Super truffa Ethereum da 60 milioni di dollari: cosa è successo?
Quasi 100.000 utenti hanno subito truffe per un totale di 60 milioni di dollari in Ethereum
Secondo un recente report un gruppo di hacker ha trovato un modo per abusare una funzione della blockchain di Ethereum e indurre le vittime a inviare denaro a un indirizzo compromesso.
Secondo quanto segnalato da Scam Sniffer, negli ultimi sei mesi i criminali sono riusciti a ingannare quasi 100.000 persone sottraendo circa 60 milioni di dollari ai malcapitati.
Per farlo, gli hacker hanno utilizzato una funzione chiamata Create2, un opcode che consente agli utenti di prevedere l'indirizzo di un contratto prima che venga distribuito sulla rete Ethereum. In altre parole, gli hacker possono creare indirizzi temporanei per ogni singola transazione. Questi vengono confezionati ad hoc per sembrare molto simili agli indirizzi reali sui quali le vittime intendevano inviare i fondi. Lo schema è noto come "avvelenamento degli indirizzi".
Bypassare la sicurezza
La maggior parte degli utenti, prima di inviare fondi, fa due cose: 1) ricontrolla l'indirizzo del destinatario per assicurarsi di inviare il denaro al posto giusto; 2) invia una piccola transazione per assicurarsi che tutto funzioni prima di inviare i fondi rimanenti. Tuttavia, poiché gli indirizzi sono una lunga stringa di caratteri apparentemente casuali, la maggior parte degli utenti si limita a controllare i primi e gli ultimi caratteri, invece di confrontare l'intera stringa.
Creando un indirizzo che differisce solo per pochi caratteri, gli aggressori sono riusciti a imbrogliare un gran numero di utenti. Tuttavia, rimane ancora il secondo punto: la transazione di prova. A quanto pare. i criminali sono riusciti ad aggirare il problema inoltrando la transazione di prova all'indirizzo reale.
Gli indirizzi sosia non appartengono direttamente a un portafoglio controllato dai truffatori, ma si basano su un "contratto intelligente" che trasferisce i fondi alla destinazione finale. I ricercatori hanno dichiarato di aver osservato diversi casi di frode che hanno sfruttato Create2, e in particolare quello di una vittima che ha perso circa 1,6 milioni di dollari.
Fonte: BleepingComputer
Sei un professionista? Iscriviti alla nostra Newsletter
Iscriviti alla newsletter di Techradar Pro per ricevere tutte le ultime notizie, opinioni, editoriali e guide per il successo della tua impresa!
Marco Silvestri è un Senior Editor di Techradar Italia dal 2020. Appassionato di fotografia e gaming, ha assemblato il suo primo PC all'età di 12 anni e, da allora, ha sempre seguito con passione l'evoluzione del settore tecnologico. Quando non è impegnato a scrivere guide all'acquisto e notizie per Techradar passa il suo tempo sulla tavola da skate, dietro la lente della sua fotocamera o a scarpinare tra le vette del Gran Sasso.