Un investitore di lungo corso denuncia il furto di token per 3 milioni di dollari dal suo cold wallet

Un pensionato americano afferma che più di 3 milioni di dollari in XRP sono scomparsi dopo aver controllato l’app mobile di Ellipal il 15 ottobre, scoprendo che il suo saldo era completamente azzerato. Questa scoperta ha innescato un’indagine di tracciamento on-chain condotta dall’analista pseudonimo ZackXBT. Non è stata effettuata una verifica indipendente da parte di CoinDesk sull’identità dell’investitore, sui saldi o sull’intero percorso on-chain dei fondi.

La testimonianza proviene da diversi video pubblicati su YouTube a partire dal 15 ottobre, dalla dichiarazione pubblica di Ellipal del 18 ottobre e dal thread di ZackXBT pubblicato su X il 19 ottobre.

Cosa racconta la vittima

L’investitore, che si identifica come Brandon, afferma di vivere in North Carolina, ha 54 anni e che la moglie, 60 anni, è anch’essa in pensione. Secondo quanto riferito, la sua posizione in XRP rappresentava quasi tutti i risparmi per la pensione della coppia, i quali avevano programmato di acquistare una casa a Las Vegas. Brandon ha accumulato XRP sin dal 2017 e aveva in precedenza detenuto una quantità maggiore, vendendone parte per coprire le spese quotidiane.

Attraverso i suoi video su YouTube, ha descritto di aver scoperto il furto controllando l’app Ellipal mercoledì 15 ottobre mentre ha poi determinato che il prelievo fraudolento era avvenuto la domenica precedente, 12 ottobre. Ha dettagliato due prelievi di prova da 10 XRP ciascuno intorno alle 11:15 del mattino (ora Eastern), seguiti da un trasferimento di circa 1.209.990 XRP verso un indirizzo appena creato. Da lì, si è assistito a una distribuzione veloce su dozzine di portafogli, successivamente diluiti in centinaia.

Brandon ha inoltre precisato che sono rimasti piccoli saldi di altri asset, tra cui circa 1.000 dollari in XLM e 900 dollari in FLR. Ha segnalato l’accaduto all’Internet Crime Complaint Center dell’FBI e contattato le autorità locali, riscontrando tuttavia difficoltà nel raggiungere tempestivamente unità specializzate in crimini informatici. Non è al momento chiaro come esattamente i fondi siano stati sottratti dal cosiddetto hot wallet.

La spiegazione di Ellipal e la confusione tra cold e hot wallet

Ellipal ha dichiarato il 18 ottobre che la sua revisione interna ha evidenziato come l’utente avesse importato la frase seed del suo hardware wallet direttamente nell’app mobile Ellipal. Questo avrebbe ricreato il portafoglio su un dispositivo connesso a internet, compromettendo la sicurezza.

In una comunicazione via email inviata a Brandon, Ellipal ha spiegato che l’utilizzo della frase seed di un wallet freddo (cold wallet) su uno smartphone o tablet comporta la memorizzazione sia della seed che delle chiavi private sul dispositivo, trasformandolo di fatto in un hot wallet, con un crollo significativo della sicurezza.

Brandon ha aggiunto di aver usato l’app di Ellipal sia su un iPhone sia su un iPad. Ha osservato che l’app iPhone mostrava uno sfondo blu, indicativo per Ellipal di una connessione a un cold wallet, mentre sull’iPad appariva uno sfondo arancione, segnale che indicava un hot wallet.

Ellipal ha sottolineato che i propri dispositivi hardware sono progettati con sistemi air-gapped e che non risultano furti originati direttamente dall’hardware in sé. L’azienda ritiene che si tratti di un errore dell’utente, anche se questa spiegazione non chiarisce completamente come si sia verificata la compromissione.

Dove sono finiti i fondi secondo l’indagine di ZackXBT

Nel thread pubblicato il 19 ottobre, ZackXBT ha affermato di aver identificato l’indirizzo coinvolto nel furto incrociando tempi e somme presenti nei video. Secondo l’analisi, l’attaccante avrebbe creato oltre 120 ordini di conversione da Ripple a Tron il 12 ottobre attraverso Bridgers, un servizio di swap precedentemente noto come SWFT.

Ha evidenziato che alcuni esploratori di blocchi etichettano questi passaggi come effettuati tramite “Binance”, poiché Bridgers utilizza l’exchange per la liquidità. I fondi sarebbero stati consolidati su Tron in un portafoglio con l’indirizzo TGF3hP5GeUPKaRJeWKpvF2PVVCMrfe2bYw e, entro il 15 ottobre, distribuiti a broker over-the-counter vicini a Huione, un mercato online situato nel Sud-Est asiatico, già coinvolto in azioni pubbliche da parte delle autorità statunitensi.

Non è stata effettuata una verifica indipendente per confermare l’intero tracciamento o l’effettivo destinatario finale dei fondi.

Probabilità di recupero e consigli per gli utenti

ZackXBT ha messo in guardia dal fatto che la maggior parte delle società di recupero fondi si comporta in modo predatorio, producendo spesso rapporti superficiali e applicando tariffe elevate. Ha suggerito che la segnalazione tempestiva alle autorità credibili e alle piattaforme conformi può aumentare le possibilità di blocco o congelamento dei fondi, ma il recupero rimane un evento raro quando le criptovalute sono già passate attraverso swap cross-chain e canali OTC.

La lezione principale per gli investitori è chiara: se la finalità è la conservazione a freddo, non si deve mai inserire la frase seed dell’hardware wallet in app mobili o desktop. È preferibile utilizzare una seed distinta per qualunque hot wallet, accompagnata da una passphrase BIP39 per una protezione ulteriore dei wallet cold di alto valore.

Brandon ha detto che la perdita ha azzerato i piani pensionistici della coppia. Ha condiviso la sua esperienza per mettere in guardia altri investitori e cercare consigli, pur riconoscendo che le possibilità di recupero dei fondi sono basse.