente le competenze per fare informazione in questo settore.

Se ti guardassi indietro, avresti fatto qualcosa in più per rendere più sicuro l’exchange? 

Certamente sì, col senno di poi avrei agito diversamente.

Ad esempio non listando monete non pronte come NANO che all’epoca di BitGrail non aveva funzioni essenziali per renderla sicura al 100%. 

Purtroppo credevo di aver trovato un’alternativa sicura alle funzioni mancanti ma come ormai noto, non è stato sufficiente. 

Preciso che ad oggi, se guardiamo al codice di NANO prima della mia denuncia del furto (Febbraio 2018), non esisteva un metodo sicuro al 100% per implementarlo. 

Le funzioni che ne garantiscono la sicurezza totale (in particolare l’idempotenza/firma offline), come dimostrato dalla CTU disposta dal tribunale, sono state implementate solo a seguito del furto subito da BitGrail.

Quali vulnerabilità hanno sfruttato per bucare il nodo?

Come ho sempre detto nel corso dei mesi (e come ha confermato anche il CTU), il sistema di BitGrail dopo aver inviato una transazione a seguito di una richiesta di prelievo, controllava che la transazione fosse o meno stata realmente inviata alla rete (questo perché l’instabilità del nodo non sempre garantiva una risposta immediata al sistema).

In caso negativo, a seguito di specifici controlli necessari (oggi scoperti non risolutivi) data la mancanza di una funzione idempotente nativa su NANO, provvedeva a inviare nuovamente la somma una seconda volta. 

Chi si è accorto di questa anomalia è riuscita a sfruttarla a proprio vantaggio sottraendo milioni di unità. 

A spanne posso dire che circa 10 utenti (sui 220000 iscritti), hanno sottratto il 90% delle monete rubate.

Ricordo che per riparare ai danni volevi creare un token, perchè ti hanno impedito di farlo? 

L’idea è nata per cercare di risarcire almeno in parte gli utenti che alternativamente col fallimento avrebbero rischiato solo ulteriori perdite a causa dei costi della procedura.

In un primo momento siamo stati fermati dalla CONSOB, in quanto considerava il token uno strumento finanziario. 

A seguito di corrispondenza prima e un incontro con i loro esponenti poi, siamo giunti alla conclusione che il token poteva essere fatto, seppur limitando le sue funzioni rispetto all’idea iniziale, di conseguenza stavamo procedendo.

Alla riapertura del sito col token infine, siamo stati bloccati a inizio maggio 2018 direttamente dal tribunale fallimentare di Firenze a seguito dell’istanza di fallimento presentata da 3 utenti del sito (che ha portato al fallimento nel Gennaio 2019).

Alcuni clienti di Bitgrail, sono andati a testimoniare l’accaduto, pensi possAno aggravare la situazione oppure AGEVOLARE LE indagini? 

Posto che non ho idea di come stia svolgendo le indagini la Procura, non posso sapere né su cosa abbiano testimoniato, né tantomeno se questo possa essere utile.

Quello che posso dire è che la Procura, tramite la Polizia Postale col la quale abbiamo sempre dialogato io ed i miei legali, è da sempre stata in possesso di tutti gli elementi utili per cercare di identificare gli autori del furto (database, codice sorgente e, non da ultimo, massima collaborazione sull’aspetto tecnico). 

Ci siamo impegnati da subito nell’identificare le transazioni cercando di tracciarle per scoprire dove erano andati a finire i NANO e ottenere informazioni sugli account che avevano effettuato in maniera dolosa il furto. 

Con le varie integrazioni di querela abbiamo portato sempre più elementi alla Polizia Postale. Se e come queste informazioni siano state utilizzate però, non posso saperlo. 

Quello che posso dire è che erano informazioni sicuramente utili.

Ricordo bene una tua frase: “Credo nella giustizia Italiana”. Resti della solita opinione dopo le sentenze? 

Preciso da subito che finora si è trattato solo di un procedimento fatto presso un tribunale fallimentare, quindi un contenzioso civile.

Non sono esperto in materia ma mi auguro che nei procedimenti penali sia dato spazio ad un contraddittorio quando si muovono accuse pesanti.

In poche parole, su alcuni punti che non riguardano strettamente il fallimento, non mi è stata data assolutamente possibilità di replica né di difesa.

Per esempio, ho visto delle inesattezze macroscopiche nella sentenza (sicuramente fatte in buona fede) che però denotano una comprensione tecnica dell’accaduto non totalmente accurata.

Per citare un esempio, nella pagine della sentenza (pubblica e ormai immutabile quindi) è stato scritto che ho tentato di prelevare da sportelli ATM parte dei bitcoin depositati presso The Rock Trading (un exchange italiano), facendo credere che io abbia cercato di prelevare in contanti con chissà quali fini di occultamento delle somme.

E’ evidente la confusione del tribunale con la siglia ATM.

Il Giudice (forse anche la procura, questo non so) crede quindi che The Rock Trading abbia degli bancomat fisici. 

Ovviamente si tratta di un errore, con ATM, riferito al contesto di The Rock Trading, si parla semplicemente della pagina web, predisposta dall’exchange per effettuare prelievi in forma digitale (bonifici e transazioni crypto su blockchain), quindi totalmente tracciabili.

Oltre a questo, il tribunale non precisa che i tentativi di prelievi sono stati fatti 3 mesi dopo la denuncia del furto alla polizia postale (e non prima come molte testate giornalistiche hanno riportato) e sul mio conto personale (non sottoposto a sequestro al momento dei tentativi di prelievo che pertanto erano legittimi).

In ultimo, il tribunale non specifica che a febbraio, contestualmente alla denuncia presentata alla Polizia Postale ho volontariamente elencato i miei conti personali su exchange coi relativi saldi. 

Quindi, la Polizia Postale era a conoscenza da febbraio dei miei conti (su mia segnalazione, ripeto) e non ha fatto niente per bloccarli fino a Maggio, giorni nei quali dovevo iniziare a far fronte alle spese legali dovute all’istanza di fallimento, motivo per cui ho provato a prelevare sul mio conto corrente bancario (e quindi non in contanti).

Questo punto, ripeto, non è strettamente correlato col fallimento pertanto non ho avuto modo di spiegare, né di difendermi portando prove ed eventuali testimoni. 

La fase istruttoria ovviamente non ha riguardato punti come questo. 

A mio modesto parere quindi è anche fuori luogo nella sentenza del fallimento, in quanto ha più un carattere accusatorio improntato sul penale e dal quale avrei avuto il diritto di difendermi.

Per tornare alla domanda sul se credo ancora nella giustizia quindi rispondo: in linea di massima sì, ma ovviamente tutta questa situazione non ha rafforzato le mie sicurezze nella giustizia.

Cosa succederà adesso, quali sono i prossimi ostacoli che devi affrontare? 

Per quanto mi riguarda, c’è il ricorso come prossimo step. 

Stiamo valutando in questi giorni insieme ai miei legali come è meglio presentarlo.

Per gli utenti invece a breve sarà data la possibilità di far domanda di insinuazione al passivo, il curatore fallimentare poi valuterà il materiale ricevuto e studierà a livello tecnico e legale come comportarsi per la restituzione delle coin rimaste in questo che è un caso unico in Italia e senza precedenti.

Riapriresti ancora un’attivitá in Italia correlata al settore crypto?

Sicuramente, non a breve. In futuro, mai dire mai.