🚨 Hack di circa 15 milioni di dollari... e la causa non era una vulnerabilità complessa nella blockchain, ma un errore di fiducia e revisione umana!
Il progetto della valuta #gua ha subito un grave hack che ha portato al furto di circa 14,98 milioni di token GUA, valutati circa 15,2 milioni di dollari al momento dell'incidente.
L'attaccante non si è limitato a rubare, ma ha venduto l'intera quantità direttamente sulla rete (On-Chain), causando un crollo rapido e violento nel prezzo della valuta, poi ha convertito il ricavato in 2,784 ETH e li ha distribuiti su diversi wallet.
Il interessante della storia è che l'attacco non si basava su una rottura della crittografia o su una violazione della blockchain stessa.
Secondo le informazioni circolate, l'attaccante ha sfruttato una combinazione di:
• Manipolazione dell'interfaccia utente (UI Tampering)
• E errore umano durante la revisione degli indirizzi
Come ha avuto successo l'attacco?
L'attaccante ha utilizzato potenti capacità di calcolo per creare un numero enorme di indirizzi wallet, fino a ottenere un indirizzo che somigliava molto a quello del legittimo Airdrop.
L'indirizzo legittimo:
0x70ae...5c15
Indirizzo del wallet malevolo:
0x70AE...5C15
Il problema è che alcune revisioni si basavano solo sul controllo delle prime e ultime lettere dell'indirizzo, invece di una verifica completa.
E una volta che la transazione ha ottenuto le firme necessarie all'interno del sistema Multi-Signature, gli asset sono stati inviati all'indirizzo dell'attaccante in modo definitivo e irreversibile.
La lezione di sicurezza qui è molto importante:
Nel mondo delle criptovalute, fare affidamento su:
✔ Prime 4 lettere
✔ E ultime 4 lettere
Controllare gli indirizzi non è più sufficiente.
Gli attaccanti sono diventati capaci di generare indirizzi simili visivamente per ingannare gli utenti e persino i team di lavoro professionali.
Come si può ridurre questo tipo di rischio?
• Controllare l'indirizzo completamente prima di firmare
• Usare un Address Book affidabile per indirizzi sensibili
• Revisionare le transazioni da parte di più persone in modo indipendente
• Utilizzare strumenti che mostrano chiaramente le differenze tra gli indirizzi
• Non fare affidamento solo su un'ispezione visiva rapida
L'incidente ci ricorda un fatto importante:
A volte le maggiori perdite nel mondo del Crypto non si verificano a causa di una complessa vulnerabilità tecnica...
ma a causa di pochi secondi di fretta durante la revisione.
#CyberSecurity #CryptoSecurity #Blockchain #Ethereum #InfoSec #Web3
