Criptovaluta.it® Ultime Notizie Bitcoin e Crypto News | Criptovalute Oggi
Pochi giorni fa un “povero” utente ha perso la bellezza di $50 milioni in USDT a causa di un banalissimo errore di copia ed incolla mentre inviava la somma ad un altro indirizzo. Quello della sicurezza nel mondo crypto è, ancora oggi, a distanza di oltre un decennio dallo sviluppo di questa tecnologia, uno dei temi più delicati e spietati di cui possiamo discutere.
Basta un solo errore, e sei fritto. Puoi perdere in un secondo tutto ciò che hai costruito negli anni con tanti sforzi e duro lavoro. Questo è, purtroppo, uno dei trade-off ancora irrisolti di un sistema trustless, in cui puoi scambiare denaro senza intermediari e senza limiti, dove però non esistono tutele ed ogni responsabilità ricade interamente sull’utente finale.
Ad ogni modo, per quanto questo “problema” non potrà mai essere superato del tutto, la buona notizia è che il rischio può essere drasticamente ridotto. Nella pratica, bastano due fattori fondamentali per evitare di incorrere in danni irreparabili: prevenzione e calma. Vi spieghiamo il perchè in questo approfondimento.
Address Poisoning crypto: una trappola che colpisce quando abbassi la guardia
Il caso che abbiamo citato in apertura, quello dell’utente che ha perso $50 milioni per un errore di trasferimento, è un esempio perfetto di quanto operare nel settore crypto richieda sempre una buona dose di attenzione. Quanto accaduto è frutto di un attacco chiamato Address Poisoning, una minaccia spesso sottovalutata degli utenti, che mira a sfruttare le disattenzioni degli operatori.
Come funziona? Non è in realtà qualcosa di estremamente complesso. Semplicemente ci sono alcuni truffatori che sfruttano degli strumenti specializzati per creare degli indirizzi (vanity address) che sembrano molto simili a quelli di altri utenti che vogliono colpire, solitamente quelli che sono spesso attivi on-chain e che hanno una buona disponibilità. Il software genera degli indirizzi che abbiano i primi e gli ultimi caratteri identici, con ovviamente la parte centrale della stringa, per forza di cose, diversa.
A questo punto, gli aggressori monitorano la cronologia della propria preda e inviano piccole transazioni subito dopo un’operazione reale, così da far comparire il loro indirizzo “avvelenato” tra quelli utilizzati di recente. A che scopo vi chiederete? Perché spesso capita che gli utenti, per motivi di comodità, copiano ed incollano gli address dalla propria cronologia senza verificarli riga per riga.
È una pratica comune, soprattutto quando si effettuano diverse transazioni periodicamente, e a maggior ragione quando si fanno depositi “di prova”, prima di eseguire la vera transazione. Il rischio però, è di ritrovarsi come “0xcB80”, che si è visto inviare $50 milioni di USDT all’indirizzo di un truffatore, perché apparentemente simile al suo.
Una piaga del mondo crypto che va avanti da tempo
L’Address Poisoning è uno degli scam più subdoli del mondo crypto, perché non fa leva su falle tecniche o vulnerabilità dei protocolli, ma colpisce direttamente il tema della sicurezza operativa degli utenti, sfruttando appunto le abitudini consolidate ed i cali di attenzione. Pensate che lo scorso anno, a maggio 2024, un utente ha perso ben 1.155 WBTC, pari ad oggi ad oltre $100 milioni (ripeto, $100 MILIONI) con questo genere di attacco.
Uno scammer ha “avvelenato” il suo indirizzo inviando transazioni da un altro address fake, che riportava ben sei caratteri identici sia all’inizio che alla fine.
E questa non è solo una piaga che riguarda i super ricchi. Uno studio della Cornell University, nello Stato di New York, ha rivelato come solo su reti Ethereum e BNB Chain, nei due anni precedenti dal momento della pubblicazione, l’Address Poisoning abbia preso di mira ben 17 milioni di utenti, con circa 6.633 incidenti che hanno portato a perdite multimilionarie.
Nel complesso, i tentativi di attacco censiti superano i 270 milioni, un dato che rende evidente la portata sistemica di questo tipo di attacco. Non possiamo permetterci di abbassare la guardia ed ignorare il tema della sicurezza operativa.
Sicurezza nel mondo crypto: come evitare l’Address Poisoning?
E come si fa a limitare il più possibile il rischio di finire coinvolti in questo tipo di attacco? La risposta, per quanto possa sembrare banale, parte proprio da quei due concetti citati all’inizio: prevenzione e calma.
Innanzitutto possiamo prevenire evitando, per quanto possibile, di copiare gli indirizzi direttamente dalla cronologia delle transazioni e facendo invece sempre riferimento alla fonte originaria. Copiamo quindi gli indirizzi direttamente dal wallet di riferimento o da un elenco già verificato e salvato in modo sicuro, e soprattutto controlliamo sempre due volte che la stringa corrisponda, guardando per intero e non solo alla parte iniziale.
Poi un ulteriore livello di prevenzione può arrivare dall’utilizzo di un ENS collegato al proprio address, ossia un nome leggibile associato al proprio wallet, che sostituisce la lunga stringa alfanumerica tipica degli indirizzi blockchain. Utilizzare un ENS riduce in modo significativo il rischio di errore, perché rende immediatamente riconoscibile il destinatario e neutralizza alla base le tecniche che puntano sulla somiglianza visiva degli address. In questo modo diventa molto più difficile cadere nella trappola.
Esistono servizi simili ad ENS Domains per ogni tipo di blockchain (questa è su Ethereum mainnet). Chiaramente il dominio deve essere registrato dalla controparte a cui dobbiamo inviare le transazioni, quindi non possiamo auto-difenderci in tal senso. Ma se tutti iniziamo a prendere questo approccio come standard operativo, il livello medio di sicurezza dell’ecosistema può migliorare in modo significativo. Fateci un pensierino, costa poche unità di dollaro, potreste salvare un vostro amico da una brutta perdita.
La vera sicurezza nel mondo crypto: rallentare è la miglior difesa
Come dicevamo sopra, il secondo concetto di cui fare tesoro per rafforzare la sicurezza nel mondo crypto è la calma. Ahimè viviamo in un settore in cui ci è stato insegnato che dobbiamo muoverci sempre di fretta, prima degli altri, per cogliere opportunità al volo. Invece proprio questa corsa continua è spesso la principale fonte dei problemi e il motivo per cui si finisce per abbassare la soglia di attenzione e commettere errori.
E badate bene, anche gli utenti più esperti, quelli che si sentono sicuri dei propri mezzi e convinti di sapere esattamente cosa stanno facendo, non sono immuni dall’errore. Ricordate che le operazioni nel mondo crypto sono irreversibili. Non importa quanto abbiate studiato, basta un attimo di distrazione e si può perdere tutto.
Quindi il consiglio più prezioso di cui potete prendere spunto è muoversi con calma e pacatezza. Soprattutto quando si opera fuori dai CEX e si interagisce direttamente on-chain, rallentare diventa la miglior difesa possibile. Il tempo che sembra di risparmiare agendo in fretta è spesso lo stesso che, al primo errore, si finisce per pagare molto caro, con gli interessi. Come insegna un vecchio detto: chi va piano, va sano e va lontano.
