Due presunti "fork truffa" di Ethereum si appropriano delle chiavi private degli utenti, lo rivela un report

Secondo un rapporto inviato a Cointelegraph dal team di sviluppo di Guardia Wallet, le altcoin Ethereum Nowa (ETN) e Ethereum Classic Vision (ETCV) si approprierebbero delle chiavi private ETH degli utenti che cercano di riscattare le monete nate dai presunti fork.

Il sito web ufficiale del progetto Ethereum Nowa - che non contiene alcun white paper - descrive il processo che gli utenti devono seguire per ottenere i loro ETN. Secondo il sito web, l'utente deve prima inviare ETH ad un indirizzo, poi esportare la chiave privata e infine riscattare le criptovalute utilizzando lo strumento online dedicato.

Un utente del servizio Etherscan ha scritto un commento nella pagina di tale indirizzo, mettendo in guardia gli utenti da quella che descrive come una "truffa basta su fork/airdrop". Lo strumento utilizzato per riscattare le monete sembra essere un clone del noto wallet di Ethereum (ETH) MyEtherWallet (MEW), con tanto di logo, titolo e impaginazione identica a quella del famoso portafoglio online, distinguibile solo dal nome di dominio.

Un'altra principale differenza rispetto all'interfaccia originale di MEW è che tutte le opzioni che consentono all'utente di scegliere come accedere al suo portafoglio sono in realtà disattivate, a parte quella che prevede di incollare la propria chiave privata. Inoltre, alcuni browser contrassegnano la pagina come "sito ingannevole".

Analizzando il codice, il team di Guarda Wallet ha scoperto che la chiave privata non viene solo elaborata dallo strumento, ma anche inviata a un server remoto. Il rapporto del team di Guardia dichiara espressamente che Ethereum Nowa "è in realtà uno strumento utilizzato da dei ladri per ottenere le tue informazioni personali e avere accesso al tuo wallet."

L'hard fork Ethereum Classic Vision, secondo il white paper del progetto, è previsto per oggi (11 gennaio) alle 21:00 ora italiana. Il sito web contiene dei link ad un portafoglio scaricabile per Windows e Linux, insieme a uno strumento web. Vicino al pulsante "richiedi fork", si legge:

"Indipendentemente dal wallet autorizzato che usi per archiviare i tuoi ETH, inizialmente i tuoi ETCV gratuiti verranno inviati al wallet ufficiale Ethereum Classic Vision. Anche se siamo in trattativa con una serie di wallet popolari, al momento del fork non saremo in grado di inviare ETCV a quei wallet a causa di alcune differenze negli algoritmi utilizzati."

A prima vista, questo progetto potrebbe sembrare più affidabile di ETN ma, dopo un esame approfondito, il team di Guarda Wallet ha scoperto che anche ETCV si appropria delle chiavi private degli utenti:

"L'analisi sul codice eseguita dal nostro team ha rilevato che la parte di codice fornita invia in realtà la chiave privata dell'utente sui server Ethereum Classic Vision, mascherandola come un token API."