Un investitore ha perso 50 milioni di dollari dopo essere stato vittima di una tecnica di “address poisoning”. Cosa è successo e come proteggersi da questo rischio?
Un investitore perde decine di milioni di dollari in un attacco
La società di analisi Lookonchain ha riportato questa settimana una perdita molto ingente subita da un investitore in criptovalute. La vittima voleva trasferire 50 milioni di USDT e ha prima trasferito 50 USDT sul proprio indirizzo di portafoglio, per testarlo.
Una volta completato con successo il primo trasferimento, ha inviato la somma di 50 milioni di dollari a quello che pensava fosse lo stesso indirizzo… Ma un hacker era già passato di lì. Quest’ultimo ha infatti utilizzato la tecnica dell’“address poisoning” per rubare i fondi.
Questo tipo di “avvelenamento” è semplice: consiste nell’inviare una piccola somma alla vittima creando un indirizzo i cui primi e ultimi caratteri assomigliano al suo. L’obiettivo è che la persona non controlli l’indirizzo per intero e si limiti a copiare l’indirizzo dalla cronologia delle transazioni.
50 milioni di dollari rubati, fondi riciclati
Secondo Lookonchain, è proprio quello che è successo in questo caso:
Poiché molti portafogli nascondono la parte centrale dell’indirizzo con “…”, al fine di migliorare l’interfaccia utente, molti utenti spesso copiano l’indirizzo dalla cronologia delle transazioni e in genere verificano solo il primo e l’ultimo carattere.
Risultato: 50 milioni di USDC sono andati in fumo. La vittima, che voleva prelevare i propri fondi da Binance, li ha invece inviati all’indirizzo contraffatto.
Il truffatore ha poi rapidamente riciclato i fondi, secondo le informazioni condivise da SlowMist. Prima scambiando gli USDT con DAI tramite MetaMask Swap, poi scambiando il tutto con ETH. Infine, ha inviato questi ultimi al mixer di criptovalute Tornado Cash.
Una proposta di accordo con il truffatore
Risultato: il proprietario originale degli USDC ha perso decine di milioni di dollari in pochi minuti. In seguito, ha pubblicato un messaggio “on-chain” per proporre un accordo con la persona che ha rubato le sue criptovalute:
Abbiamo presentato una denuncia penale ufficiale.
Con l’aiuto delle forze dell’ordine, delle agenzie di sicurezza informatica e di diversi protocolli blockchain, abbiamo già raccolto informazioni sostanziali e utilizzabili sulle vostre attività.
Propone all’hacker di trattenere un milione di dollari e di restituire la maggior parte della somma. In cambio, il proprietario originale si impegna a non intraprendere alcuna azione legale:Questa è la tua ultima possibilità di risolvere la questione in modo amichevole. Con la presente, ti viene richiesto di restituire il 98% dei beni rubati all’indirizzo sottostante entro 48 ore. Ti è consentito conservare 1.000.000 di dollari come premio “white hat” per aver identificato la vulnerabilità.
Al momento, i fondi non sono stati restituiti. Questo è un ulteriore segnale della necessità di prestare attenzione agli indirizzi copiati durante i trasferimenti di fondi. Si consiglia di non copiare mai un indirizzo da un esploratore di blockchain e di verificare sempre attentamente gli indirizzi completi.
