Venerdì 3 maggio, un hacker otteneva illegittimamente oltre 70 milioni di dollari in Bitcoin al suo wallet grazie ad un tentativo ben riuscito di “address poisoning” ai danni di una whale.
La vittima, che aveva inviato per sbaglio 1.155 WBTC ad un indirizzo simile al suo, ha negoziato per giorni con il truffatore con messaggi on-chain e su Telegram, offrendo un bounty del 10%.
Alla fine, dopo un paio di giorni l’hacker ha restituito gran parte dei Bitcoin rubati, utilizzando tuttavia la valuta ether come rimborso.
Vediamo tutti i dettagli di seguito.
Summary
Hacker ottiene 70 milioni di dollari in Bitcoin tramite attacco “address poisoning” ai danni del wallet di una whale
Secondo quanto riportato in data 3 maggio 2024 dalla società di sicurezza crittografica CertiK, un utente sfortunato avrebbe inviato per sbaglio una somma in Bitcoin pari a circa 70 milioni di dollari al wallet di un hacker.
La whale in questione è stata vittima di un attacco “address poisoning”, ovvero una branca delle tecniche di phishing che consiste nell’inviare transazioni legittime alla vittima utilizzando un indirizzo molto simile (con i primi e gli ultimi sei caratteri identici) al suo.
In totale la perdita ammonta a 1.155 Wrapped Bitcoin (WBTC)
Tutto è iniziato il 2 maggio, quando il milionario ha convertito 29,6 milioni di DAI in 502 WBTC, aumentando significativamente il suo bilancio in Bitcoin, per poi iniziare a trasferire il tutto in un nuovo wallet per ovvie ragioni di sicurezza.
L’utente ha inviato 0,05 ETH al nuovo wallet, come transazione di test e per finanziare le gas fee (siamo su rete Ethereum), quando pochi minuti dopo l’hacker, accorgendosi del movimento on-chain, invia una una transazione con 0 ETH alla vittima utilizzando l’indirizzo “avvelenato”.
Spesso nel mondo crypto molti individui, per spostare fondi da un wallet all’altro, sono soliti a copiare e incollare l’indirizzo dallo storico delle transazioni, controllando solo che la parte iniziale e finale coincida nel momento dell’invio dei fondi
Allo stesso tempo molti provider di portafogli omettono la parte centrale di un indirizzo nello storico per ragione di estetica dell’UI.
L’errore della whale, indotto artificialmente dall’hacker grazie a questa semplice ma allo stesso tempo efficace tecnica di phishing, gli è costato molto caro.
Alle 12:31 del 3 maggio, l’utente sfortunato perde ufficialmente 1.155 WBTC copiando l’indirizzo sbagliato e inviando la fortuna milionaria in Bitcoin ad un portafoglio non controllato da lui stesso.
Possiamo solo immaginare la sua frustrazione nel momento in cui si è accorto dello sbaglio, tanto banale quanto determinante.
Di seguito i dettagli della transazione riportati da Etherscan:
Le negoziazioni on-chain tra hacker e vittima
Subito dopo aver rilevato l’errore della vittima, l’hacker ha tentato di ripulire le proprie tracce frammentando il bottino in Bitcoin.
Inizialmente i 1.155 WBTC sono stati inviati separatamente a 8 differenti wallet, con lotti compresi tra i 122 e le 186 monete, per poi essere ulteriormente divisi e sparsi su decine di portafogli crittografici.
L’intero importo rubato è stato poi convertito in ETH, potenzialmente per essere inviato a mixer decentralizzati come Tornado Cash.
La whale derubata ha provato subito a mettersi in contatto con l’hacker inviando transazioni vuote al suo indirizzo con delle note al suo interno.
Il primo messaggio, che rompe il ghiaccio con l’espressione “you won bro”, è stato inviato il 4 maggio alle ore 07:02 AM UTC, appena un giorno dopo l’incidente.
Nel messaggio la vittima propone all’hacker di tenersi un 10% come bounty, invitando a restituire il 90%.
Il giorno seguente proseguono le contrattazioni con la vittima che esorta il suo aggressore a restituire i fondi. Ecco come cita:
“Hai 24 ore fino alle 10 AM UTC del 6 maggio 2024 per prendere una decisione che, in ogni caso, ti cambierà la vita”
In un comunicato stampa, Andrei Kutin il CEO di Match Systems, la società di sicurezza informatica blockchain, ha rivendicato il merito delle operazioni insieme allo scambio Cryptex, per aver partecipato alle trattative con l’attaccante che il 5 maggio ha contattato la vittima chiedendo il suo nickname di Telegram.
L’hacker restituisce la maggioranza dei fondi in ETH dopo aver provato a far perdere le tracce
Le negoziazioni sono proseguite su Telegram, verosimilmente per circa 5 giorni. prima che l’hacker iniziasse a restituire l’importo rubato in Bitcoin con centinaia di transazioni differenti, di cui la prima avviata in data 10 maggio alle ore 8:47 AM UTC.
Il giorno successivo, sono state effettuate oltre 225 transazioni di portafogli da vari account per inviare ETH all’indirizzo della vittima. Il valore di ciascuna transazione variava da 29 a 67 ETH.
In totale l’hacker ha rispedito un totale di 22.960 ETH, per un controvalore di circa 69,7 milioni di dollari al momento delle transazioni.
Sembra dunque che alla fine il malvivente abbia restituito più del 90% inizialmente pattuito.
Probabilmente nella fase delle negoziazioni è emerso che l’hacker non era riuscito a far perdere completamente le proprie tracce, mentre la società di sicurezza informatica Match Systems iniziava a rafforzare la propria posizione.
In un rapporto di Match Systems, la piattaforma affermava che gli esperti di sicurezza stavano facendo progressi per identificare chi fosse l’attaccante. Ha dichiarato:
“Il team di Match Systems ha condotto un’analisi dettagliata dell’incidente e ha identificato diverse opportunità per rafforzare la posizione negoziale per la successiva comunicazione con l’attaccante. A seguito di trattative con l’attaccante, condotte con la partecipazione dell’agenzia per la sicurezza informatica Match Systems […] e lo scambio di criptovaluta Cryptex […], l’hacker ha restituito l’intero importo rubato di 22.960 ETH alla vittima. Al momento, la vittima non ha lamentele contro l’attaccante.“
Tutto è bene quel che finisce bene. Fate sempre attenzione quando trasferite i vostri Bitcoin on-chain e ricontrollate per intero l’indirizzo del wallet a cui state inviando i fondi.