Lezioni di hacking di Bybit: come conservare le criptovalute in modo sicuro

Il 21 febbraio è stato un giorno buio per il mercato delle criptovalute, che ha subito il più grande furto della storia. Gli autori di questi attacchi hanno saccheggiato circa 1,5 miliardi di dollari da Bybit, la seconda più grande piattaforma di criptovalute al mondo, e alcuni esperti hanno definito questo come il più grande furto di sempre. Sebbene né questa perdita né il prelievo di altri 5 miliardi di dollari da parte di investitori in preda al panico siano stati fatali per Bybit, questo evento evidenzia i difetti fondamentali del moderno ecosistema delle criptovalute e offre alcuni preziosi insegnamenti agli utenti che vogliono salvaguardare le proprie criptovalute.

Come è stato derubato Bybit

Come tutte le principali piattaforme di scambio di criptovalute, Bybit protegge le criptovalute archiviate con una protezione multilivello. La maggior parte dei fondi viene conservata nei cosiddetti “cold wallet” scollegati dai sistemi online. Quando è necessario ricaricare le risorse correnti, la somma richiesta viene spostata manualmente dal cold wallet all’hot wallet e l’operazione viene firmata da più dipendenti contemporaneamente. Per questo, Bybit utilizza una soluzione multi-firma (multisig) di Safe{Wallet} e ogni dipendente coinvolto nella transazione la firma utilizzando una chiave crittografica hardware Ledger privata.

Gli autori degli attacchi hanno studiato il sistema in dettaglio e, secondo dei ricercatori indipendenti, hanno compromesso il computer dello sviluppatore Safe{Wallet}. Presumibilmente sono state apportate modifiche dannose al codice per la visualizzazione delle pagine dell’applicazione Web Safe{Wallet}. Dopo aver condotto le proprie indagini, i proprietari di Safe{Wallet} hanno respinto le conclusioni delle due società indipendenti di sicurezza informatica, sostenendo che la loro infrastruttura non era stata hackerata.

Quindi cosa è successo? Durante una ricarica di routine di 7 milioni di dollari su un hot wallet, i dipendenti di Bybit hanno visto sui loro schermi dei computer questo importo esatto e l’indirizzo del destinatario, che corrispondeva all’indirizzo dell’hot wallet. Ma sono stati inviati altri dati per la firma! Per i trasferimenti regolari, l’indirizzo del destinatario può (e dovrebbe!) essere verificato sullo schermo del dispositivo Ledger. Tuttavia, quando si firmano transazioni multisig, queste informazioni non vengono visualizzate, quindi i dipendenti di Bybit hanno sostanzialmente effettuato un trasferimento alla cieca.

Di conseguenza, hanno inavvertitamente approvato uno smart contract dannoso che ha trasferito l’intero contenuto di uno dei cold wallet di Bybit su diverse centinaia di portafogli falsi. Non appena il prelievo dal portafoglio Bybit è stato completato, sembra che il codice sul sito Web Safe{Wallet} sia tornato alla versione innocua. Al momento gli autori degli attacchi sono impegnati a “suddividere” gli Ethereum rubati, trasferendoli a pezzetti nel tentativo di riciclarli.

A quanto pare, Bybit e i suoi clienti sono stati vittime di un attacco mirato alla supply chain.

Il caso Bybit non è un caso isolato

L’FBI ha ufficialmente identificato come responsabile un gruppo nordcoreano con nome in codice TraderTraitor. Negli ambienti della sicurezza informatica, questo gruppo è anche noto come Lazarus, APT38 o BlueNoroff. Il suo stile distintivo è costituito da attacchi persistenti, sofisticati e sostenuti nel settore delle criptovalute: hackeraggio degli sviluppatori di portafogli, rapina delle piattaforme di scambio di criptovalute, furto agli utenti comuni e persino creazione di falsi giochi play-to-earn.

Prima del raid di Bybit, il record del gruppo è stato il furto di 540 milioni di dollari dalla blockchain di Ronin Networks, creata per il gioco Axie Infinity. Nell’attacco del 2022, gli hacker hanno infettato il computer di uno degli sviluppatori del gioco utilizzando una falsa offerta di lavoro in un file PDF infetto. Questa tecnica di ingegneria sociale è tuttora nell’arsenale del gruppo.

A maggio 2024, il gruppo ha portato a termine un furto di oltre 300 milioni di dollari alla piattaforma di scambio di criptovalute giapponese DMM Bitcoin, che di conseguenza è fallita. In precedenza, nel 2020, erano stati sottratti più di 275 milioni di dollari dalla piattaforma di scambio di criptovalute KuCoin, a causa di una “chiave privata divulgata” per un hot wallet.

Da oltre un decennio Lazarus affina le sue tattiche di furto di criptovalute. Nel 2018 abbiamo scritto di una serie di attacchi a banche e piattaforme di scambio di criptovalute tramite un’app di trading di criptovalute trojanizzata nell’ambito dell’operazione AppleJeus. Gli esperti di Elliptic stimano che i guadagni illeciti totali degli autori legati alla Corea del Nord ammontino a circa 6 miliardi di dollari.

Cosa dovrebbero fare gli investitori in criptovalute

Nel caso di Bybit, i clienti sono stati fortunati: la piattaforma di scambio ha prontamente gestito l’ondata di richieste di prelievo che ne è seguita e ha promesso di compensare le perdite con i propri fondi. Bybit rimane attiva, quindi i clienti non devono intraprendere alcuna azione particolare.

Ma l’attacco informatico dimostra ancora una volta quanto sia difficile proteggere i fondi che fluiscono attraverso i sistemi blockchain e quanto poco si possa fare per annullare una transazione o rimborsare denaro. Data la portata senza precedenti dell’attacco, molti hanno chiesto che la blockchain di Ethereum venga riportata allo stato precedente all’attacco, ma gli sviluppatori di Ethereum ritengono questa soluzione “tecnicamente impossibile”. Nel frattempo, Bybit ha annunciato un programma di ricompensa per le piattaforme di scambio di criptovalute e i ricercatori etici, pari al 10% dei fondi recuperati, ma finora sono stati raccolti solo 43 milioni di dollari.

Ciò ha portato alcuni esperti del settore delle criptovalute a ipotizzare che la principale conseguenza dell’attacco informatico sarà un aumento dell’autocustodia delle criptovalute.

Con l’autocustodia la responsabilità di un deposito sicuro passa dalle spalle degli specialisti alle tue. Pertanto, è opportuno intraprendere questa strada solo se si ha totale fiducia nelle proprie capacità di padroneggiare tutte le misure di sicurezza e di seguirle scrupolosamente giorno dopo giorno. È improbabile che gli utenti normali senza milioni di criptovalute subiscano un attacco sofisticato mirato specificamente a loro, mentre gli attacchi di massa generici sono più facili da deviare.

Quindi, di cosa c’è bisogno per una custodia sicura delle criptovalute?

• Acquistare un portafoglio hardware con schermo. Questo è il modo più efficace per proteggere le criptovalute. È consigliabile prima fare una piccola ricerca e assicurarsi di acquistare un portafoglio da un venditore affidabile, e direttamente: mai di seconda mano o da un marketplace. Altrimenti, ci si potrebbe ritrovare con un portafoglio pre-hackerato che inghiotte tutti i fondi. Quando si utilizza un portafoglio per firmare i trasferimenti, è consigliabile controllare sempre l’indirizzo del destinatario sia sullo schermo del computer sia su quello del portafoglio per escludere che sia stato sostituito da uno smart contract dannoso o da un trojan clipper che sostituisce gli indirizzi dei portafogli di criptovaluta negli appunti.
• Non conservare mai le seedphrase del portafoglio in formato elettronico. Dimentica di usare i file sul tuo computer e le foto nella tua galleria per farlo: i moderni trojan hanno imparato a infiltrarsi in Google Play e nell’App Store e a riconoscere i dati nelle foto archiviate sullo smartphone. Saranno sicuri solo i documenti cartacei (o le incisioni su metallo, se preferisci) conservati in una cassaforte o in un altro luogo fisicamente sicuro, protetti sia dagli accessi non autorizzati che dai disastri naturali. Magari si potrebbero prendere in considerazione più posizioni di archiviazione e anche suddividere la seedphrase in più parti.
• Non tenere tutto in un unico posto. Per i detentori di grandi quantità o di diverse tipologie di criptovalute, ha senso utilizzare più portafogli. Piccole somme di denaro per esigenze transazionali possono essere conservate su una piattaforma di scambio di criptovalute, mentre la maggior parte può essere suddivisa tra diversi portafogli hardware di criptovalute.
• Utilizza un computer dedicato. Se possibile, dedica un computer alle transazioni in criptovaluta. Limita fisicamente l’accesso (ad esempio, mettilo in una cassaforte, in un armadio chiuso a chiave o in una stanza chiusa a chiave), usa la crittografia del disco e l’accesso tramite password, e disponi di un account separato con password proprie (ad esempio, diverse da quelle del computer principale). Installa una protezione affidabile e abilita le impostazioni di sicurezza massime sul tuo “cripto-computer”. Collegalo a Internet solo per le transazioni e utilizzalo esclusivamente per le operazioni con i portafogli. Giocare, leggere notizie sulle criptovalute e chattare con gli amici sono attività che richiedono un altro dispositivo.
• Se dedicare un computer è poco pratico o antieconomico, mantieni una rigorosa igiene digitale sul tuo computer principale. Crea un account separato con privilegi bassi (non amministratore) per le operazioni di crittografia e un altro account, sempre non amministratore, per lavoro, chat e giochi. Non è necessario lavorare in modalità amministratore, se non per aggiornare il software di sistema o riconfigurare in modo significativo il computer. Accedi al tuo “account per la criptovaluta” dedicato solo alle operazioni con i portafogli e disconnettiti subito dopo. Non consentire a terzi di accedere al computer e non condividere le password di amministratore con nessuno.
• Fai attenzione quando scegli un software per criptovalute. Studia attentamente la descrizione del software, accertati che l’applicazione sia sul mercato da molto tempo, verifica di scaricarla dal sito ufficiale e che la firma digitale della distribuzione corrisponda al sito Web e al nome del fornitore. Esegui una scansione approfondita del tuo computer con una soluzione di sicurezza aggiornata prima di installare ed eseguire il software del portafoglio di criptovaluta.
• Fai attenzione agli aggiornamenti. Anche se solitamente consigliamo di aggiornare subito tutto il software, nel caso delle applicazioni di criptovaluta vale la pena modificare leggermente questo criterio. Dopo l’uscita di una nuova versione, attendi circa una settimana e leggi le recensioni prima di installarla. Ciò darà alla community il tempo di individuare eventuali bug o trojan che potrebbero essersi insinuati nell’aggiornamento.
• Segui le misure di sicurezza informatica avanzate descritte nel nostro post Come proteggere i crypto-investimenti: 4 passi chiave verso la sicurezza, che includono l’installazione di una potente soluzione di sicurezza, come Kaspersky Premium sul tuo computer e smartphone, aggiornando regolarmente il sistema operativo e i browser e utilizzando password complesse e univoche.
• Aspettati attacchi di phishing. Le frodi sulle criptovalute possono essere sia complesse che sofisticate, quindi qualsiasi messaggio inaspettato tramite e-mail, app di messaggistica e simili dovrebbe essere visto come l’inizio di una truffa. Rimani aggiornato su tutte le ultime truffe sulle criptovalute seguendo il nostro blog o canale Telegram nonché altre fonti attendibili in materia di sicurezza informatica.

Per saperne di più sulle truffe legate alle criptovalute e sui modi per proteggersi, leggi i nostri post dedicati:

• Otto furti di criptovaluta tra i più audaci della storia
• La top-5 dei furti di criptovalute più eclatanti della storia
• Caso reale: falso portafoglio hardware per criptovalute
• Pig butchering: frodi associate alle criptovalute su larga scala
• e altri articoli sulle criptovalute.