Un investitore ha perso 50 milioni di dollari dopo essere stato vittima di una tecnica di «address poisoning». Cosa è successo e come proteggersi da questo rischio?
Un investitore perde decine di milioni di dollari in un attacco
La società di analisi Lookonchain ha segnalato questa settimana una perdita molto ingente subita da un investitore in criptovalute. La vittima desiderava trasferire 50 milioni di USDT e ha inizialmente trasferito 50 USDT sul proprio indirizzo di portafoglio, al fine di testarlo.
Una volta completato con successo questo primo trasferimento, ha inviato la somma di 50 milioni di dollari a quello che pensava fosse lo stesso indirizzo… Solo che un hacker era già passato di lì. Quest’ultimo ha infatti utilizzato la tecnica dell’« address poisoning » per sottrarre i fondi.
Questo tipo di «avvelenamento» è semplice: consiste nell’inviare una piccola somma alla vittima creando un indirizzo i cui primi e ultimi caratteri assomigliano al suo. Lo scopo è che la persona non verifichi l’indirizzo per intero e si limiti a copiare l’indirizzo dalla propria cronologia delle transazioni.
50 milioni di dollari rubati, i fondi riciclati
Questo è quanto è accaduto in questo caso, secondo Lookonchain:
Poiché molti portafogli nascondono la parte centrale dell’indirizzo con «…» per migliorare l’interfaccia utente, molti utenti copiano spesso l’indirizzo dalla cronologia delle transazioni e in genere verificano solo i primi e gli ultimi caratteri.
L’indirizzo falso accanto a quello della vittima
Risultato: 50 milioni di USDC sono andati in fumo. La vittima, che desiderava prelevare i propri fondi da Binance, li ha in realtà inviati all’indirizzo contraffatto.
Il truffatore ha poi rapidamente riciclato i fondi, secondo le informazioni condivise da SlowMist. Innanzitutto scambiando gli USDT con DAI tramite MetaMask Swap, poi scambiando il tutto con ETH. Infine, ha inviato questi ultimi sul mixer di criptovalute Tornado Cash.
Una proposta di accordo con il truffatore
Risultato: il proprietario originario degli USDC ha perso decine di milioni di dollari in pochi minuti. A seguito di ciò, ha pubblicato un messaggio «on-chain» per proporre un accordo con la persona che ha sottratto le sue criptovalute:
Abbiamo ufficialmente presentato una denuncia penale. Con l’aiuto delle forze dell’ordine, delle agenzie di sicurezza informatica e di diversi protocolli blockchain, abbiamo già raccolto informazioni sostanziali e utilizzabili riguardo alle vostre attività.
Egli propone all’hacker di trattenere un milione di dollari e di restituire la maggior parte della somma. In cambio, il proprietario originario si impegna a non intentare alcuna azione legale:
Questa è la sua ultima possibilità di risolvere la questione in modo amichevole. Con la presente le viene richiesto di restituire il 98% dei fondi sottratti all’indirizzo sottostante entro 48 ore. Le è consentito trattenere 1.000.000 di dollari a titolo di premio «white hat» per l’identificazione della vulnerabilità.
Al momento, i fondi non sono stati restituiti. Questo è un ulteriore segnale della necessità di prestare attenzione agli indirizzi copiati durante i trasferimenti di fondi. Si consiglia di non copiare mai un indirizzo da un blockchain explorer e di verificare sempre con attenzione gli indirizzi per intero.
