Secondo MetaMask, una nuova frode sull'indirizzo del portafoglio che prende di mira i copypaster negligenti sta diventando dilagante. In una serie di tweet di ieri, il team di MetaMask ha provveduto ad avvertire gli utenti ignari di un tipo crescente di truffa chiamata "avvelenamento da indirizzi".
I truffatori estraggono le prime e le ultime quattro combinazioni alfanumeriche in un indirizzo di portafoglio e le utilizzano per creare un nuovo indirizzo falso. Una transazione da $ 0 viene quindi inviata dall'indirizzo falso appena creato per sostituire l'indirizzo memorizzato corrispondente nella cronologia delle transazioni. L'avvelenamento degli indirizzi prende di mira gli utenti crittografici che copiano e incollano ciecamente gli indirizzi nella cronologia delle transazioni senza un controllo incrociato aggiuntivo tanto necessario.
L'aggiornamento di sicurezza, tuttavia, è stato accolto con disappunto da una sezione della comunità crittografica che ritiene che il più grande fornitore di portafogli crittografici al mondo possa aver agito troppo lentamente per portarlo all'attenzione del pubblico. Un utente di Twitter Tuzun (0xTuzun), che aveva pubblicato un avviso pubblico dell'incidente già il 2 dicembre 2022, ha fornito ulteriori informazioni sulla natura dell'attacco e sulla portata dei portafogli interessati.
Secondo Tuzun, oltre 340.000 indirizzi sono stati avvelenati dal dicembre 2022, rubando quasi 95 portafogli di vittime ignare per circa 1,6 milioni di dollari. L'analisi pone il costo totale degli attacchi a poco più di $ 25.000, segnalando un margine di profitto superiore al 6.000%.
Lo sfruttamento degli indirizzi BSC ed ETH risale rispettivamente al 22 e 27 novembre 2022, con un'ampia gamma di aggressori provenienti dalle regioni del fuso orario asiatico, secondo i risultati di Tuzun.
Tuzun aveva utilizzato la piattaforma di monitoraggio on-chain, Xplore, per rintracciare alcuni sospetti colpevoli, raccomandando inoltre a MetaMask di aggiornare le sue funzionalità dell'interfaccia utente per consentire agli utenti di identificare gli indirizzi dei portafogli nella cronologia delle transazioni tramite indicatori di colore. Agli utenti è stato inoltre consigliato di ricontrollare la composizione alfanumerica sugli indirizzi dei portafogli oltre le prime quattro cifre prima di trasferire fondi.
La truffa dell'indirizzo velenoso si aggiunge all'elenco delle truffe in crescita nel settore delle criptovalute che lo scorso anno hanno provocato una perdita collettiva di oltre $ 3,5 miliardi.
Lo scorso maggio, MetaMask ha firmato una partnership con Asset Reality, uno strumento Saas per il recupero di criptovalute, volto ad aiutare le vittime di truffe crittografiche a recuperare i propri beni rubati. Otto mesi dopo, non è chiaro quanti progressi nel recupero dei beni abbiano fatto entrambe le società. MetaMask deve ancora rispondere agli utenti interessati e a qualsiasi possibile piano di compensazione per le perdite subite.