Un furto di criptovalute da mezzo miliardo di dollari

Oggi analizziamo un importante furto di criptovalute realizzato attraverso uno spyware contenuto in un PDF.

Ci capita spesso di parlarvi di truffe in cui i cybercriminali ingannano gli utenti promettendo loro un sacco di soldi, mentre in realtà accade proprio il contrario e gli utenti vengono derubati. In un modo simile, sfruttando l’avidità e la negligenza dei loro dipendenti, i criminali informatici riescono a mettere le mani sui soldi di intere aziende.

Questo è esattamente quello che è successo al sistema blockchain Ronin Networks creato da Sky Mavis per il gioco play-to-earn Axie Infinity. Un dipendente di Sky Mavis ha scaricato un file PDF che conteneva uno spyware nascosto, provocando uno dei più grandi furti di criptovalute mai visti. L’azienda ha perso 173 600 ETH e 25,5 milioni di USDC (circa 540 milioni di dollari al momento dell’incidente). Oggi analizziamo l’attacco in modo dettagliato e condividiamo con voi alcuni consigli su come proteggersi.

Qualche dato su Axie Infinity e Ronin Networks

Axie Infinity è un videogioco online in cui i giocatori guadagnano criptovalute con l’aiuto di creature fantastiche note come “assi” che possono essere “allevate” ed utilizzate nelle competizioni, e vendute ad altri giocatori. Per i giocatori, gli assi sembrano animali coccolosi, ma sono essenzialmente token non fungibili (NFT).

Rilasciato nel 2018, Axie Infinity ha conquistato subito l’interesse di una vasta platea di giocatori. Al suo apice, i giocatori potevano guadagnare così tanto che per alcune persone nel Sud-Est asiatico è diventato un lavoro a tempo pieno. Nel novembre 2021, quando ha raggiunto il record, il gioco vantava 2,7 milioni di giocatori al giorno e l’anno scorso i ricavi hanno raggiunto i 215 milioni di dollari a settimana (nell’estate del 2022, tuttavia, erano scesi a un modesto milione di dollari a settimana).

I pagamenti nell’ecosistema Axie Infinity vengono effettuati utilizzando la valuta di gioco Smooth Love Potion (SLP), basata sulla blockchain Ethereum. Per consentire agli utenti di acquistare e vendere SLP a cambio di criptovalute normali in modo conveniente e senza commissioni elevate, gli sviluppatori hanno creato la piattaforma Ronin. È stata questa piattaforma ad attirare l’attenzione dei cybercriminali.

Un’offerta succulenta: come i truffatori hanno ingannato gli sviluppatori

Per accedere alla piattaforma, gli hacker hanno effettuato un attacco mirato ai dipendenti di Sky Mavis. Hanno raccolto informazioni sull’azienda e hanno ideato una truffa basata su una falsa offerta di lavoro con uno stipendio molto allettante.

L’attacco prevedeva l’invio (molto probabilmente su LinkedIn) di un’allettante offerta di lavoro a un ingegnere senior (che avrebbe dovuto rendersi conto che c’era qualcosa di strano). Dopo aver superato a pieni voti tutte le “fasi del processo di selezione”, il dipendente, come previsto, riceveva la golosa offerta sotto forma di file PDF. Quando questo file veniva scaricato, lo spyware al suo interno si diffondeva nella rete aziendale.

Spyware in azione: ritiro dei fondi

I criminali informatici hanno utilizzato il malware per accedere alle chiavi private dei validatori di rete, ovvero i nodi che verificano e confermano le transazioni di criptovalute. Al momento dell’attacco, Ronin Networks disponeva di nove validatori di questo tipo e, per effettuare la transazione, almeno cinque di essi dovevano approvarlo. Alla fine, gli hacker sono riusciti a ingannare quattro validatori della propria azienda e un quinto appartenente all’organizzazione decentralizzata autonoma Axie DAO, dove non lo avremmo trovato (e non avrebbe dovuto trovarsi) se non fosse stato per una svista della stessa Sky Mavis.

Nel novembre 2021, a causa dell’elevato volume di transazioni e del carico sui validatori, la società ha permesso ad Axie DAO di approvare i trasferimenti. Dopo un mese, il carico è diminuito e l’assistenza di Axie DAO non era più necessaria, ma i diritti di approvazione delle transazioni non sono stati ritirati, il che ha fatto il gioco dei cybercriminali. Dopo essere penetrati nel sistema di Sky Mavis, gli hacker hanno ottenuto l’accesso anche ad Axie DAO, che forniva il quinto validatore necessario per prelevare fondi dal conto terzo e trasferirli sul proprio.

La risposta di Sky Mavis

Dopo aver scoperto l’attacco, Sky Mavis ha agito in modo responsabile e ha preso provvedimenti per rafforzare la sicurezza. L’azienda ha coinvolto esperti di sicurezza esterni appartenenti a Verichains e CertiK e ha condotto un audit approfondito nei confronti di Ronin Networks. Sky Mavis ha anche aumentato il numero di validatori a 11, promettendo di aumentarne gradualmente il numero fino a portarlo ad almeno 100. Maggiore è il numero totale di validatori, maggiore è il numero di nodi che devono essere compromessi per effettuare transazioni non autorizzate, quindi l’aumento del loro numero dovrebbe in teoria rendere più difficili gli attacchi.

Poiché i fondi rubati appartenevano effettivamente ai giocatori di Axie Infinity, il 28 giugno Sky Mavis ha iniziato a pagare i risarcimenti alle vittime. A tale scopo, la società ha sfruttato sia le proprie risorse che i 150 milioni di dollari di finanziamenti di Binance ricevuti all’inizio di aprile.

Come proteggersi

Quando pianificano attacchi mirati, i criminali informatici studiano attentamente le vittime alla ricerca di eventuali punti deboli. Questi possono essere sia falle di sicurezza presenti nei dispositivi e nei software, sia il fattore umano. L’ “eroe” del nostro post era un esperto IT, ma anche lui è stato ingannato. Per evitare di cadere in tranelli simili, è importante mantenere al sicuro i dati, il denaro e i token, rimanere vigili e non trascurare le misure di sicurezza.

  • Non fidatevi di offerte generose e inaspettate: nonostante si tratti del lavoro dei vostri sogni con uno stipendio eccezionale, di un premio, di un’eredità da parte di qualche parente lontano o di altre offerte celestiali, diffidate.
  • Evitate di scaricare file o di cliccare su link contenuti in e-mail e messaggi provenienti da mittenti che non conoscete, a maggior ragione se state usando la rete dell’ufficio e i file e i link non sono legati al lavoro.
  • Utilizzate una soluzione di sicurezza affidabile che impedisca l’esecuzione di malware sul vostro dispositivo.

 

Consigli