Questa settimana, centinaia di portafogli Ethereum, molti dei quali inattivi da sette anni o più, sono stati svuotati in quella che gli osservatori on-chain hanno definito una campagna di svuotamento in tempo reale associata agli stessi indirizzi degli aggressori.
Secondo alcune fonti, le perdite avrebbero già superato gli 800.000 dollari.
Cosa è successo e cosa sappiamo finora
Una vittima, che si firmava con il nickname Capitulation.eth, è stata la prima a lanciare l'allarme, affermando che dei fondi erano stati prelevati dal suo portafoglio senza autorizzazione e segnalando che anche altri utenti stavano subendo lo stesso problema.
Ciò è stato confermato dall'analista di criptovalute Wazz, che ha condiviso dati on-chain che mostrano un singolo indirizzo in grado di svuotare portafogli che avevano effettuato l'ultimo spostamento di fondi risalente addirittura al 2019.
Un altro analista, Specter, ha stimato il numero delle vittime a centinaia e le perdite totali a oltre 800.000 dollari. Secondo loro, l'attaccante ha depositato 2 ETH su un exchange, probabilmente convertendoli in Monero, e ha trasferito separatamente 324 ETH, per un valore di circa 734.000 dollari, sulla rete Bitcoin tramite Thorchain.
Ciò che colpisce di questo attacco è l'età dei portafogli coinvolti. Specter ha notato che la maggior parte dei portafogli interessati è stata creata tra quattro e otto anni fa, con pochissime eccezioni.
I ricercatori della community concordano ampiamente sul fatto che non si tratti di una vulnerabilità degli smart contract o di un exploit per l'approvazione dei token. Lo sviluppatore Fitna è stato esplicito al riguardo:
"Vecchie chiavi segrete e frasi di recupero sono trapelate anni fa a causa di app di wallet difettose, algoritmi di generazione casuale deboli, backup rubati, LastPass, fughe di dati dal cloud o vecchi software del 2017/18. Ora l'hacker sta prosciugando gli ETH rimasti."
Il crittografo Mikerah ha offerto un'interpretazione simile, suggerendo che lo schema indichi un processo di generazione di chiavi più vecchio che utilizzava l'entropia debole, aggiungendo che lo scenario è "davvero spaventoso da immaginare".
Lo sviluppatore Rahul Saxena ha sfruttato l'incidente per esortare gli utenti a controllare i propri wallet alla ricerca di vecchie approvazioni di token e ha indicato revoke.cash come strumento per rimuoverle, sebbene Fitna e altri abbiano sottolineato che le truffe relative alle approvazioni sono distinte da quanto sembra stia accadendo in questo caso.
Aprile era già stato un mese terribile per la sicurezza della DeFi
Questo attacco si è verificato l'ultimo giorno di quello che l'analista Abdul ha definito "il peggior mese di sempre in termini di exploit DeFi", con circa 635 milioni di dollari persi in 28 incidenti nell'arco di 30 giorni.
L'elenco va da una violazione da 285 milioni di dollari ai danni di Drift il 1° aprile a un colpo di oltre 5 milioni di dollari ai danni di Wasabi Protocol lo stesso giorno in cui è stato segnalato lo svuotamento di portafogli inattivi.
L'incidente più rilevante del mese è stato l'exploit di KelpDAO del 18 aprile, in cui gli aggressori hanno sottratto quasi 294 milioni di dollari dal contratto bridge del protocollo di rifinanziamento liquido, convertendo i fondi rubati in ETH e distribuendoli tra Ethereum e Arbitrum.
Un attacco a Syndicate Network, segnalato il 29 aprile, ha aggiunto altri 330.000 dollari al totale quando un indirizzo ha acquisito 18,5 milioni di token SYND tramite una compromissione del bridge e li ha venduti, facendo crollare il valore di SYND di oltre il 37% in 24 ore.
L'articolo "Vecchi portafogli Ethereum svuotati in un attacco coordinato, perdite superiori a 800.000 dollari" è apparso per la prima volta su CryptoPotato .