Se i Cripto OG vengono hackerati, cosa succederà al resto di noi?

Si dice che ci sia un brutto bug in giro tra i possessori Cripto OG, che colpisce in modo particolare ONE delle parti più critiche dell'infrastruttura Web3: il portafoglio MetaMask. Oltre 5.000 ether (ETH) per un valore di circa 10,5 milioni di dollari sono stati rubati a veterani Cripto utilizzando una varietà di portafogli non custoditi da dicembre, sito di notizie cripto-scettico Protos ha segnalato, citando un'indagine informale condotta dal fondatore di MyCryptoTaylor Monahan.

Sembra chesviluppatori presso ConsenSys, la società privata di software blockchain che ha sviluppato gran parte degli strumenti open source di Ethereum, tra cui il portafoglio MetaMask e il toolkit applicativo Infura, sta indagando sull'exploit, che sembra prendere di mira "deliberatamente" le persone che dovrebbero conoscere i dettagli dell'autocustodia e della sicurezza Cripto .

Questo articolo è tratto da The Node, il riepilogo quotidiano di CoinDesk delle storie più importanti in tema di blockchain e Cripto . Puoi abbonarti per ottenere l'intero newsletter qui.

"Questo NON è un sito di phishing di basso livello o un truffatore casuale. NON ha colpito un singolo novellino. Colpisce SOLO gli OG", ha scritto Monahan, che su Twitter si fa chiamare "Tay". L'attacco è diffuso e colpisce chiavi create tra il 2014 e il 2022 e almeno 11 blockchain, secondo l'indagine preliminare di Tay. L'indagine on-chain di Monahan ha scoperto che la vulnerabilità inspiegata potrebbe avere un impatto su "tutti i wallet", inclusi, ma non limitati a, MetaMask.

Menzione questo exploit non per diffondere paura, incertezza e dubbio – soprattutto non riguardo alportale Web3 più utilizzato. Al momento, sembra che gli utenti medi o occasionali di MetaMask, o gli utenti Cripto in generale, T siano presi di mira. Ma è il momento di ricordare alcune best practice sui wallet e di fare il punto sui propri averi. A causa della natura di vasta portata dell'attacco e del pedigree delle vittime, le ricadute potrebbero essere gravi.

La cosa più importante ora non è solo far sentire al sicuro e protetti gli utenti Cripto di tutti i giorni, ma assicurarsi che lo siano davvero. In un'e-mail, un rappresentante di ConsenSys ha confermato che l'attacco sembra essere mirato ai primi utilizzatori ETH o alle persone che lavorano nel settore, o almeno sono abbastanza attive da essere definite "Cripto native". Inoltre, il rappresentante ha sottolineato che l'attacco si estende ben oltre MetaMask e che il "comportamento on-chain dell'hacker suggerisce fortemente una compromissione della chiave privata".

"Ciò che le indagini attuali stanno dimostrando è che questo specifico vettore di attacco sembra indicare che le frasi di recupero Secret di questi utenti siano state compromesse in futuro, probabilmente a causa dell'archiviazione non intenzionalmente non sicura di detta frase", ha affermato il team di sicurezza di MetaMask.

L'attaccante/gli aggressori sconosciuti

Come detto, molto dell'attacco e degli aggressori è ancora sconosciuto. Non è chiaro se si tratti di uno sforzo coordinato di diversi hacker esperti o di un singolo attore, o se più individui abbiano trovato e stiano sfruttando le stesse vulnerabilità. Detto questo, il fatto che la maggior parte degli attacchi abbia avuto luogo tra le 10:00 e le 13:00 UTC, secondo Monahan, suggerisce che potrebbe trattarsi di una singola entità che ha ricevuto informazioni altamente compromettenti.

Nel suo articolo, Monahan ha affermato che l'autore potrebbe aver ricevuto una cache di dati che lo sta aiutando ad accedere alle chiavi private degli utenti o alle frasi di recupero del portafoglio. Ha aggiunto con enfasi che il problema non è correlato alla crittografia sottostante di MetaMask e non è una truffa di ingegneria sociale, come nel caso del phishing.

Tuttavia, ci sono alcuni punti in comune con l'exploit: la maggior parte degli attacchi si è verificata nel fine settimana e lo sfruttatore ha scambiato le risorse all'interno del portafoglio della vittima con l'ether (spesso aggirandopuntatoposizioni,token non fungibili e monete meno note), consolidando ETH e poi trasferendolo. Spesso l'attaccante è tornato indietro ore, giorni o settimane dopo un attacco iniziale per spazzare via i fondi rimanenti, ha detto Monahan.

Il "movimento on-chain di furto e post-furto è MOLTO distinto", ha detto Monahan, sperando di aprire le porte all'identificazione dell'aggressore e al recupero dei beni. Ha aggiunto che diversi tentativi di "recupero" hanno avuto successo finora.

ConsenSys ha confermato l'attacco via e-mail e ha affermato che incoraggia le persone a contattare il suosquadra di supporto"su qualsiasi caso specifico". L'azienda ha acquisito la startup MyCrypto di Monahan nel febbraio 2022, dopo aver implementato la "scam blocklist" di MyCrypto (alias CryptoScamDB), che è stata utilizzata per proteggere gli utenti di MetaMask dal visitare URL di truffe note nel 2017, secondo un annuncio dell'epoca.

Sia Monahan che ConsenSys sottolineano inoltre l'importanza della collaborazione reciproca in questo momento e della condivisione diinformazioni e risorse. Sfortunatamente, la comunità Cripto ha la brutta abitudine di dare la colpa alle vittime che vengono hackerate. "Smettetela di umiliare la gente. T sono stupidi", ha scritto Monahan, notando come se foste hackerati, condividere pubblicamente i dettagli può aiutare la mente collettiva distribuita del Web3 a trovare una soluzione.

"Web3 appartiene a tutti e dovremmo tutti cercare di KEEP a vicenda", ha affermato il REP di ConsenSys.

Buone pratiche

Per quanto riguarda le best practice, Monahan ha scritto in maiuscolo: "PER FAVORE T KEEP TUTTI I TUOI ASSET IN UN'UNICA CHIAVE O FRASE Secret PER ANNI". Se questo è utile solo a posteriori, mette anche in guardia gli utenti dal dividere i loro asset, usare un portafoglio hardware e trasferire i loro fondi da account connessi a Internet. Inoltre, MetaMask ha condiviso questo elenco puntato:

• Non conservare mai la tua chiave privata o la frase Secret di recupero online, scrivila sempre da qualche parte e KEEP al sicuro
• Ottieni e usa un portafoglio hardware, ma proprio come con MetaMask, T conservare la tua chiave privata o la frase di recupero Secret da nessuna parte online (o realisticamente, in nessun dispositivo abilitato a Internet)
• Se mai dovessi arrivare al punto in cui il tuo portafoglio è così vecchio che T riesci a ricordare se sei stato sempre diligente al 100% con le sue chiavi, allora prendi in considerazione la creazione di un nuovo portafoglio (che significa una nuova frase di recupero Secret , non un nuovo account) e di trasferire lì i tuoi fondi.
• Esegui controlli e audit di sicurezza regolari per assicurarti di essere aggiornato sulle migliori pratiche di sicurezza e, proprio come ha detto [Monahan], prendi in considerazione la possibilità di suddividere i tuoi asset su più frasi di recupero e di utilizzare portafogli hardware

Man mano che la natura dell'exploit verrà svelata, è probabile che questa storia diventerà solo più grande. Apparentemente, molti utenti Cripto di lunga data sono stati colpiti per un periodo di mesi senza che molte parole filtrassero nel mondo esterno. Finché le Cripto continueranno ad avere valore, gli utenti di wallet continueranno ad affrontare tali minacce. Un record di 3,8 miliardi di dollari in Cripto è stato rubato l'anno scorso tramite truffe, hack e furti, secondo Chainalysis' ultima contabilità.

CoinDesk ha recentemente pubblicato un elenco di “Progetti da tenere d’occhio”ovvero protocolli e aziende che ci sentiamo relativamente a nostro agio a consigliare agli utenti. Ho scritto del sempre più popolarePortafoglio arcobaleno, che si sta diffondendo principalmente tramite passaparola, in parte grazie alla sua interfaccia semplice e alle funzionalità di sicurezza integrate.

Vedi anche:PayPal collabora con il portafoglio Cripto MetaMask per offrire un trading Cripto semplice

Rainbow, come molti wallet Cripto , ha implementato una serie di funzionalità di sicurezza per aiutare a proteggere i wallet, tra cui messaggi pop-up che avvisano gli utenti di indirizzi sospetti con cui potrebbero interagire, nonché strumenti ID per impedire alle persone di inviare asset ad indirizzi errati o non più attivi. Funzionalità di sicurezza di base come questa dovrebbero essere la norma in tutto il mondo Cripto (per essere chiari, MetaMask è tra i wallet con protezioni simili).

Ma sembra anche che gli utenti Cripto e gli attori malintenzionati giocheranno costantemente al gatto e al topo. Con ogni progresso tecnologico rilasciato per proteggere i non informati, è probabile che ci sia una soluzione alternativa. E se Monahan ha ragione, anche anni di esperienza pratica non sono una garanzia che sarai al sicuro. Ci sono delle buone pratiche da Seguici e delle insidie ​​da evitare, ma a questo punto, le truffe sono chiaramente endemiche alle Cripto.

Dove lascia Web3? Non è che le banche o le app fintech siano immuni da hacker o truffatori, ma gli utenti dovrebbero potersi fidare anche delle tecnologie "trustless".

AGGIORNAMENTO (18 aprile 2023 – 23:30 UTC):Aggiunge commenti di ConsenSys e una frase che sottolinea che tutti i portafogli, non solo MetaMask, sono vulnerabili.