Metawin, un casinò crittografico, è stato duramente colpito oggi. Gli hacker lo hanno sfruttato per oltre 4 milioni di dollari in Ethereum (ETH) e Solana (SOL).
L'investigatore on-chain ZachXBT ha segnalato l'incidente su Telegram, dicendo : "Sembra che il casinò crittografico Metawin sia stato sfruttato per oltre 4 milioni di dollari su Ether e SOL oggi." Ha rintracciato oltre 115 indirizzi collegati all'aggressore, che ha poi trasferito i fondi rubati su KuCoin e su un servizio annidato su HitBTC.
Quest'ultimo hack si aggiunge a una serie di furti di alto profilo che hanno afflitto il settore DeFi, rendendo ottobre uno dei mesi più sanguinosi per le violazioni della sicurezza crittografica.
Nel corso del mese sono stati segnalati 20 attacchi crittografici, che hanno causato una perdita complessiva di circa 88,47 milioni di dollari. Questa ondata di exploit evidenzia le vulnerabilità attuali nello spazio della finanza decentralizzata (DeFi), dove gli hacker sembrano superare in astuzia gli aggiornamenti di sicurezza in ogni momento.
I più grandi hack di ottobre
Radiant Capital ha vissuto il peggior hack di ottobre. Il 17 ottobre, gli aggressori hanno sfruttato i punti deboli dei contratti intelligenti di Radiant, rubando 53 milioni di dollari.
Utilizzando protocolli cross-chain, gli hacker hanno collegato i beni rubati a Ethereum, rendendo difficile rintracciare il furto. La massiccia violazione di Radiant ha alimentato le preoccupazioni sulle vulnerabilità cross-chain della DeFi.
Poi c'è stato un portafoglio legato al governo degli Stati Uniti, che ha visto un incidente insolito. Gli hacker hanno compromesso il portafoglio, rubando circa 20 milioni di dollari.
Stranamente, la maggior parte dei fondi è stata restituita, anche se mancano circa 700.000 dollari. Non capita tutti i giorni che un portafoglio controllato dal governo venga violato, aggiungendo una svolta bizzarra alla follia criminale di ottobre.
EigenLayer, una rete di staking liquido, si è trovata ad affrontare il problema all'inizio del mese. Il 4 ottobre, gli aggressori hanno saccheggiato 5,7 milioni di dollari, che sono stati rapidamente riciclati attraverso scambi come HitBTC e Bybit. Questa violazione ha sottolineato le persistenti debolezze nei protocolli di staking e liquidità.
La Tapioca Foundation, un’altra piattaforma DeFi, ha subito una grave perdita. Gli hacker hanno preso di mira il contratto di vesting dei token utilizzando tattiche di ingegneria sociale, riuscendo a rubare 4,7 milioni di dollari.
E non possiamo tralasciare Sunray Finance, che ha perso 2,86 milioni di dollari. Gli aggressori hanno manipolato i valori dei token sulla catena Arbitrum, facendo crollare il token SUN di Sunray. Un altro duro promemoria di quanto possano essere fragili le piattaforme DeFi, soprattutto quando gli aggressori giocano direttamente con i valori dei token.
Un problema da un miliardo di dollari
A novembre 2024, le perdite totali dovute agli hack di criptovalute hanno superato 1,4 miliardi di dollari, coprendo 179 incidenti. Anche se quest’anno si sono verificati meno attacchi individuali rispetto agli anni passati, la perdita media per hack è in aumento. La posta in gioco è più alta e gli attacchi continuano a diventare sempre più audaci e costosi.
Solo nel terzo trimestre, gli hacker hanno rubato circa 750 milioni di dollari in 155 incidenti. Si tratta di meno attacchi ma di bottini più grandi. Ogni attacco ha fruttato in media l’incredibile cifra di 5,93 milioni di dollari in beni rubati, con una perdita media di circa 120.529 dollari. Questi numeri mostrano una tendenza preoccupante secondo cui anche una singola violazione può paralizzare le piattaforme o spazzare via gli utenti.
Gli attacchi di phishing rimangono un metodo da utilizzare. Durante il terzo trimestre, il phishing ha causato perdite per 343 milioni di dollari in 65 incidenti. Gli hacker spesso inducono gli utenti a consegnare le proprie chiavi o a fare clic su collegamenti dannosi e i risultati sono prevedibili e devastanti.
Un altro classico sono i compromessi con la chiave privata. Questi attacchi hanno causato perdite per circa 317 milioni di dollari in soli dieci incidenti. La cattiva gestione delle chiavi rimane un problema evidente nel settore delle criptovalute. Se detieni le chiavi, detieni anche il denaro e gli hacker lo sanno.
Continuano a emergere anche altre tecniche, come le vulnerabilità del codice e gli exploit di rientro. Questi metodi sfruttano i difetti del codice dei contratti intelligenti, consentendo agli hacker di drenare fondi avviando più chiamate di contratto in un’unica transazione. È stato uno dei trucchi preferiti per anni e funziona ancora.
Ciascuno di questi attacchi, dalla violazione da 53 milioni di dollari di Radiant Capital alla rapina da 4 milioni di dollari di Metawin, mette a nudo le sfide nel garantire la finanza decentralizzata. Per fermare gli hacker sarebbe necessario che le piattaforme rafforzassero le proprie difese e smettessero di considerare la sicurezza come un ripensamento.