Nel corso degli anni, gli hack crittografici sono diventati più elaborati e comuni. Nel 2024, la comunità ha visto centinaia di milioni spazzati via da exploit e truffe, lasciando gli investitori a mani vuote.
A volte, gli sfruttatori restituiscono i fondi e sottolineano le vulnerabilità di un progetto, aiutando a prevenire incidenti futuri. Tuttavia, è più comune vedere gli hacker prendere i fondi rubati e fuggire dalla scena.
L'investigatore crittografico ZachXBT ha svelato una catena di exploit apparentemente collegati al cosiddetto hacker Whitehat responsabile dell'exploit Prisma Finance che ha rubato 12 milioni di dollari il mese scorso.
Hacker dal cappello bianco macchiato
Il 28 marzo Prisma Finance, il protocollo di prestito decentralizzato basato su Ethereum, ha subito un hack che ha rubato 3.479,24 ETH. Dopo essere stata avvisata e aver osservato l'attività sospetta, la squadra di Prisma ha allertato la comunità.
L'hacker allora contattò il team Prisma tramite un messaggio on-chain, dichiarando di essere un “Whitehat” che si prendeva cura degli utenti. Durante la conversazione, lo sfruttatore ha affermato di voler "aumentare la consapevolezza sugli audit contrattuali seri" e sull'uso della DeFi.
Il giorno successivo, il protocollo di prestito ha rilasciato un'autopsia dettagliata dell'incidente. Questo post ha apparentemente arruffato le penne degli hacker, che hanno chiesto al team di cambiare tutti i "termini accusatori" come "exploit" e "hacker".
I messaggi hanno sollevato allarmi sulla possibile restituzione dei fondi. Apparentemente insoddisfatto della capacità del team Prisma di modificare l'autopsia, lo sfruttatore ha chiesto una taglia di 3,8 milioni di dollari, pari al 34% dei fondi totali.
1/ Un'indagine sul presunto sfruttatore @PrismaFi da 11,1 milioni di dollari 0x77 (Trung) e sui molteplici altri exploit a cui sono collegati. pic.twitter.com/QU1Oy7Txbb
– ZachXBT (@zachxbt) 16 aprile 2024
L'importo richiesto era il triplo dello standard del settore del 10%. Secondo il detective delle criptovalute, lo sfruttatore "sostanzialmente estorceva denaro alla squadra" poiché il Ministero del Tesoro non aveva fondi sufficienti per rimborsare le vittime.
Nonostante le affermazioni di Whitehat e l'apparente disagio nei confronti dei termini che affermavano il contrario, l'hacker si è contraddetto inviando i fondi a Tornado Cash. Ulteriori indagini da parte del detective delle criptovalute hanno rivelato che questo Whitehat presenta diverse macchie.
Lo sfruttatore di Prisma è collegato a diversi hack crittografici
L'approfondimento di ZachXBT sulla tempistica delle transazioni correlate ha portato alla scoperta di "attività ad esse collegate su Tron". Un indirizzo, TGviNZ, era collegato a numerosi exploit.
Secondo l'indagine, TGviNZ è stato finanziato dall'exploit Arcade_xyz dal marzo 2023. Durante questo incidente, l'exploiter ha richiesto ulteriori fondi al progetto tramite Telegram.
Allo stesso modo, l’indirizzo era collegato all’exploit Pine Protocol del febbraio 2024. Questa volta, l’hacker ha chiesto il 50% dei fondi e avrebbe fatto “ulteriori richieste irragionevoli tramite e-mail”.
Il detective delle criptovalute ha poi scoperto che TGviNZ è collegato al distributore del protocollo Modulus, una "piattaforma decentralizzata e non depositaria". Ulteriori indagini hanno rivelato che un utente X, "0x77", era tra i pochi seguaci del protocollo.
Ciò si è rivelato cruciale per rimettere insieme i pezzi del puzzle, poiché l’exploiter di Arcade ha utilizzato l’alias “0x77” su Telegram. Uno sguardo più approfondito al numero di telefono, agli indirizzi e-mail utilizzati e ad altri dettagli ha evidenziato lo stesso sospetto dietro questi exploit.
I dettagli del presunto sfruttatore sono ora nelle mani del team Prisma, che sta indagando se intraprendere un'azione legale contro l'individuo in Vietnam e Australia.