Il co-founder dell'engine per giochi sul metaverso "Webaverse" ha ammesso di essere caduto vittima di un hack da 4 milioni di dollari, dopo aver incontrato alcuni truffatori che si spacciavano per investitori nella hall di un hotel di Roma.

L'aspetto più bizzarro della storia, racconta Ahad Shams, è che le sue criptovalute sono state rubate da un Trust Wallet appena creato e che l'hack ha avuto luogo durante l'incontro. Spiega che i ladri non avevano accesso alla chiave privata e che il suo wallet non era connesso a una rete Wi-Fi pubblica. In qualche modo i criminali sarebbero riusciti ad accedere ai fondi semplicemente scattando una foto al saldo del wallet.

Shams ha condiviso la storia su Twitter: racconta di aver incontrato un uomo di nome "Mr. Safra" il 26 novembre, dopo diverse settimane di discussioni su potenziali finanziamenti.

Ahad Shams scrive:

"Abbiamo contattato Mr. Safra tramite e-mail e videochiamate, ci ha spiegato che voleva investire in entusiasmanti società Web3. [...]

Ha raccontato di essere già stato truffato nel mondo crypto, e per questo motivo aveva svolto ricerche sulle nostre reali identità. Ha stabilito come requisito che andassimo a Roma per conoscerlo: riteneva importante incontrare dal vivo le persone con cui pianificava di fare affari."

Sebbene inizialmente scettico, Shams ha accettato di incontrare Mr. Safra di persona nella hall di un hotel di Roma. Lì Shams ha fornito una "prova" dei fondi del progetto:

"Abbiamo a malincuore accettato di fornire una 'prova' dei nostri fondi. Prima di incontrarlo, abbiamo creato un nuovo account Trust Wallet utilizzando un dispositivo che non usavamo per interagire con lui. In fondo, senza alcun accesso alle chiavi private e alle seed phrase, i nostri fondi sarebbero stati al sicuro, no? [...]

Durante l'incontro, ci siamo seduti di fronte a questi tre uomini e abbiamo trasferito 4 milioni di USDC nel Trust Wallet. Mr. Safra ha chiesto di vedere i saldi sull'app Trust Wallet, e ha tirato fuori il telefono per 'scattare qualche foto'."

Ma quando Mr. Safra è uscito dalla sala per "consultare i suoi colleghi," non ha più fatto ritorno. È a quel punto che Shams si è reso conto di essere stato truffato: "Non l'abbiamo più visto. Pochi minuti dopo, i fondi avevano lasciato il mio wallet."

Shams ha immediatamente denunciato il furto alla polizia italiana, e presentato un reclamo alla Federal Bureau of Investigation degli Stati Uniti pochi giorni dopo. Il founder di Webaverse non ha idea di come i truffatori siano riusciti ad hackerare il wallet:

"Non siamo ancora stati in grado di stabilire con sicurezza il vettore di attacco. Gli investigatori hanno esaminato le prove disponibili e hanno interrogato a lungo tutte le persone interessate, ma sono necessarie ulteriori informazioni tecniche per giungere a conclusioni sicure. [...]

In particolare, abbiamo bisogno di maggiori informazioni da Trust Wallet in merito all'attività del wallet che è stato svuotato. Solo in questo modo potremo raggiungere una conclusione tecnica."

Shams ha anche condiviso la transazione su Ethereum del furto. I fondi sono stati rapidamente "suddivisi in sei transazioni e inviati a sei nuovi indirizzi, nessuno dei quali aveva alcuna attività precedente." I 4 milioni di dollari in USDC sono stati quasi interamente convertiti in Ether (ETH), wrapped-Bitcoin (wBTC) e Tether (USDT) tramite la funzione swap di 1inch.

Ad ogni modo, Shams ha sottolineato che il furto e le indagini in corso non avranno alcun impatto sui piani a breve termine dell'azienda:

"Sulla base delle nostre previsioni, abbiamo fondi sufficienti per 12-16 mesi. Inoltre, siamo a buon punto nella realizzazione dei nostri piani."