OpenEden ha fatto notizia oggi, 16 febbraio, quando la consolidata piattaforma di gestione patrimoniale tokenizzata ha annunciato che degli aggressori avevano compromesso il Domain Name System (DNS) sia del suo sito web principale che del portale utente, creando una minaccia immediata alla sicurezza del portafoglio per chiunque tentasse di accedere alla piattaforma tramite normali browser web.
"Sembra che il DNS di openeden.com e portal.openeden.com sia compromesso. NON interagire con loro", ha scritto l'azienda con sede a Singapore sul suo account X.
L'avviso sottolineava che, sebbene "tutti gli asset di riserva rimangano SAFU e possano essere verificati tramite il feed Chainlink Proof-of-Reserve di OpenEden ", gli utenti che visitano i domini dirottati possono perdere gli asset del loro portafoglio.
Il team di OpenEden ha dichiarato che sta attualmente indagando sulla violazione e ha promesso di fornire aggiornamenti man mano che la situazione si evolve.
Un duro colpo per un attore chiave nel settore delle criptovalute
La compromissione del DNS ha suscitato molta preoccupazione, soprattutto considerando il ruolo di OpenEden come importante depositario istituzionale di asset reali tokenizzati. La società è stata fondata nel 2022 a Singapore e opera come emittente di buoni del Tesoro statunitensi tokenizzati attraverso il suo token di punta TBILL , che offre agli investitori accesso diretto a buoni del Tesoro tokenizzati garantiti da titoli corrispondenti conservati in conti segregati.
La piattaforma è cresciuta fino a diventare un attore chiave nel settore delle criptovalute ed è diventata il primo emittente di RWA tokenizzati a ricevere un rating A dagli analisti di investimento (A da Moody's e AA+ da S&P Global Ratings) per il suo fondo del Tesoro.
Con un'impronta industriale così ampia (al servizio di investitori professionisti, tesorerie DAO e altre aziende), la compromissione del DNS crea rischi per gli utenti DeFi, ma soprattutto per i partecipanti al mercato più grandi che danno per scontato che le piattaforme di livello istituzionale dispongano di una sicurezza di livello aziendale a protezione dei loro punti di accesso web.
Come è avvenuto l'attacco DNS?
Gli attacchi di DNS hijacking agiscono compromettendo il sistema di indirizzamento di Internet. Il Domain Name System funziona come l'elenco telefonico di Internet, traducendo nomi di dominio leggibili dall'uomo come "openeden.com" in indirizzi IP numerici che i computer utilizzano per instradare il traffico.
Pertanto, quando gli aggressori dirottano i record di un dominio, possono reindirizzare i visitatori verso siti dannosi senza toccare l'infrastruttura della piattaforma originale.
Nel caso di OpenEden, gli utenti che digitavano "openeden.com" o "portal.openeden.com" nei loro browser venivano reindirizzati ai server di proprietà degli aggressori che ospitavano versioni false della piattaforma originale.
Questi siti falsi replicano l'interfaccia originale pixel per pixel, chiedendo poi agli utenti di connettere i propri wallet. Dopo la connessione, il sito dannoso può richiedere firme di transazione che appaiono sul sito web come normali interazioni, ma che in realtà autorizzano trasferimenti di token ai wallet degli aggressori.
Fortunatamente, questo aggressore opera indipendentemente dagli smart contract e dai sistemi di custodia delle riserve di OpenEden. I token TBILL e USDO della piattaforma rimangono al sicuro nei rispettivi caveau e tutti gli asset di riserva a supporto di tali token continuano a essere verificabili tramite gli oracoli Proof of Reserve di Chainlink.
Ciò significa che l'attacco DNS crea rischi solo per gli utenti che visitano i domini dirottati e interagiscono con l'interfaccia di phishing, costringendo OpenEden ad annunciare un avviso a tutti gli utenti affinché smettano di interagire con il loro sito web.
L'ultimo di una serie di attacchi DNS che prendono di mira le piattaforme crittografiche
L'incidente di OpenEden rientra in un preoccupante schema di dirottamenti DNS mirati alle piattaforme crittografiche. Nel novembre 2025, Aerodrome Finance (il più grande exchange decentralizzato su Coinbase) è stato dirottato da aggressori , che hanno preso il controllo della registrazione del dominio della piattaforma per reindirizzare il traffico verso un sito falso.
Gli smart contract di Aerodrome sono rimasti intatti, ma il sito di phishing è riuscito a ingannare gli utenti ignari inducendoli a firmare approvazioni di transazioni che hanno prosciugato i portafogli di ETH, USDC e vari altri token.
Allo stesso modo, Curve Finance ha subito undirottamento DNS nel maggio 2025, quando degli aggressori si sono infiltrati nel registrar di domini "iwantmyname" e hanno modificato la delega DNS per il dominio "curve.fi".
Naturalmente, gli utenti sono stati reindirizzati ad altri siti, ma il team di Curve ha risposto migrando verso un dominio alternativo sicuro e invitando gli utenti ad accedere alla piattaforma tramite mirror Ethereum Name Service (ENS) anziché tramite il tradizionale DNS.
Gli attacchi DNS funzionano bene soprattutto per le piattaforme crittografiche, perché gli utenti devono collegare i portafogli e firmare le transazioni frequentemente, il che crea diverse opportunità per i siti di phishing di prenderli di mira.
OpenEden non ha rivelato in che modo gli aggressori abbiano ottenuto il controllo dei suoi record DNS o quale registrar gestisca i suoi domini, poiché le indagini sono ancora in corso.
Tuttavia, la piattaforma non ha fornito una tempistica per il ripristino dell'accesso sicuro ai propri domini. Nel frattempo, gli utenti che desiderano verificare le riserve possono accedere direttamente alla Proof of Reserve di Chainlink per informazioni in tempo reale sugli asset collegati a OpenEden.
Non limitarti a leggere le notizie sulle criptovalute. Comprendile. Iscriviti alla nostra newsletter. È gratuita .