Nel codice sorgente della CBDC brasiliana – Real Digital – funzioni allarmanti che potrebbero dare alla banca un controllo eccessivo sui portafogli e sui fondi degli utenti.
Real Digital consente
il congelamento dei portafogli degli utenti
Oltre ad operazioni come il “conio” di token Real Digital e l’abilitazione/disabilitazione degli account target, spiegate nella documentazione, uno sviluppatore ha individuato altre funzioni applicando tecniche di reverse engineering al materiale messo a disposizione dalla Banca Centrale.
La Banca Centrale conferma le scoperte fatte dallo sviluppatore nel codice del progetto, ma non dice se le funzioni saranno mantenute nella versione finale.
Dopo aver inizialmente pubblicato una serie di documenti sul progetto pilota Real Digital sul portale GitHub questa settimana, la Banca Centrale del Brasile ha anche consentito l’avvio di un audit pubblico del codice del sistema.
Questo audit è entrato nel radar di un certo numero di sviluppatori, che hanno iniziato ad analizzare il codice.
Risultato:
la scoperta dell’esistenza di una serie di funzioni presenti all’interno dello smart contract di questa versione di prova.
La scoperta
Nella documentazione condivisa all’inizio della settimana, l’autorità responsabile afferma che il progetto pilota Real Digital è destinato all’uso solo in un ambiente di test e non dovrebbe essere riprodotto per operazioni reali.
Uno degli scopi della pubblicazione del progetto pilota, come scritto nel cosiddetto ” Kit di onboarding ” del progetto, è quello di ricevere feedback, lasciando tutta la documentazione soggetta a evoluzione o modifiche.
Ed è esattamente ciò che ha fatto lo sviluppatore Pedro Magalhães: ha fornito feedback.
“Ho analizzato l’ABI per capire le funzionalità di Real Digital e ho scoperto le varie funzioni implementate.”
Sulla base di questa analisi, Pedro afferma che è stato possibile ricreare il contratto intelligente in Solidity (il linguaggio informatico) utilizzato nel progetto pilota. Il presente contratto consente l’esecuzione delle seguenti funzioni:
- disableAccount : disabilita un account autorizzato a trasferire token.
- enableAccount : abilita un account precedentemente disabilitato per i trasferimenti di token.
- augmentFrozenBalance : aumenta il saldo congelato di un indirizzo di portafoglio.
- diminuisciFrozenBalance : Diminuisce il saldo congelato di un indirizzo di portafoglio.
- transfer : Sostituisce la funzione di trasferimento ERC20 per includere controlli dello stato del conto e saldi congelati.
- transferFrom : esegue l’override della funzione transferFrom ERC20 per includere controlli dello stato del conto e saldi congelati.
- mint : crea nuovi token Real Digital per un indirizzo specificato.
- burn : Brucia (distrugge) una quantità specificata di token Real Digital.
- pause : mette in pausa i trasferimenti di token.
- unpause : riprende i trasferimenti di token.
- frozenBalanceOf : Recupera il saldo congelato di un indirizzo di portafoglio.
- AuthorizedAccount : controlla se un account è autorizzato per i trasferimenti di token.
- move : trasferisce i token da un portafoglio all’altro.
- moveAndBurn : Trasferisce e brucia i token da un portafoglio.
- burnFrom : brucia i token da un account specificato.
Queste funzioni possono essere eseguite da qualsiasi soggetto autorizzato dalla Banca Centrale attraverso un’altra funzione (presente anche nel codice sorgente), denominata Controllo Accessi .
Leggi l’intero articolo al link sotto
FONTE: portal do bitcoin
