Il 2 novembre 2022, dopo giorni di trepidante attesa, è finalmente uscito ufficialmente il report (detto anche audit) di Certik su Blackfort, che in teoria dovrebbe certificare l’esistenza ed il buon funzionamento della blockchain tanto promessa, lodata e sopratutto venduta. È bene ricordare che gli audit sono un giudizio sul codice e non sul team o sul business model aziendale.
Avrà chiarito i nostri dubbi? Vediamolo insieme.
Che cosa dice il report?
Purtroppo già dalla prima pagina emergono i primi indizi che i promotori di Blackfort non ce la stanno raccontando giusta. L’audit è stato infatti eseguito non su una blockchain con tutti i suoi elementi, ma bensì su un semplicissimo smart contract che regola dei token ERC-721, usati per la creazione degli NFT su rete Ethereum.
La repository GitHub, fondamentale per ogni progetto open source e decentralizzato, linkata all’interno del report è stata eliminata dal profilo, rendendo quindi impossibile la visione integrale del codice.
Pur essendo un banalissimo smart contract le vulnerabilità trovate dagli analisti di Certik sono state ben 42, di cui 6 gravi o critiche. Per fortuna sono state tutte risolte tranne un grave bug, legato alla centralizzazione di determinati privilegi di burning, minting e trasferimento dei token. Un hacker potrebbe quindi prendere facilmente il controllo dei token distruggendoli o impedendone il trasferimento.
Andando poi ad osservare da più da vicino il profilo GitHub di Blackfort le cose che non tornano sono molte:
- il profilo ha 1 solo follower (un po’ poco per un progetto che comprende una blockchain proprietaria, un wallet e una collezione di NFT) e non viene aggiornato dal 17 agosto 2022. Tutti gli aggiornamenti a cui stanno lavorando quindi dove sono?
- quello che dovrebbe essere il codice del wallet (scaricabile su iOS ed Android) sono in realtà delle cartelle contenenti JPEG e PNG di screenshot dell’applicazione. Alla pagina del “codice” manca inoltre qualsiasi informazione su installazione ed uso, elementi fondamentali in ogni repository.
- le altre due cartelle sono copie del codice di due software di analisi per blockchain EVM compatibili: Blockscout e Blockatlas. Il primo è il software usato per creare l’explorer della testnet (di cui parleremo dopo).
L’elemento più grave del report è però la data del termine delle verifiche, Certik ha infatti terminato le analisi, consegnando il PDF agli sviluppatori, il 13 ottobre 2022.
Andando su Etherscan vediamo però che i primi NFT sono stati mintati il 16 settembre, quando ancora erano presenti gravissime vulnerabilità al codice, mettendo quindi a repentaglio i fondi degli investitori.
Il token BXF
Studiando i movimenti on chain degli NFT ufficiali di Blackfort siamo finiti su una pagina di Etherescan che ha attirato la nostra attenzione. Abbiamo infatti trovato un token, nativo sulla blockchain di Ethereum, denominato BlackFort Token (BXF). Che sia finalmente la tanto decantata moneta promessa agli investitori ormai da mesi?
Osservandolo più da vicino notiamo che il token è nato il 3 luglio 2021 e da allora continua ad essere creato con un ritmo stabile, distribuito verso 275 wallet e, raramente, viene scambiato in questa ristretta cerchia di portafogli digitali, per la maggior parte inattivi. Pur esistendo da un anno e mezzo il token non è listato su nessun exchange, sia centralizzato che decentralizzato, rendendolo quindi privo di valore in dollari.
Sulle info di Etherescan il token si pubblicizza come: “BlackFort is a cryptocurrency wallet, exchange & merchant service provider. BlackFort offer users with possibility to use/buy/sell/swap cryptocurrencies. B2B Payment Gateway is available as a merchant solution. BXF Token-economy brings value to users in the community.”
Il prezzo di lancio previsto era 0.01$, esattamente come annunciato fino alla sfinimento dai promotori. Viene quindi logico pensare che questa moneta sia stata creata per poi essere wrappata (creata una copia su una diversa rete) sulla futura blockchain di Blackfort.
Di questo fantomatico token non troviamo nessuna informazione e del bridge, utile a trasferire le monete tra due blockchain, non c’è traccia su GitHub o sui canali ufficiali.
La testnet
Nei giorni successivi all’uscita del nostro primo articolo su Blackfort le community online si sono agitate molto. I promotori italiani si sono mossi rapidamente per portare ai propri adepti del materiale che li tenesse lontani dall’avere dubbi e fare domande. Dopo il report è stata svelata al pubblico la testnet.
La blockchain che vediamo sulla testnet è però ferma, crea blocchi vuoti ogni 5 secondi ed ha l’ultima transazione eseguita più di 2 mesi fa.
Dichiarando di aver venduto più di 50.000 nodi (su Tron e BSC) ci si dovrebbe aspettare una testnet funzionante con migliaia di indirizzi e validatori attivi che la provano in attesa del lancio. Aprendo il sito vediamo però che i wallet creati sono solo 21, di cui 9 attivi.
Le informazioni riguardo al progetto e al codice sono completamente assenti. Il link che dovrebbe servire ad aggiungere la testnet su Metamask non funziona e il collegamento su GitHub porta alla repository di Blockscout, il software open source utilizzato per creare l’explorer.
Riassunto e conclusioni
Dopo il nostro articolo e la creazione del gruppo Telegram di discussione il team di Blackfort ha accelerato vistosamente il rilascio di novità. La prima è stata l’audit, che analizza il codice degli NFT e non della blockchain come da loro dichiarato. Come mai abbiano aspettato i primi di novembre per rilasciarlo, quando ne erano in possesso dal 13 ottobre, non ci è dato saperlo.
Dopo il report di Certik è venuto il momento della testnet, vuota, inutilizzata da 2 mesi e che non contiene niente di quello a cui dicono di stare lavorando. Essendo che anche il profilo GitHub è vuoto la domanda sorge spontanea, ma dove è tutto il codice e l’infrastruttura che stanno costruendo?
A queste domande dovrebbero rispondere L.M e A.M, i ben noti promotori italiani, che hanno però chiuso la chat del gruppo Telegram ufficiale, vietando di fatto agli investitori di poter porre un qualsiasi tipo di quesito. Nel gruppo Telegram by Decripto potete fare tutte le domande che volete.
Agli utenti che hanno investito anche migliaia di euro sono rimasti solo i webinar su Zoom per poter chiarire i loro dubbi. Peccato che L.M e A.M evitino qualunque domanda di tipo tecnico, rispondendo esclusivamente a quesiti riguardanti le affiliazioni, su cui sembrano ferratissimi. Nell’ultima Zoom è intervenuto anche uno dei “leader mondiali” del progetto, pubblicizzato come “il tecnico”. Anche lui però ha sviato tutte le domande più approfondite ed ha annunciato che all’evento mondiale del 19 novembre a Monaco di Baviera non verrà lanciato il token e la blockchain, ma solamente annunciata la data, che, mette le mani avanti, non sono sicuri di poter rispettare. Quanto detto dal “leader mondiale” è quindi in contrasto con quello che i promoter italiani dicono da settimane: “aspettate il 19 novembre e vedrete tutto”.
Nel frattempo tra gli utenti i dubbi aumentano mentre i più fedeli difendono il progetto come degli adepti di una setta, minacciandoci in privato.
Questo è Blackfort.
