La raccolta di capitali nell'ambiente crittografico può comportare una serie di sfide uniche e senza pari. Non guardare oltre il caso sempre curioso di Webaverse, un'azienda che costruisce un motore di gioco e un MMO (massive multiplayer online game) ispirato alle caratteristiche del metaverso.
Il team di Webaverse ha recentemente subito un duro colpo dopo aver subito un exploit di ingegneria sociale da circa 4 milioni di dollari. Tuttavia, questo non era il tuo hack "run of the mill" – o almeno, non è stato presentato come tale. Sebbene i dettagli esecutivi dell'hack siano ancora molto in discussione, una cosa è certa: questo è stato il risultato di un sofisticato "lungo gioco" di ingegneria sociale supportato da false informazioni KYC, siti Web fraudolenti e completato da un in- incontro di persona.
Gli exploit raggiungono nuovi livelli
Al giorno d'oggi, le menti curiose non possono essere abbastanza curiose e la dovuta diligenza non può essere abbastanza diligente. Abbiamo coperto un exploit che ha portato al furto di oltre una dozzina di NFT di Bored Ape Yacht Club solo due mesi fa, e un'altra storia recente con colpi simili ci dice che una cosa è certa: con gli importi in dollari nel panorama crittografico di oggi, hacker e gli sfruttatori sono disposti a fare di tutto per truffare le risorse digitali.
La rapina all'NFT di dicembre ha caratterizzato un elaborato direttore del casting falso che ha utilizzato un sito Web falso, domini e-mail falsi, presentazioni false e altro ancora, il tutto per costruire una facciata di fiducia e combattere gli sforzi di due diligence. Il risultato è stato di oltre $ 1 milione di perdite immediate per il proprietario.
Questa storia "simile ma diversa" è venuta alla luce questa settimana, amplificata per la prima volta dal rispettato programmatore DefiLlama 0xngmi .
Un curioso caso di circostanze folli
Collegato al tweet di 0xngmi c'è la dichiarazione ufficiale del team Webaverse, un Google Doc di 4 pagine che è stato redatto dal co-fondatore e CEO dell'azienda Ahad Shams. Shams ha spiegato che nel novembre del 2022, dopo settimane di dialogo con un sofisticato gruppo di truffatori che si spacciavano per potenziali investitori, è stato organizzato un incontro tra loro a Roma.
I truffatori hanno richiesto una "prova dei fondi" e Shams ha cercato di proteggersi esponendo solo uno screenshot di un Trust Wallet auto-custodito e indipendente con i fondi, sostenendo che non erano state esposte chiavi o dettagli vitali del conto e che il portafoglio era un self -creato, autocontrollato e autocustodito utilizzato esclusivamente per questa occasione.
Altri sforzi per prevenire gli incidenti sono stati messi in atto da Shams intorno a questa interazione, ma in questo caso, le misure prese da Shams per proteggere i fondi della sua organizzazione apparentemente non erano sufficienti.
In tutto, come osserva Shams, questa non è una situazione in cui un DAO o un altro pool di fondi pubblici assale un utente. È semplicemente una società di proprietà che fornisce informazioni a curiose menti crittografiche su una sfortunata circostanza che non è stata il risultato di una mancanza di dovuta diligenza o cura. Ciò non significa, tuttavia, che Shams non abbia commesso un errore lungo la strada.
In effetti, la logica comune di oggi implicherebbe che qui manca un pezzo vitale del puzzle.
Il CEO di Trust Wallet Eowyn Chen ha rilasciato un tweet in risposta lunedì. Non sorprenderti se gli investigatori del mercato scopriranno di più a tempo debito.
È triste sentire del caso di furto di Webaverse. Dopo aver interagito con le squadre investigative, abbiamo la massima fiducia che il caso di furto NON sia stato causato dall'app @TrustWallet , ma probabilmente da un crimine organizzato. Purtroppo ci sono state alcune truffe OTC di persona in Europa, in particolare a Roma. https://t.co/KbIPjz01uB
— Eowync.eth (@EowynChen) 6 febbraio 2023