Le blockchain sono sicure, ma sono diventate preda di numerosi crimini crittografici. Il costo totale delle criptovalute rubate ha iniziato ad aumentare subito dopo il lancio di Bitcoin ed è ora stimato a 19 miliardi di dollari. I furti di criptovalute di solito accelerano durante i mercati rialzisti.
Leggi: Il protocollo DeFi fondato da "Sifu" è stato violato per 19,4 milioni di dollari
La ricerca di Crystal Platform mostra che il valore totale delle criptovalute rubate in molteplici truffe o hack ammonta a 19 miliardi di dollari. Tra il 2011 e il 2024, l’entità e il valore dei furti sono aumentati, così come le opportunità di dirottare monete, gettoni e NFT.
Il recente rapporto conta 785 incidenti, con molte rapine minori e furti di portafogli personali rimasti inosservati. Crystal Platform è la più prudente nelle sue stime relative alle segnalazioni di crimini e perdite.
Truffe e frodi si sono rivelati gli strumenti più efficienti per impossessarsi di criptovalute, incassando 8 miliardi di dollari. Gli attacchi agli scambi centralizzati e ai sistemi hanno causato perdite per 6 miliardi di dollari. La DeFi, l’ultimo tipo di hacking, ha accumulato 5 miliardi di dollari in vari exploit.
Il numero più elevato di attacchi si è verificato nel 2023 con 286 eventi. Il rapporto ha una visione più ristretta degli hack, mentre il conteggio di PeckShield ha visto più di 600 eventi importanti nel 2023. Chainalysis ha una definizione più ampia di crimine crittografico, citando più di 24 miliardi di dollari in exploit solo per il 2024. Sono inclusi anche liquidazioni e exploit commerciali come utilizzo dannoso della tecnologia crittografica da parte di alcuni ricercatori.
Nel 2024 si sono verificati solo 56 attacchi, per lo più preziosi attacchi informatici. Gli attacchi hacker più grandi e significativi di solito prendono di mira BTC ed ETH. Nessuno ha superato il caso di hacking Plus Token, che ha richiesto 2,9 miliardi di dollari in BTC ed ETH.
In passato, gli hacker potevano attaccare progetti con tesori significativi. Alcune rapine hanno coinvolto anche un fattore umano, facendo affidamento sulla scarsa sicurezza del portafoglio. La più grande minaccia permanente scoperta è stata il gruppo di hacker Lazarus legato al regime nordcoreano.
Oltre ai grandi attacchi hacker, stanno tornando anche le truffe personali che prendono di mira portafogli specifici. Viene ancora utilizzato malware per estrarre risorse crittografiche, in grado di prendere di mira i portafogli che hanno effettuato l'accesso e consentire transazioni.
Nel 2023, si stima che circa 3 miliardi di dollari siano stati persi direttamente a causa dei ritiri dei tappeti, senza contare il valore nozionale spazzato via. Secondo il rapporto Hacken, i rug pull rappresentano il 65% dei sinistri. Questi tipi di attacchi hanno coinciso con il boom della creazione di nuovi token.
Le reti più prese di mira nel 2023 sono state Ethereum e Binance Smart Chain. Base, una rete relativamente più recente, ha subito solo sei attacchi nel 2023, con quattro attacchi. Blockchain scalabili come Polygon, Arbitrum, Optimism e Fantom hanno registrato un numero relativamente basso di attacchi. Sebbene i protocolli sottostanti siano validi, le app che trasportano possono nascondere rischi o eseguire manovre deliberate.
La DeFi lancia una nuova ondata di exploit
Le app decentralizzate, in particolare quelle che si occupano di trading e trasferimenti di valore, stanno diventando il bersaglio dei furti di criptovalute. Gli hack DeFi sono più elaborati e utilizzano competenze diverse. Tra i principali tipi di furto, i protocolli DeFi sono minacciati dal drenaggio dei ponti e dal drenaggio del pool di liquidità dei prestiti flash.
Leggi anche: Exploit da 16 milioni di dollari colpisce l'ecosistema Curio: 1 miliardo di token CGT coniati illegalmente
Finora, l’hacking del Ronin Bridge è stato il più grande in termini di dimensioni, portando via più di 600 milioni di dollari. Anche hub di scambio ampiamente utilizzati come BNB Bridge e Wormhole hanno subito degli exploit. Tutti e tre non hanno effettuato un audit del contratto intelligente. Gli hacker sono riusciti a notare una vulnerabilità e a causare il ritiro del bridge. I bridge sono ancora un’infrastruttura chiave nella DeFi, dove il trading cross-chain e il movimento dei token richiedono ancora l’approvazione manuale delle transazioni.
Anche i progetti più grandi non sono immuni, come nel caso di Gala Games. Il progetto Metaverse e Gaming ha subito un exploit del suo contratto di conio, che ha creato token non autorizzati.
Per prevenire le rapine, implementare un controllo centralizzato sui movimenti dei token è una soluzione praticabile. Progetti DeFi, stablecoin e altri hub di valore spesso decidono di implementare questo controllo e la possibilità di bloccare i detentori di portafogli.
Per questo motivo, gli hacker spesso scambiano fondi in Ethereum sulla sua rete principale e mescolano il bottino tramite Tornado Cash o un altro servizio di mixaggio. In tal caso, il progetto non può ricorrere al congelamento dei fondi. La maggior parte degli attacchi avviene contro contratti intelligenti non controllati, in cui il progetto stesso ha commesso un errore o un’inefficienza senza accorgersene.
Reportage criptopolita di Hristina Vasileva