Vittima offre taglia da 1 milione di dollari e minaccia azioni legali dopo il furto di 50 milioni in criptovalute

Un utente di criptovalute ha perso circa 50 milioni di USDT a seguito di un attacco onchain basato su un meccanismo noto come address poisoning, rilevato da esperti di sicurezza blockchain.

Secondo le ricostruzioni, la vittima aveva inviato una transazione di prova da 50 dollari per verificare l’indirizzo di destinazione prima di trasferire il resto dei fondi. In pochi minuti un malintenzionato ha creato un indirizzo molto simile a quello previsto, riproducendone i primi e gli ultimi caratteri per sfruttare le abbreviazioni mostrate dalle interfacce dei portafogli.

Il truffatore ha quindi inviato alla vittima una piccola somma di “dust” per contaminare lo storico delle transazioni. Convinta che l’indirizzo fosse corretto, la vittima ha copiato l’indirizzo dalla cronologia e ha trasferito per errore 49.999.950 USDT all’account dell’attaccante.

Queste micro-transazioni vengono spesso inviate a indirizzi con grandi giacenze proprio per introdurre errori di copia-incolla nella cronologia delle transazioni; i bot che compiono tali operazioni sparano su ampia scala nella speranza di qualche successo, come avvenuto in questo caso.

I fondi rubati sono stati rapidamente convertiti in ether (ETH) e spostati attraverso numerosi portafogli. Alcuni indirizzi coinvolti hanno successivamente interagito con Tornado Cash, un servizio di mixing di criptovalute soggetto a sanzioni, nel tentativo di offuscare le tracce.

La vittima ha quindi pubblicato un messaggio onchain richiedendo la restituzione del 98% dei fondi sottratti entro 48 ore, accompagnando la richiesta con minacce di azioni legali e offrendo un premio di recupero di 1 milione di dollari come incentivo in stile white-hat se gli asset fossero stati restituiti integralmente.

La vittima ha dichiarato:

“Questa è la vostra ultima opportunità per risolvere la questione pacificamente. Se non vi conformate: procederemo con l’escalation attraverso canali legali e le forze dell’ordine internazionali.”

Come funziona l’address poisoning

L’address poisoning non sfrutta vulnerabilità nel codice o nella crittografia, ma si basa su abitudini degli utenti e limiti delle interfacce utente dei portafogli. Molti wallet mostrano solo prefisso e suffisso degli indirizzi, inducendo a fidarsi di una corrispondenza parziale; i malintenzionati replicano quegli stessi segmenti estremi per creare indirizzi quasi identici.

I passaggi tipici dell’attacco includono la generazione automatica di numerosi indirizzi simili, l’invio di micro-bilanci (dust) all’indirizzo della vittima per contaminare la cronologia e quindi l’attesa che l’utente copi l’indirizzo dalla propria lista delle transazioni, commettendo così l’errore fatale.

Impatto e difficoltà investigative

Una volta che i fondi vengono convertiti e distribuiti su più wallet, la traccia diventa più difficile da seguire. L’interazione con servizi di mixing come Tornado Cash complica ulteriormente le analisi forensi onchain, soprattutto quando tali servizi sono stati utilizzati per anni da criminali per nascondere flussi finanziari.

Le opzioni per il recupero sono limitate: segnalazione alle autorità competenti, coordinamento con exchange che potrebbero ricevere i fondi e il lavoro di società di analytics blockchain per monitorare movimenti sospetti. Anche così, il recupero totale resta incerto e spesso richiede procedure legali internazionali complesse.

Consigli pratici per prevenire truffe simili

Per ridurre il rischio di cadere in attacchi di address poisoning si raccomanda di adottare pratiche di sicurezza semplici ma efficaci: verificare sempre l’intero indirizzo (non fidarsi solo di prefisso e suffisso), utilizzare funzionalità di checksum per gli indirizzi Ethereum (EIP-55), e preferire portafogli che mostrino l’indirizzo completo o che supportino nomi leggibili (es. ENS).

Altre misure utili includono: salvare indirizzi affidabili nella rubrica del wallet, utilizzare portafogli hardware per trasferimenti importanti, scansionare codici QR quando possibile, evitare di copiare indirizzi dalla cronologia delle transazioni e impostare autorizzazioni di limite o approvazione per smart contract quando si interagisce con applicazioni decentralizzate.

In caso di furto, è opportuno raccogliere evidenze onchain, contattare gli exchange sospettati di aver ricevuto i fondi e rivolgersi a professionisti della sicurezza blockchain e alle forze dell’ordine competenti per avviare eventuali procedimenti di recupero o indagine.