Nel settore delle criptovalute, la doppia spesa è una vulnerabilità che consente agli hacker di compromettere una rete blockchain e utilizzare lo stesso token digitale per effettuare più transazioni. Questo problema può causare un grave blocco per l’asset digitale per due motivi principali:
- Genera una discrepanza tra i record di spesa e gli importi disponibili della valuta trasferita.
- Influisce sulla distribuzione della valuta e provoca la diluizione dell’asset.
Esempi di attacchi a doppia spesa includono attacchi race, attacchi al 51% e l’attacco di Finney. Un attacco race si verifica quando l’aggressore effettua due transazioni utilizzando lo stesso asset digitale, ma solo una di esse viene confermata. Ad esempio, l’aggressore può avviare un pagamento al venditore A mentre trasmette lo stesso importo al venditore B. Se la seconda transazione viene confermata per prima, il venditore A non riceverà il pagamento.
Un attacco 51% avviene quando hacker o criminali ottengono il controllo della maggioranza della potenza di calcolo di una blockchain. Questo consente agli aggressori di confermare o annullare qualsiasi transazione, indipendentemente dalla loro legittimità. Hanno anche il potere di modificare l’ordine dei blocchi, consentendo che eventi di doppia spesa passino inosservati. Questo attacco è particolarmente mirato alle reti più piccole, a differenza delle grandi blockchain come Bitcoin o Ethereum.
L’attacco Finney, nominato in onore di uno dei primi pionieri di Bitcoin, Hal Finney, è rivolto agli esercenti che non attendono la conferma delle transazioni. Finney lo descrive come una situazione in cui un miner può generare un blocco che include una transazione dall’indirizzo A all’indirizzo B, entrambi di proprietà dell’attaccante.
Successivamente, l’aggressore effettua un’altra transazione dall’indirizzo A all’indirizzo C, che appartiene a un esercente. Se l’esercente accetta lo scambio di merci o servizi senza attendere la conferma della rete, l’aggressore può poi rilasciare il blocco con la transazione iniziale. Questo invalida la transazione effettuata verso l’esercente.
