Convex: maggiori info sull’hack
Convex: maggiori info sull’hack
Sicurezza

Convex: maggiori info sull’hack

By Martina Canzani - 24 Giu 2022

Chevron down
Ascolta qui
download

Su Convex Finance, tutto ha avuto inizio ieri sera, intorno alle 20.00 GMT.

L’hack avvenuto ai danni della piattaforma DeFi Convex Finance

La segnalazione è arrivata da Twitter, da un membro del core team di PieDAO, noto progetto DeFi che si occupa di fondi tokenizzati.

L’utente durante un’operazione si è accorto che il sito web di Convex lo stava portando ad utilizzare un contratto non verificato, che poi si è rivelato maligno.

Parte così subito il tweet di segnalazione, per allertare il team del protocollo in questione e cercare di fare chiarezza sulla questione.

Il contratto risultava particolarmente sospetto poiché non era verificato, era stato creato da poco e le quattro lettere iniziali e finali erano le stesse.

Questo ricorda che, per non correre rischi, è assolutamente necessario verificare l’intero address, ogni singola lettera, non solo l’inizio e la fine.

È bene ricordare l’importanza di questo passaggio, prima di approvare una transazione, poiché gli attacchi più pericolosi sono proprio quelli che utilizzano dei vanity address, cioè address molto simili a quelli reali ma che in realtà sono scam a tutti gli effetti.

Un attacco che sfrutta quindi la disattenzione delle persone!

L’intervento del team convex insieme ad importanti auditor del panorama crypto 

La segnalazione ha attirato subito l’attenzione di una serie di importanti security researcher, tra cui il noto SamCzsun.

Il team di Convex e gli auditor hanno iniziato così ad indagare sulla fonte e sull’entità del problema.

Convex ha poi subito rassicurato la community spiegando che i contratti ufficiali del protocollo non erano in pericolo, ma che la questione riguardava solo gli address che avevano approvato, erroneamente, quel contratto. Gli address fortunatamente risultavano essere solamente 5.

La prima segnalazione ha, però, dato il via ad una serie di controlli che hanno portato a rintracciare almeno altri 10 contratti maligni come quello.

Al momento della stesura, il bilancio di ciò che l’hacker è riuscito a rubare è di circa 220 ETH.

Ribbon Finance sembra aver subito lo stesso attacco

Le analisi sono ancora in corso. Purtroppo sembra che l’hacker non avesse preso di mira solo la piattaforma Convex, ma anche Ribbon finance.

Semplici accorgimenti per minimizzare la possibilità di essere hackerati

  • Utilizzare un hardware wallet e idealmente avere un pc solo per gestire le proprie posizioni in crypto;
  • Cercare di interagire solo con protocolli che nel tempo hanno dimostrato di essere trusted;
  • Usare tutti gli strumenti intenzionalmente, avendo prima capito e appreso il loro funzionamento.;
  • Avere una preparazione tecnica, evitando di sfruttare i prodotti DeFi in auto pilot, è forse una delle armi più potenti che tutti abbiamo a disposizione. 

DeFi offre opportunità incredibili, ma per sua natura richiede che i propri utenti siano consapevoli di ciò che fanno in questo mondo. Dobbiamo ricordarci che  ognuno è responsabile dei propri soldi – “Be smart, know what you are doing”.

Approvare un contratto è una delle cose più pericolose quindi è necessario che l’utente faccia i dovuti controlli prima di finalizzare l’operazione.

È bene, anzi d’obbligo, controllare la documentazione ufficiale del protocollo che si sta usando.

Se un contratto non è verificato ed è stato creato da pochi giorni è generalmente un cattivo segno, un grande campanello d’allarme.

Alexintosh, l’utente che ha dato il via a questa cascata di segnalazioni, conclude l’intervista dicendo: 

“Bisogna capire che DeFi è un pvp world (tutti contro tutti) ed è quindi necessario studiare come meglio proteggersi dagli altri utenti, da potenziali hacker nel sistema”.

Martina Canzani

Laureata in Legge all'Università degli Studi di Milano. Concluso il percorso accademico ha iniziato ad interessarsi al mondo della blockchain, trovando in quest'ultimo un potente strumento di riscatto. La passione si è poi trasformata in lavoro, ora infatti investe in progetti early-stage di finanza decentralizzata e DAO e scrive articoli raccontando tutte le news riguardanti il mondo crypto.

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.