Titolo originale: “50 milioni di dollari rubati, solo perché non hanno verificato attentamente l’indirizzo”
Autore originale: Eric, Foresight News
Alle prime ore di ieri mattina, ora di Pechino, l’analista on-chain noto come Specter su X ha scoperto un caso in cui quasi 50 milioni di USDT sono stati trasferiti a un indirizzo hacker a causa di una mancata verifica accurata dell’indirizzo di destinazione.
Secondo le verifiche dell’autore, questo indirizzo (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) ha prelevato 50 USDT da Binance intorno alle 13:00 del 19, ora di Pechino, per un test prima di un prelievo di grandi dimensioni.
Circa 10 ore dopo, l’indirizzo ha prelevato in una sola volta 49.999.950 USDT da Binance, che sommati ai 50 USDT prelevati in precedenza, ammontano esattamente a 50 milioni.
Circa 20 minuti dopo, l’indirizzo che aveva ricevuto i 50 milioni di USDT ha prima trasferito 50 USDT a 0xbaf4…95F8b5 per un test.
Meno di 15 minuti dopo il completamento del test di trasferimento, l’indirizzo hacker 0xbaff…08f8b5 ha inviato 0,005 USDT all’indirizzo che conteneva i restanti 49.999.950 USDT. L’indirizzo utilizzato dall’hacker era molto simile all’indirizzo che aveva ricevuto i 50 USDT per inizio e fine, trattandosi chiaramente di un attacco di “avvelenamento dell’indirizzo”.
10 minuti dopo, quando l’indirizzo che inizia per 0xcB80 si preparava a trasferire i restanti oltre 40 milioni di USDT, probabilmente per negligenza ha copiato l’indirizzo della transazione precedente, ovvero quello utilizzato dall’hacker per “avvelenare”, inviando direttamente quasi 50 milioni di USDT nelle mani dell’hacker.
Visti i 50 milioni di dollari in arrivo, l’hacker ha iniziato a riciclare il denaro dopo soli 30 minuti. Secondo il monitoraggio di SlowMist, l’hacker ha prima scambiato gli USDT in DAI tramite MetaMask, poi ha utilizzato tutti i DAI per acquistare circa 16.690 ETH, lasciando 10 ETH e trasferendo il resto in Tornado Cash.
Intorno alle 16:00 di ieri, ora di Pechino, la vittima ha rivolto un appello on-chain all’hacker, dichiarando di aver formalmente intentato un’azione penale e di aver raccolto, con l’assistenza delle forze dell’ordine, delle agenzie di sicurezza informatica e di diversi protocolli blockchain, una grande quantità di informazioni affidabili sulle attività dell’hacker. Il proprietario dei fondi ha dichiarato che l’hacker può trattenere 1 milione di dollari e restituire il restante 98% dei fondi; se l’hacker accetta, non verrà perseguito; in caso contrario, verranno intraprese azioni legali per perseguire le responsabilità penali e civili dell’hacker e la sua identità verrà resa pubblica. Tuttavia, finora l’hacker non ha dato segni di vita.
Secondo i dati organizzati dalla piattaforma Arkham, questo indirizzo ha registrato transazioni di grandi dimensioni con indirizzi di Binance, Kraken, Coinhako e Cobo. Binance, Kraken e Cobo non necessitano di presentazioni, mentre Coinhako potrebbe essere un nome relativamente sconosciuto. Coinhako è una piattaforma di scambio di criptovalute locale di Singapore, fondata nel 2014, che ha ottenuto nel 2022 la licenza di grande istituto di pagamento dalla Monetary Authority of Singapore, rientrando quindi tra le piattaforme regolamentate di Singapore.
Considerando l’utilizzo da parte di questo indirizzo di piattaforme di scambio in diverse località e dei servizi di custodia di Cobo, nonché la capacità di tracciare rapidamente l’hacker contattando tutte le parti interessate entro 24 ore dall’incidente, l’autore ipotizza che questo indirizzo appartenga con alta probabilità a un’istituzione piuttosto che a un individuo.
Un errore “involontario” provoca un grave danno
L’unica spiegazione per il successo di un attacco di “avvelenamento dell’indirizzo” è la “negligenza”. Questo tipo di attacco può essere evitato semplicemente verificando nuovamente l’indirizzo prima del trasferimento, ma chiaramente il protagonista di questo incidente ha saltato questo passaggio cruciale.
Gli attacchi di avvelenamento dell’indirizzo sono comparsi a partire dal 2022, e la loro origine risiede nei generatori di “indirizzi belli”, ovvero strumenti che consentono di personalizzare l’inizio degli indirizzi EVM. Ad esempio, l’autore stesso potrebbe generare un indirizzo che inizia con 0xeric per renderlo più identificabile.
Successivamente, gli hacker hanno scoperto che questo strumento, a causa di problemi di progettazione, consentiva di forzare brutalmente le chiavi private, portando a diversi importanti furti di fondi. Tuttavia, la capacità di generare indirizzi con inizio e fine personalizzati ha anche dato a persone con cattive intenzioni un'”idea brillante”: generando indirizzi simili per inizio e fine a quelli comunemente utilizzati dagli utenti per i trasferimenti e inviando fondi ad altri indirizzi frequentemente usati dagli utenti, alcuni utenti potrebbero, per negligenza, scambiare l’indirizzo hacker per il proprio e inviare attivamente le proprie risorse on-chain nelle tasche dell’hacker.
Le informazioni on-chain passate mostrano che l’indirizzo che inizia per 0xcB80 era già uno dei principali obiettivi di avvelenamento da parte degli hacker prima di questo attacco, e gli attacchi di avvelenamento del suo indirizzo sono iniziati quasi un anno fa. Questo metodo di attacco si basa essenzialmente sulla scommessa dell’hacker che prima o poi, per pigrizia o disattenzione, cadrai nella trappola. Ed è proprio questo tipo di attacco, così facilmente riconoscibile, che continua a far cadere vittima dopo vittima i “distratti”.
In merito a questo evento, Wang Chun, co-fondatore di F2Pool, ha espresso su Twitter la sua solidarietà alla vittima, raccontando che l’anno scorso, per testare se il suo indirizzo avesse subito una fuga di chiavi private, ha trasferito 500 BTC, per poi vedersene rubare 490 dagli hacker. Sebbene l’esperienza di Wang Chun non sia correlata a un attacco di avvelenamento dell’indirizzo, probabilmente intendeva dire che ognuno ha i suoi momenti di “stupidità”, e non bisogna biasimare la negligenza della vittima, ma piuttosto puntare il dito contro l’hacker.
50 milioni di dollari non sono una piccola somma, ma non rappresentano l’importo più alto rubato in questo tipo di attacchi. A maggio 2024, un indirizzo ha trasferito a un indirizzo hacker WBTC per un valore superiore a 70 milioni di dollari a causa di un attacco simile, ma la vittima, con l’assistenza della società di sicurezza Match Systems e della piattaforma di scambio Cryptex, è riuscita a recuperare quasi tutti i fondi attraverso una negoziazione on-chain. Tuttavia, in questo caso, l’hacker ha rapidamente scambiato i fondi rubati in ETH e li ha trasferiti in Tornado Cash, e non è ancora chiaro se sarà possibile recuperarli.
Ad aprile, Jameson Lopp, co-fondatore e chief security officer di Casa, ha avvertito che gli attacchi di avvelenamento dell’indirizzo si stanno diffondendo rapidamente, con ben 48.000 casi di questo tipo solo sulla rete Bitcoin dal 2023.
Includendo anche i falsi link per riunioni Zoom su Telegram, questi metodi di attacco non sono particolarmente sofisticati, ma è proprio questa loro “semplicità” che può far abbassare la guardia. Per noi che viviamo nella foresta oscura, un po’ di attenzione in più non fa mai male.
