Un hacker ha rubato oltre 440.000 dollari<\/strong> in USDC dopo che un proprietario di wallet ha firmato inconsapevolmente una richiesta di “permesso” malevola, secondo un tweet di luned\u00ec di Scam Sniffer<\/em>. Questo furto si inserisce in un contesto di crescente preoccupazione per le perdite da phishing. A novembre, circa 7,77 milioni di dollari<\/strong> sono stati sottratti a oltre 6.000 vittime<\/strong>, come riportato nel rapporto mensile di Scam Sniffer, che evidenzia un aumento del 137%<\/strong> delle perdite totali rispetto a ottobre, nonostante il numero di vittime sia diminuito del 42%<\/strong>.<\/p>\n “La caccia alle balene si \u00e8 intensificata, con un colpo massimo di 1,22 milioni di dollari<\/strong> (firma di permesso). Anche se il numero di attacchi \u00e8 diminuito, le perdite individuali sono cresciute significativamente,” ha osservato l’azienda. Le truffe basate su permessi mirano a ingannare gli utenti affinch\u00e9 firmino una transazione che sembra legittima, ma che in realt\u00e0 concede silenziosamente a un attaccante il diritto di spendere i loro token. Le dApp malevole possono mascherare campi, falsificare nomi di contratti o presentare la richiesta di firma come qualcosa di routine.<\/p>\n Se un utente non esamina i dettagli, firmare la richiesta concede effettivamente all’attaccante il permesso di accedere a tutti i token ERC-20 dell’utente. Una volta concesso, i truffatori drenano tipicamente i fondi immediatamente. Questo metodo sfrutta la funzione di permesso di Ethereum, progettata per semplificare i trasferimenti di token consentendo agli utenti di delegare i diritti di spesa a applicazioni fidate. Tuttavia, questa comodit\u00e0 diventa una vulnerabilit\u00e0 quando tali diritti vengono concessi a un attaccante.<\/p>\n “Ci\u00f2 che \u00e8 particolarmente insidioso riguardo a questo tipo di attacco \u00e8 che gli attaccanti possono condurre sia il permesso che il trasferimento di token in una sola transazione (un approccio di tipo smash and grab), oppure potrebbero ottenere accesso tramite il permesso e poi rimanere inattivi in attesa di trasferire eventuali fondi aggiunti successivamente (purch\u00e9 impostino una scadenza di accesso adeguatamente lontana all’interno dei metadati della funzione di permesso),” ha dichiarato Tara Annison, responsabile del prodotto di Twinstake, a Decrypt.\n<\/p>\n<\/blockquote>\n “Il successo di questi tipi di truffe si basa sul fatto che firmi qualcosa di cui non realizzi completamente le conseguenze,” ha aggiunto, sottolineando che “\u00e8 tutto legato alla vulnerabilit\u00e0 umana e all’approfittare della fretta delle persone.” Annison ha anche evidenziato che questo incidente non \u00e8 isolato. “Ci sono molti esempi di truffe di phishing di alto valore e volume progettati per ingannare gli utenti a firmare qualcosa che non comprendono appieno. Spesso si presentano sotto forma di airdrop gratuiti, pagine di atterraggio di progetti falsi per collegare il tuo wallet o avvisi di sicurezza fraudolenti per controllare se sei stato colpito,” ha aggiunto.<\/p>\n I fornitori di wallet hanno iniziato a implementare funzionalit\u00e0 protettive pi\u00f9 avanzate. MetaMask, ad esempio, avverte gli utenti se un sito appare sospetto e cerca di tradurre i dati delle transazioni in un linguaggio comprensibile. Altri wallet evidenziano similmente azioni ad alto rischio. Tuttavia, i truffatori continuano ad adattarsi.<\/p>\n Harry Donnelly, fondatore e CEO di Circuit, ha dichiarato a Decrypt che gli attacchi in stile permesso sono “abbastanza diffusi” e ha esortato gli utenti a controllare gli indirizzi dei mittenti e i dettagli dei contratti. “Questo \u00e8 il modo pi\u00f9 chiaro per sapere se si tratta di un protocollo che non corrisponde a dove stai cercando di inviare i fondi; allora probabilmente \u00e8 qualcuno che sta cercando di rubare fondi,” ha affermato. “Puoi controllare l’importo; spesso cercheranno di ottenere approvazioni illimitate in questo modo.”\n<\/p>\n<\/blockquote>\n Annison ha sottolineato che la vigilanza rimane la difesa pi\u00f9 forte per gli utenti. “Il modo migliore per proteggerti da una truffa di permesso, approveAll o transferFrom \u00e8 assicurarti di sapere cosa stai firmando. Quali azioni verranno effettivamente eseguite nella transazione? Quali funzioni vengono utilizzate? Queste corrispondono a ci\u00f2 che pensavi di firmare?”<\/p>\n “Molti wallet e dApp hanno migliorato le interfacce utente per garantire che tu non stia firmando ciecamente qualcosa e possa vedere quali saranno i risultati, cos\u00ec come avvisi per funzioni ad alto rischio in uso. Tuttavia, \u00e8 importante che gli utenti controllino attivamente cosa stanno firmando e non si limitino a collegare il proprio wallet e premere il pulsante di firma,” ha concluso.<\/p>\n Una volta rubati, il recupero dei fondi \u00e8 improbabile. Martin Derka, co-fondatore e responsabile tecnico di Zircuit Finance, ha dichiarato a Decrypt che le possibilit\u00e0 di riottenere i fondi sono “praticamente zero.”<\/p>\n “Negli attacchi di phishing, hai a che fare con un individuo il cui obiettivo principale \u00e8 prendere i tuoi fondi. Non c’\u00e8 negoziazione, nessun punto di contatto e spesso nessuna idea di chi sia la controparte,” ha spiegato. “Questi attaccanti giocano un gioco di numeri,” ha aggiunto Derka, sottolineando che “una volta che il denaro \u00e8 andato, \u00e8 andato. Il recupero \u00e8 essenzialmente impossibile.”\n<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":" Furto di USDC e Crescente Preoccupazione per il Phishing Un hacker ha rubato oltre 440.000 dollari in USDC dopo che un proprietario di wallet ha firmato inconsapevolmente una richiesta di “permesso” malevola, secondo un tweet di luned\u00ec di Scam Sniffer. Questo furto si inserisce in un contesto di crescente preoccupazione per le perdite da phishing. A novembre, circa 7,77 milioni di dollari sono stati sottratti a oltre 6.000 vittime, come riportato nel rapporto mensile di Scam Sniffer, che evidenzia un aumento del 137% delle perdite totali rispetto a ottobre, nonostante il numero di vittime sia diminuito del 42%. La Caccia<\/p>\n","protected":false},"author":3,"featured_media":11903,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[9373,13,65,9374,272,7762,77],"class_list":["post-11904","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-circuit","tag-ethereum","tag-hack","tag-harry-donnelly","tag-metamask","tag-scam-sniffer","tag-usdc"],"yoast_description":"Scopri l'aumento delle truffe di permesso su Ethereum, dove gli hacker sfruttano le firme degli utenti per rubare fondi, portando a significative perdite finanziarie.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/11904","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/comments?post=11904"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/11904\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media\/11903"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media?parent=11904"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/categories?post=11904"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/tags?post=11904"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}La Caccia alle Balene e le Truffe Basate su Permessi<\/h2>\n
\n
Misure di Sicurezza e Vigilanza Necessaria<\/h2>\n
\n
Recupero dei Fondi: Un’Impresa Improbabile<\/h2>\n
\n