Un ignaro utente di criptovalute ha recentemente perso 50 milioni di dollari in USDT in una truffa di indirizzamento avvelenato. L'incidente rappresenta una delle maggiori perdite on-chain del 2025, suscitando reazioni da parte degli esperti di sicurezza crypto, mentre emergono nuovi sviluppi sulla questione.
Un errore di copia e incolla costa all'utente 50 milioni di USDT
L'avvelenamento degli indirizzi è una truffa in cui un aggressore invia piccole transazioni da un indirizzo di portafoglio molto simile all'indirizzo legittimo della vittima, sperando che in seguito la vittima copi l'indirizzo sbagliato dalla cronologia delle transazioni e invii inconsapevolmente fondi all'aggressore.
La pagina sulla sicurezza blockchain di Web3 Antivirus segnala che un utente di criptovalute è recentemente caduto vittima di questa truffa, inviando 49.999.950 USDT a un indirizzo "avvelenato" copiato dalla cronologia delle transazioni. Considerata l'entità della transazione, l'utente aveva provato a procedere con cautela inviando una piccola transazione di prova all'indirizzo corretto. Tuttavia, la natura dell'avvelenamento degli indirizzi richiede un attento monitoraggio, poiché gli aggressori sono in grado di inviare immediatamente transazioni "dust" da wallet simili all'indirizzo desiderato.
Cos, fondatore della piattaforma di sicurezza Slowmist, ha fornito preziose informazioni su questa operazione, notando la somiglianza tra i due indirizzi, che condividevano i primi 3 e gli ultimi 4 caratteri. La vittima, senza saperlo, ha scelto l'indirizzo contaminato dalla cronologia delle transazioni per completare la transazione da 50 milioni di dollari, segnando così una delle maggiori perdite individuali on-chain del 2025.
Ulteriori dati di Web3 Antivirus rivelano che il wallet della vittima è attivo on-chain da circa due anni e viene utilizzato principalmente per trasferimenti di USDT. I 50 milioni di dollari rubati erano stati inizialmente prelevati da Binance prima che la truffa avesse luogo. In particolare, gli USDT rubati sono stati successivamente convertiti in ETH dagli aggressori e condivisi tra diversi wallet, che hanno anche incanalato parte del bottino tramite Tornado Cash.
La vittima dell'avvelenamento offre una ricompensa con un ultimatum di 48 ore
In altre notizie, l'investigatore blockchain Specter Analyst riferisce che la vittima ha tentato di stabilire una comunicazione con gli aggressori tramite un messaggio on-chain.
Secondo un post di X del 20 dicembre, la vittima afferma di aver sporto denuncia penale e di aver coinvolto le forze dell'ordine, i protocolli di sicurezza informatica e blockchain competenti per ottenere le informazioni necessarie sulle attività del truffatore. Inoltre, tutti e sei gli indirizzi associati alla rapina sono ora sotto costante sorveglianza. Tuttavia, la parte lesa sta offrendo agli autori della rapina una risoluzione pacifica, che prevede la restituzione volontaria del 98% del bottino a un indirizzo specificato entro 48 ore.
In particolare, la vittima permetterà ai malintenzionati di trattenere 1 milione di dollari come ricompensa per aver individuato tale vulnerabilità nelle loro operazioni. Tuttavia, avvertono che la mancata accettazione dell'offerta amichevole entro i tempi stabiliti comporterà l'escalation legale della questione alle autorità competenti internazionali. Avvertono inoltre che le identità degli aggressori saranno rivelate e condivise con le agenzie competenti per agevolare il loro arresto e la loro persecuzione. Al momento della stampa, le perdite totali in criptovalute nel 2025 hanno superato i 3,4 miliardi di dollari, il che sottolinea la necessità di rafforzare costantemente le misure di sicurezza all'interno di un ecosistema in piena espansione.
