Anche Wang Chun è stato vittima: una "tassa di iscrizione" da 50 milioni di USD. Perché l'avvelenamento degli indirizzi ha così successo?

Titolo originale dell'articolo: "50 milioni di USD rubati a causa della mancata doppia verifica dell'indirizzo"

Autore originale dell'articolo: Eric, Foresight News

Ieri mattina, ora di Pechino, un analista blockchain di nome Specter ha scoperto un caso in cui quasi 50 milioni di USDT sono stati trasferiti all'indirizzo di un hacker a causa di una mancanza di un'attenta verifica dell'indirizzo.

Secondo l'indagine condotta dall'autore, l'indirizzo (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) ha prelevato 50 USDT da Binance per un test di prelievo di grandi dimensioni intorno alle 13:00 del 19, ora di Pechino.

Circa 10 ore dopo, l'indirizzo ha prelevato 49.999.950 USDT in una singola transazione da Binance, aggiungendosi ai 50 USDT precedenti, per un totale di esattamente 50 milioni.

Circa 20 minuti dopo, l'indirizzo che ha ricevuto i 50 milioni di USDT ha prima trasferito 50 USDT all'indirizzo 0xbaf4…95F8b5 per scopi di test.

In meno di 15 minuti dopo la transazione di test, l'indirizzo dell'hacker 0xbaff…08f8b5 ha trasferito 0,005 USDT all'indirizzo che deteneva i restanti 49.999.950 USDT. L'indirizzo dell'hacker utilizzato per il trasferimento aveva un inizio e una fine molto simili rispetto all'indirizzo che ha ricevuto i 50 USDT, indicando un chiaro attacco di "avvelenamento dell'indirizzo" (address poisoning).

10 minuti dopo, mentre l'indirizzo che iniziava con 0xcB80 tentava di trasferire i restanti 40+ milioni di USDT, probabilmente a causa di negligenza, ha erroneamente copiato la transazione precedente, ovvero l'indirizzo utilizzato dall'hacker per l'"avvelenamento", e ha inviato direttamente quasi 50 milioni di USDT all'hacker.

Dopo aver ricevuto i 50 milioni di USD, l'hacker ha avviato attività di riciclaggio di denaro appena 30 minuti dopo. Secondo il monitoraggio di SlowMist, l'hacker ha prima convertito l'USDT in DAI tramite MetaMask, poi ha utilizzato tutto il DAI per acquistare circa 16.690 Ethereum, tenendo 10 ETH e trasferendo i restanti Ethereum su Tornado Cash.

Ieri intorno alle 16:00 (ora di Pechino), la vittima ha lanciato un appello all'hacker on-chain, dichiarando che erano state ufficialmente presentate accuse penali. Con l'assistenza delle forze dell'ordine, delle organizzazioni di sicurezza informatica e di molteplici protocolli blockchain, è stata raccolta una quantità significativa di informazioni credibili riguardanti le attività dell'hacker. La vittima ha dichiarato che l'hacker poteva tenere 1 milione di dollari e restituire il restante 98% dei fondi. Se l'hacker avesse collaborato, non sarebbero state intraprese ulteriori azioni; tuttavia, se l'hacker non avesse collaborato, sarebbe stato perseguito attraverso i canali legali per responsabilità penale e civile, e l'identità dell'hacker sarebbe stata resa pubblica. Ad oggi, l'hacker non ha fatto alcuna mossa.

Secondo i dati compilati dalla piattaforma Arkham, questo indirizzo ha registri di grandi trasferimenti con indirizzi Binance, Kraken, Coinhako e Cobo. Mentre Binance, Kraken e Cobo sono ben noti, Coinhako potrebbe essere un nome relativamente poco familiare. Coinhako è un exchange di criptovalute locale di Singapore stabilito nel 2014. Nel 2022, ha ottenuto una licenza di Major Payment Institution dalla Monetary Authority of Singapore, rendendolo un exchange regolamentato a Singapore.

Dato che questo indirizzo ha interagito con molteplici exchange e servizi di custodia Cobo e ha dimostrato la capacità di contattare rapidamente varie parti per rintracciare l'hacker entro 24 ore dall'incidente, l'autore ipotizza che questo indirizzo appartenga probabilmente a un'organizzazione piuttosto che a un individuo.

Da un "Oops" a un errore costoso

L'unica spiegazione per un attacco di "avvelenamento dell'indirizzo" riuscito è la "negligenza". Tali attacchi possono essere facilmente evitati controllando due volte l'indirizzo prima di una transazione, ma evidentemente il protagonista di questo incidente ha saltato questo passaggio cruciale.

Gli attacchi di avvelenamento dell'indirizzo sono emersi nel 2022, con la storia che ha origine da un generatore di "indirizzi di fantasia", uno strumento che consente la personalizzazione del prefisso dell'indirizzo EVM. Ad esempio, l'autore potrebbe generare un indirizzo che inizia con 0xeric per renderlo più riconoscibile.

L'hacker ha scoperto in seguito che, a causa di un difetto di progettazione, questo strumento poteva forzare le chiavi private, portando a diversi gravi incidenti di furto di fondi. Tuttavia, la capacità di generare indirizzi con prefissi e suffissi personalizzati ha anche scatenato un'idea sinistra: creando indirizzi simili all'inizio e alla fine dell'indirizzo di trasferimento comunemente usato da un utente e trasferendo fondi a un altro indirizzo usato dall'utente, alcuni individui potrebbero inviare erroneamente i propri asset on-chain all'indirizzo dell'hacker, presumendo che sia il proprio a causa della negligenza.

I dati on-chain storici mostrano che l'indirizzo che inizia con 0xcB80 era uno dei bersagli chiave per l'avvelenamento dell'indirizzo da parte dell'hacker prima di questo attacco, con l'attacco di avvelenamento dell'indirizzo iniziato quasi 1 anno fa. Questo metodo di attacco si basa fondamentalmente sulla scommessa dell'hacker che un giorno cadrai nel trucco a causa della pigrizia o della disattenzione. Ironicamente, questo metodo di attacco palesemente ovvio ha portato sempre più individui "negligenti" a diventare vittime.

In risposta a questo incidente, il co-fondatore di F2Pool, Wang Chun, ha espresso solidarietà alle vittime. Ha menzionato che l'anno scorso, per testare se il suo indirizzo avesse subito una fuga di chiave privata, ha inviato 500 Bitcoin su di esso, solo per vedersi rubare 490 Bitcoin dagli hacker. Sebbene l'esperienza di Wang Chun non sia direttamente correlata agli attacchi di avvelenamento dell'indirizzo, probabilmente voleva trasmettere che tutti hanno momenti di svista e non dovrebbero incolpare le vittime per la loro negligenza, ma piuttosto puntare il dito contro gli hacker.

Una perdita di 50 milioni di dollari non è una piccola somma, ma non è l'importo più alto rubato in tali attacchi. Nel maggio 2024, un indirizzo è stato vittima di un attacco simile in cui oltre 70 milioni di dollari di Bitcoin (WBTC) avvolti sono stati inviati all'indirizzo di un hacker. Tuttavia, la vittima ha infine recuperato quasi tutti i fondi attraverso la negoziazione on-chain con l'assistenza delle società di sicurezza Match Systems e della piattaforma di trading Cryptex. In questo recente incidente, l'hacker ha rapidamente convertito i fondi rubati in Ethereum e li ha trasferiti su Tornado Cash, rendendo incerta la possibilità di recupero.

Il co-fondatore e Chief Security Officer di Casa, Jameson Lopp, ha avvertito ad aprile che gli attacchi di avvelenamento dell'indirizzo si stavano diffondendo rapidamente, con oltre 48.000 incidenti di questo tipo verificatisi sulla rete Bitcoin dal 2023.

Questi metodi di attacco, inclusi i falsi link alle riunioni Zoom su Telegram, non sono sofisticati, ma è proprio questo approccio "semplice" che può cogliere le persone alla sprovvista. Per quelli di noi nella foresta oscura, è sempre meglio essere estremamente cauti.

Link all'articolo originale