Pochi giorni fa, l’applicazione decentralizzata non-KYC FixedFloat ha subito un attacco hack alla propria infrastruttura, tale da portare perdite per 26 milioni di dollari.
In totale, secondo la società di auditing e analisi blockchain PeckShield, sono stati rubati 1728 ETH e 409 BTC: parte del denaro è stato poi ripulito passando per mixer decentralizzati e transazioni coinjoin.
FixedFloat ha affermato che i fondi degli utenti sono al sicuro e che l’hack non ha compromesso la stabilità finanziaria dell’applicazione di scambio in crypto.
Tutti i dettagli di seguito.
Summary
Vulnerabilità alla struttura di FixedFloat: l’applicazione decentralizzata subisce un hack da 26 milioni di dollari in BTC ed ETH
Sabato 17 febbraio l’applicazione decentralizzata di scambi crittografici FixedFloat è stata vittima di un hack che ha causato perdite per 26 milioni di dollari in BTC ed ETH.
Tutto è iniziato quando diversi utenti hanno segnalato di aver riscontrato transazioni congelate e fondi mancanti sui propri account; subito dopo è stato scoperto dall’analisi on-chain che diversi milioni di dollari erano stati drainati su diversi wallet esterni non riconosciuti.
Sebbene ancora non sia ancora chiaro come sia avvenuto l’attacco, il team di FixedFloat al momento dell’icidente ha spiegato in maniera tempestiva che si è trattato di un “piccolo problema tecnico”.
Lo stesso ha reso noto che i fondi verranno rimborsati agli utenti della piattaforma e che l’hack non ha compromesso la stabilità finanziaria della società.
Ad ogni modo, al momento della stesura dell’articolo l’applicazione decentralizzata rimane inoperativa ed in modalità manutenzione, ma verrà riaperta in un futuro non specificato, non appena si avrà la certezza di essere sicura da utilizzare.
Ecco quanto riportato su X da Fixed FixedFloat a seguito dell’hack:
L’exchange decentralizzato è noto per i suoi servizi non-KYC, che non richiedono la registrazione sotto la classica procedura “Know Your Costumer”, permettendo un vantaggio competitivo lato privacy.
Offrendo la possibilità di risultare anonimo e consentendo transazioni in Bitcoin tramite Lightning Network ai propri clienti, FixedFloat ha attirato una vasta gamma di utenti provenienti dagli Stati Uniti.
In parte la caratteristica dell’anonimato e la mancanza di controllo interni ha favorito l’attacco hack del malintenzionato, che non ha dovuto fornire i suoi dati personali per accedere all’applicazione.
Secondo quanto riportato dalla società di sicurezza informatica ed analisi blockchain PeckShield il furto ammonta precisamente a 1728 ETH, per un valore di 4,85 milioni di dollari, e 409 BTC , per un valore di quasi 21 milioni di dollari.
Gran parte degli ether proveniente dall’hack sono già stati trasferiti su una vasta gamma di scambi decentralizzati presenti sulla blockchain di Ethereum.
FixedFloat ha riferito che stanno lavorando con le forze dell’ordine, società forensi blockchain e scambi di criptovaluta per rintracciare gli hacker, che non hanno ancora contattato l’exchange.
La società ha affermato che onorerà tutti i suoi obblighi di pagamento non appena riprenderà le operazioni e avrà la certezza che l’exchange sarà nuovamente sicuro da utilizzare.
Parte dei BTC rubati con l’hack sono stati riciclati tramite operazione coinjoin
Mentre gli ETH rubati dall’hack dell’applicazione decentralizzata FixedFloat sono stati spostati facilmente su decine di indirizzi differenti e fatti girare per la blockchain di Ethereum, i BTC che fanno parte dello stesso bottino stanno per essere riciclati con transazioni coinjoin.
Ricordiamo che coinjoin è una tipologia di operazione Bitcoin, teorizzata per la prima volta da Gregory Maxwell nel 2013, con cui vengono combinati diversi pagamenti in BTC in un’unica transazione, tale da rendere difficile determinare quale indirizzi abbia speso quale importo.
In maniera del tutto simile a quanto avviene con mixer decentralizzati come Tornado Cash, le transazioni coinjoin vengono unite tra di loro per effettuare un’unica transazione in una pool congiunta, dal quale poi i depositanti possono richiedere indietro i propri fondi “pulti” e anonimi.
Nel nostro caso l’hacker ha sfruttato una sorta di mixer che utilizza un metodo per aumentare la privacy simile a coinjoin, dove sono già stati scambiati diversi BTC.
In particolare possiamo affermare che secondo quanto spiegato da un ricercatore web3 su X, parte dei fondi rubati, per l’esattezza 2.7544 ВТС sono confluiti all’interno dell’indirizzo
34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA, il quale appartiene al CEX TradeOgre.
Questo denaro potrebbe rappresentare la commissione pagata dal malintenzionato per utilizzare il mixer, che sembrerebbe essere essere ricondotto all’applicazione Whirpool che implementa un sistema di privacy avanzato.
Si pensa che già 166 BTC dei 409 rubati all’applicazione decentralizzata FixedFloat siano passati per il mixer Whirpool.
Incidenti come questo sono all’ordine del giorno negli ambienti crittografici, specialmente su quelli non-KYC che proteggono in qualche modo l’anonimato degli hacker.
Secondo quanto evidenziato dalla società di ricerca on-chain forense Chainalysis, nonostante i numerosi incidenti registrati nel 2023 gli hack e gli exploit sono in calo rispetto all’anno precedente, dove c’era stato un boom di furti.
In totale il valore dei fondi hackerati è sceso di circa il 54,3% rispetto al 2022 con una somma rubata complessiva di circa 1,7 miliardi di dollari, che deriva principalmente da casi di hack su applicazioni DeFi.
