Nuove minacce nel mondo delle criptovalute
Negli ultimi tempi, un nuovo metodo di truffa ha drenato oltre 300 milioni di dollari dagli utenti di criptovalute, sfruttando la fiducia su piattaforme come Telegram. Nel contempo, gli sviluppatori di Ethereum hanno rivelato che un bug di Prysm, precedentemente non rilevato e introdotto prima dell’aggiornamento Fusaka, ha causato un rallentamento temporaneo nella validazione il 4 dicembre, portando a slot mancati e ricompense perse, senza compromettere però la finalità della rete. Sebbene entrambi gli incidenti siano stati infine contenuti, evidenziano le numerose minacce alla sicurezza delle criptovalute.
La truffa su Zoom
L’organizzazione no-profit di cybersecurity Security Alliance (SEAL) ha emesso un nuovo avviso dopo aver rilevato numerosi tentativi di truffa quotidiani collegati a gruppi di hacker nordcoreani, che si avvalgono di falsi incontri su Zoom per compromettere le vittime. Secondo SEAL e il ricercatore di sicurezza Taylor Monahan, questa campagna ha già portato a oltre 300 milioni di dollari in fondi rubati, con utenti di criptovalute, sviluppatori e team di protocollo tra i principali obiettivi.
La truffa inizia generalmente su Telegram, dove una vittima viene contattata da un account che sembra appartenere a qualcuno che già conosce. Poiché l’account appare familiare, le vittime sono meno propense a sospettare. Dopo una conversazione informale, l’attaccante suggerisce di aggiornarsi tramite una chiamata Zoom. Prima dell’incontro, alla vittima viene inviato un link che sembra legittimo, ma è spesso mascherato o leggermente alterato.
Quando inizia la chiamata, la vittima vede filmati video reali della persona impersonata o dei loro presunti colleghi. Monahan ha spiegato che questi video non sono deepfake, ma registrazioni riciclate prese da hack passati o fonti pubblicamente disponibili come interviste o podcast, rendendo l’impostazione molto convincente.
Durante la chiamata, gli attaccanti fingono di avere problemi audio o tecnici e chiedono alla vittima di installare una patch o un aggiornamento per risolvere il problema. Quel file è la chiave dell’attacco: aprirlo installa malware sul dispositivo della vittima, concedendo agli hacker accesso a informazioni sensibili. Poco dopo, gli attaccanti interrompono bruscamente la chiamata, di solito affermando di dover riprogrammare, cercando di evitare di suscitare sospetti. Quando la vittima si rende conto che qualcosa non va, il suo dispositivo potrebbe già essere completamente compromesso.
Il malware consente agli attaccanti di rubare chiavi private, password, dati aziendali e accesso a app di messaggistica come Telegram. Il controllo degli account Telegram è particolarmente pericoloso, poiché gli hacker utilizzano quindi i contatti memorizzati per impersonare la vittima e mirare a amici, colleghi e partner commerciali.
Raccomandazioni per le vittime
Monahan ha consigliato che chiunque abbia cliccato su un link sospetto relativo a Zoom dovrebbe immediatamente disconnettersi dal WiFi e spegnere il dispositivo interessato. Utilizzando un dispositivo separato e non compromesso, le vittime dovrebbero:
- Spostare gli asset crittografici in nuovi portafogli
- Cambiare tutte le password
- Abilitare l’autenticazione a due fattori
- Proteggere il proprio account Telegram terminando tutte le altre sessioni e aggiornando le impostazioni di sicurezza
Si raccomanda un completo ripristino della memoria del dispositivo infetto prima di utilizzarlo nuovamente. Se un account Telegram è compromesso, le vittime dovrebbero avvisare urgentemente i propri contatti, poiché il silenzio aumenta la probabilità che amici e colleghi vengano truffati successivamente.
Problemi di validazione su Ethereum
Nel frattempo, gli sviluppatori di Prysm hanno confermato che un bug software introdotto prima dell’aggiornamento Fusaka di Ethereum era responsabile di un problema di validazione dei nodi che ha interrotto la rete all’inizio di questo mese. In un’analisi post-mortem pubblicata domenica, l sviluppatore di Ethereum Terence Tsao ha spiegato che l’incidente, avvenuto il 4 dicembre, derivava da un difetto che era stato distribuito alle testnet circa un mese prima che Fusaka andasse in diretta sulla mainnet.
Sebbene il bug esistesse negli ambienti di test, non era mai stato attivato prima dell’aggiornamento, consentendogli di raggiungere la produzione inosservato. Il problema è originato da una modifica specifica del codice di Prysm che alterava il modo in cui il client gestiva determinati casi limite riguardanti nodi fuori sincronia.
Quando il bug è stato attivato sulla mainnet, i nodi di Prysm hanno iniziato a sperimentare un grave esaurimento delle risorse durante l’elaborazione delle attestazioni. Invece di fare affidamento sullo stato attuale della catena, i nodi interessati hanno tentato di rigenerare stati più vecchi da zero.
Questo ha costretto Prysm a riprodurre blocchi storici di epoche e ricalcolare transizioni di stato computazionalmente costose, aumentando drammaticamente il carico di lavoro e degradando le prestazioni tra i validatori interessati. L’impatto è stato misurabile ma contenuto. Nel corso di oltre 42 epoche, Ethereum ha registrato un tasso di slot mancati elevato di circa il 18,5%, mentre la partecipazione dei validatori è scesa a circa il 75%. Prysm ha stimato che i validatori che eseguivano il suo client hanno collettivamente perso circa 382 Ether in ricompense di attestazione mancate durante l’interruzione.
Nonostante questi contrattempi, Ethereum ha continuato a operare senza una perdita totale di finalità, e la rete si è ripresa una volta che sono stati adottati i passi di mitigazione. Gli operatori dei nodi sono stati rapidamente istruiti ad applicare una soluzione temporanea mentre gli sviluppatori di Prysm lavoravano e rilasciavano una patch per affrontare permanentemente il problema.
La correzione ha garantito che Prysm non rigenerasse più inutilmente stati precedenti, eliminando l’eccessivo onere computazionale che ha causato il rallentamento. Gli sviluppatori hanno sottolineato che l’incidente avrebbe potuto essere molto più grave se avesse colpito il client di consenso dominante di Ethereum, Lighthouse. Prysm attualmente rappresenta circa il 17,6% della rete, rendendolo il secondo client più grande per quota.
Poiché nessun singolo client controllava più di un terzo dei validatori all’epoca, Ethereum ha evitato una perdita temporanea di finalità o fallimenti diffusi nella produzione di blocchi. L’episodio ha comunque riacceso preoccupazioni sulla concentrazione dei client, poiché Lighthouse rappresenta ancora più della metà del livello di consenso di Ethereum, lasciando la rete in una posizione scomoda vicino alla soglia in cui un bug di un singolo client potrebbe avere conseguenze sistemiche.
