Centinaia di portafogli EVM prosciugati da piccoli prelievi: ZachXBT avverte

Un attaccante ha prosciugato centinaia di portafogli di criptovalute su reti compatibili con Ethereum Virtual Machine (EVM), prelevando piccole somme da ciascuna vittima in quella che gli investigatori onchain hanno descritto come un’operazione estesa ma di basso valore unitario.

Le perdite per singolo portafoglio sembrano limitate, inferiori a 2.000 dollari ciascuna, secondo i report iniziali pubblicati dall’analista ZachXBT. L’attività ha interessato più reti compatibili con EVM, segnalando un episodio diffuso e non confinato a una singola blockchain.

Dettagli dell’attacco

Secondo i riscontri emersi dagli strumenti di analisi onchain, l’autore ha eseguito un numero elevato di transazioni successive, sottraendo piccole somme da ciascun conto compromesso per evitare di attirare eccessiva attenzione finanziaria su singole operazioni.

Alcuni ricercatori di sicurezza indicano come possibile vettore di compromissione una mail di phishing che riproduceva l’aspetto di comunicazioni ufficiali del wallet MetaMask, così da indurre gli utenti ad autorizzare transazioni o a installare componenti malevoli.

Vladimir S. ha segnalato come indizio la presenza di tracce lasciate da un utente pseudonimo sulla piattaforma X, che avrebbero suggerito il coinvolgimento di una campagna automatizzata di sfruttamento.

Hackless ha messo in guardia gli utenti invitandoli a revocare le approvazioni di smart contract non riconosciute e a continuare a monitorare i propri portafogli per attività sospette.

Hackless said:

“Sembra uno sfruttamento automatizzato a rete larga.”

Collegamento con il furto a Trust Wallet

Le indagini indicano un possibile legame tra questo episodio e l’attacco subito da Trust Wallet il giorno di Natale, nel quale furono sottratti circa 7 milioni di dollari e risultarono compromessi oltre 2.500 portafogli.

Secondo la ricostruzione pubblica, l’origine dell’intrusione su Trust Wallet sarebbe riconducibile a un attacco alla catena di fornitura denominato Sha1-Hulud, che a novembre ha compromesso pacchetti software su npm utilizzati nello sviluppo di applicazioni blockchain.

Da un repository su GitHub sarebbero fuoriusciti credenziali e “segreti” di sviluppo che hanno permesso all’attaccante di accedere al codice sorgente dell’estensione browser del wallet. L’autore avrebbe quindi pubblicato una versione malevola dell’estensione sul Chrome Web Store, spacciandola per l’originale.

In seguito all’incidente, la società proprietaria del wallet, controllata da Binance, ha dichiarato che l’estensione web per Google Chrome è stata l’obiettivo dell’attacco, mentre l’app mobile non è risultata compromessa; Binance si è impegnata a rimborsare gli utenti danneggiati.

Anndy Lian said:

“Questo tipo di ‘hack’ non è naturale. Le probabilità di un coinvolgimento interno sono elevate.”

Changpeng “CZ” Zhao, cofondatore di Binance, ha concordato che l’incidente potrebbe implicare la presenza di una figura interna con conoscenza approfondita del codice sorgente, aumentando così la probabilità di un attacco mirato e sofisticato.

Implicazioni e raccomandazioni per gli utenti

Questi eventi sottolineano la necessità, per i detentori di criptovalute, di adottare misure di sicurezza continue e multilivello per proteggere fondi e credenziali digitali contro minacce in evoluzione.

Tra le principali raccomandazioni tecniche e operative si segnalano: revocare immediatamente le approvazioni di smart contract sospette, utilizzare wallet hardware per conservare chiavi private, verificare sempre l’origine e la firma delle estensioni o delle applicazioni installate, e preferire il download da canali ufficiali verificati.

Per gli sviluppatori e le organizzazioni è fondamentale rafforzare la sicurezza della catena di fornitura: limitare l’esposizione dei segreti nei repository pubblici, impiegare controlli di accesso più rigorosi su GitHub, adottare l’analisi delle dipendenze su npm e implementare revisioni del codice e pratiche di gestione delle chiavi più severe.

Infine, le istituzioni del settore e i responsabili di progetto dovrebbero collaborare per definire standard più stringenti di cyberigiene e processi di certificazione delle estensioni browser e delle applicazioni, riducendo così il rischio di compromissione tramite vettori di supply chain.