Le vittime di truffe mediante address poisoning sono state indotte a consegnare intenzionalmente ai truffatori fondi per un valore di oltre 1,2 milioni di dollari, evidenziando la problematica crescita degli attacchi di phishing relativi alle criptovalute.
L'“Address poisoning”, o scam “wallet poisoning”, consiste nell'indurre le vittime a inviare i loro asset digitali a indirizzi fraudolenti appartenenti ai truffatori.
Nelle tre settimane trascorse da inizio mese, gli schemi di “pig butchering” su Ethereum sono costati al settore delle criptovalute oltre 1,2 milioni di dollari di fondi, riporta la società di sicurezza on-chain Cyvers in un post odierno:
"Gli aggressori spediscono piccole transazioni alle vittime, falsificando i loro indirizzi di wallet usati di frequente. Quando gli utenti copiano e incollano un indirizzo dalla loro cronologia delle transazioni, potrebbero accidentalmente inviare fondi al truffatore”.
Fonte: Cyvers Alerts
Da inizio anno le truffe di address poisoning sono aumentate, costando al settore oltre 1,8 milioni di dollari a febbraio, secondo Deddy Lavid, co-fondatore e CEO di Cyvers.
La crescente specializzazione degli aggressori e la mancanza di misure di sicurezza prima dello svolgimento delle operazioni sono alcune delle ragioni principali dell'aumento, sostiene Lavid, aggiungendo.
“Un numero sempre maggiore di utenti e istituzioni sta sfruttando strumenti automatizzati per le transazioni in crypto, alcuni dei quali potrebbero non disporre di meccanismi di verifica integrati per rilevare gli indirizzi alterati”.
Sebbene l'aumento del volume delle transazioni determinato dal bull market delle criptovalute sia un fattore trainante, i metodi di verifica pre-transazione potrebbero bloccare una quantità significativa di attacchi di phishing, aggiunge Lavid, concludendo:
“A differenza del tradizionale rilevamento delle frodi, molti wallet e piattaforme non dispongono di uno screening pre-transazione in tempo reale che potrebbe segnalare gli indirizzi sospetti prima dell'invio dei fondi”.
Le truffe di address poisoning sono già costate agli investitori decine di milioni. A maggio 2024, un investitore ha inviato 71 milioni di dollari di Wrapped Bitcoin a un indirizzo esca, cadendo vittima della truffa. Il responsabile della truffa ha creato un indirizzo con caratteri alfanumerici simili e ha effettuato una piccola transazione sul conto della vittima.
Tuttavia, l'aggressore ha restituito il malloppo giorni dopo, a seguito di un inaspettato dietro front determinato dalla crescente attenzione da parte degli inquirenti blockchain.
Il phishing rappresenta un problema in crescita per l'industria crypto
Gli attacchi di phishing stanno diventando una minaccia crescente per il settore delle criptovalute, parallelamente agli hack tradizionali.
Le truffe di pig butchering rappresentano un ulteriore tipo di schema di phishing che implica tattiche di manipolazione prolungate e complesse atte a ingannare gli investitori per indurli a inviare volontariamente i propri asset a indirizzi fraudolenti.
Secondo Cyvers, gli schemi di pig butchering sulla rete Ethereum sono costati al settore oltre 5,5 miliardi di dollari in 200.000 singoli casi accertati nel 2024.
Il periodo medio di adescamento delle vittime dura da una a due settimane nel 35% dei casi, mentre il 10% delle truffe prevede periodi di adescamento fino a tre mesi, come emerge dai dati di Cyvers.
Statistiche delle vittime di pig butchering e periodi di grooming. Fonte: Cyvers
Il 75% delle vittime ha perso più della metà del proprio patrimonio netto a causa di queste truffe. I maschi di età compresa tra i 30 e i 49 anni sono i più interessati da questi attacchi.
Nel 2024 le truffe di phishing sono risultate la principale minaccia per la sicurezza delle criptovalute, fruttando agli aggressori oltre 1 miliardo di dollari in 296 incidenti e risultando il vettore di attacco più dannoso per il settore.
Traduzione a cura di Walter Rizzo