Furto di USDC e Crescente Preoccupazione per il Phishing
Un hacker ha rubato oltre 440.000 dollari in USDC dopo che un proprietario di wallet ha firmato inconsapevolmente una richiesta di “permesso” malevola, secondo un tweet di lunedì di Scam Sniffer. Questo furto si inserisce in un contesto di crescente preoccupazione per le perdite da phishing. A novembre, circa 7,77 milioni di dollari sono stati sottratti a oltre 6.000 vittime, come riportato nel rapporto mensile di Scam Sniffer, che evidenzia un aumento del 137% delle perdite totali rispetto a ottobre, nonostante il numero di vittime sia diminuito del 42%.
La Caccia alle Balene e le Truffe Basate su Permessi
“La caccia alle balene si è intensificata, con un colpo massimo di 1,22 milioni di dollari (firma di permesso). Anche se il numero di attacchi è diminuito, le perdite individuali sono cresciute significativamente,” ha osservato l’azienda. Le truffe basate su permessi mirano a ingannare gli utenti affinché firmino una transazione che sembra legittima, ma che in realtà concede silenziosamente a un attaccante il diritto di spendere i loro token. Le dApp malevole possono mascherare campi, falsificare nomi di contratti o presentare la richiesta di firma come qualcosa di routine.
Se un utente non esamina i dettagli, firmare la richiesta concede effettivamente all’attaccante il permesso di accedere a tutti i token ERC-20 dell’utente. Una volta concesso, i truffatori drenano tipicamente i fondi immediatamente. Questo metodo sfrutta la funzione di permesso di Ethereum, progettata per semplificare i trasferimenti di token consentendo agli utenti di delegare i diritti di spesa a applicazioni fidate. Tuttavia, questa comodità diventa una vulnerabilità quando tali diritti vengono concessi a un attaccante.
“Ciò che è particolarmente insidioso riguardo a questo tipo di attacco è che gli attaccanti possono condurre sia il permesso che il trasferimento di token in una sola transazione (un approccio di tipo smash and grab), oppure potrebbero ottenere accesso tramite il permesso e poi rimanere inattivi in attesa di trasferire eventuali fondi aggiunti successivamente (purché impostino una scadenza di accesso adeguatamente lontana all’interno dei metadati della funzione di permesso),” ha dichiarato Tara Annison, responsabile del prodotto di Twinstake, a Decrypt.
“Il successo di questi tipi di truffe si basa sul fatto che firmi qualcosa di cui non realizzi completamente le conseguenze,” ha aggiunto, sottolineando che “è tutto legato alla vulnerabilità umana e all’approfittare della fretta delle persone.” Annison ha anche evidenziato che questo incidente non è isolato. “Ci sono molti esempi di truffe di phishing di alto valore e volume progettati per ingannare gli utenti a firmare qualcosa che non comprendono appieno. Spesso si presentano sotto forma di airdrop gratuiti, pagine di atterraggio di progetti falsi per collegare il tuo wallet o avvisi di sicurezza fraudolenti per controllare se sei stato colpito,” ha aggiunto.
Misure di Sicurezza e Vigilanza Necessaria
I fornitori di wallet hanno iniziato a implementare funzionalità protettive più avanzate. MetaMask, ad esempio, avverte gli utenti se un sito appare sospetto e cerca di tradurre i dati delle transazioni in un linguaggio comprensibile. Altri wallet evidenziano similmente azioni ad alto rischio. Tuttavia, i truffatori continuano ad adattarsi.
Harry Donnelly, fondatore e CEO di Circuit, ha dichiarato a Decrypt che gli attacchi in stile permesso sono “abbastanza diffusi” e ha esortato gli utenti a controllare gli indirizzi dei mittenti e i dettagli dei contratti. “Questo è il modo più chiaro per sapere se si tratta di un protocollo che non corrisponde a dove stai cercando di inviare i fondi; allora probabilmente è qualcuno che sta cercando di rubare fondi,” ha affermato. “Puoi controllare l’importo; spesso cercheranno di ottenere approvazioni illimitate in questo modo.”
Annison ha sottolineato che la vigilanza rimane la difesa più forte per gli utenti. “Il modo migliore per proteggerti da una truffa di permesso, approveAll o transferFrom è assicurarti di sapere cosa stai firmando. Quali azioni verranno effettivamente eseguite nella transazione? Quali funzioni vengono utilizzate? Queste corrispondono a ciò che pensavi di firmare?”
“Molti wallet e dApp hanno migliorato le interfacce utente per garantire che tu non stia firmando ciecamente qualcosa e possa vedere quali saranno i risultati, così come avvisi per funzioni ad alto rischio in uso. Tuttavia, è importante che gli utenti controllino attivamente cosa stanno firmando e non si limitino a collegare il proprio wallet e premere il pulsante di firma,” ha concluso.
Recupero dei Fondi: Un’Impresa Improbabile
Una volta rubati, il recupero dei fondi è improbabile. Martin Derka, co-fondatore e responsabile tecnico di Zircuit Finance, ha dichiarato a Decrypt che le possibilità di riottenere i fondi sono “praticamente zero.”
“Negli attacchi di phishing, hai a che fare con un individuo il cui obiettivo principale è prendere i tuoi fondi. Non c’è negoziazione, nessun punto di contatto e spesso nessuna idea di chi sia la controparte,” ha spiegato. “Questi attaccanti giocano un gioco di numeri,” ha aggiunto Derka, sottolineando che “una volta che il denaro è andato, è andato. Il recupero è essenzialmente impossibile.”
