Le criptovalute sono un bersaglio perfetto per i cybercriminali: ci sono molti modi per rubarle ed è molto difficile per le vittime recuperarle. Alcuni hacker ne fanno incetta, ricavando da un attacco decine, o talvolta centinaia, di milioni di dollari. In questo post vi presentiamo la classifica con i 5 furti di criptovalute più eclatanti della storia (relativamente corta) delle criptomonete. E alla fine, include un bonus: la storia incredibile di un furto di criptovalute degno di una serie di Netflix…
5. Chiave dello scheletro
- Vittima: cryptoexchange KuCoin
- Quando: 26 settembre 2020
- Perdite: circa 285 milioni di dollari
Nella notte tra il 25 e il 26 settembre 2020, i responsabili della sicurezza della compagnia KuCoin, con sede a Singapore, hanno rilevato una serie di transazioni anomale da diversi hot wallet. Per bloccare le transazioni sospette hanno trasferito tutte le attività rimanenti dagli hot wallet compromessi al cold storage. L’intero incidente è durato circa due ore, dal rilevamento al completamento. Durante questo periodo, gli hacker sono riusciti a prelevare circa 285 milioni di dollari in diverse criptovalute.
Le indagini hanno rivelato che i criminali informatici sono riusciti ad accedere alle chiavi private degli hot wallet. Uno dei principali sospettati è Lazarus Group, una cyber-gang APT nord-coreana. I criminali hanno infatti utilizzato un algoritmo multi-fase per riciclare il bottino, con un modus operandi simile a quello utilizzato in precedenti hack del gruppo Lazarus. In primo luogo, hanno fatto transitare quantitativi uguali di criptovalute attraverso un tumbler (uno strumento per mischiare i fondi di criptovalute con altri per oscurarne le tracce), quindi hanno trasferito le criptovalute attraverso piattaforme decentralizzate.
Nonostante le dimensioni, questo colpo non ha rappresentato la fine del cryptoexchange. Il giorno successivo al furto, il CEO di KuCoin Johnny Lyu ha promesso durante un livestream di rimborsare i fondi rubati. Lyu ha mantenuto la parola, e nel novembre 2020 ha pubblicato un tweet affermando che l’84% delle risorse colpite era stato restituito ai proprietari. Il restante 16% era coperto dal fondo assicurativo di KuCoin.
4. Soldi spuntati dal nulla
- Vittima: il bridge cross-chain Wormhole
- Quando: 2 febbraio 2022
- Perdite: 334 milioni di dollari
Il prossimo colpo della nostra Top-5 è un furto che ha sfruttato una vulnerabilità presente in Wormhole, un protocollo bridge cross-chain. I cybercriminali sono stati aiutati dal fatto che gli sviluppatori della piattaforma avevano reso pubblico il codice del loro programma. Ma prima di tutto…
Wormhole è uno strumento che funge da intermediario per le transazioni di criptovalute. In particolare, consente agli utenti di spostare i token tra le reti Ethereum e Solana. Tecnicamente, lo scambio funziona così: i token vengono congelati in una catena, mentre i cosiddetti “wrapped token” dello stesso valore vengono emessi nell’altra.
Wormhole è un progetto open-source con un repository proprio su GitHub. Poco prima del colpo, i developer vi hanno inserito del codice per correggere una vulnerabilità che interessava il protocollo. Tuttavia, gli hacker sono riusciti a sfruttare la vulnerabilità prima che le modifiche venissero applicate.
Il bug ha permesso loro di aggirare la verifica delle transazioni su Solana e di emettere 120.000 “wrapped ETH” (del valore di circa 334 milioni di dollari al momento dell’attacco) senza congelare la garanzia equivalente nella blockchain di Ethereum. I cybercriminali hanno quindi trasferito due terzi dell’importo totale del furto in un wallet Ethereum e hanno utilizzato il resto per acquistare altri token.
Wormhole ha lanciato un appello pubblico agli autori dell’attacco chiedendo loro di restituire i fondi rubati e di fornire i dettagli dell’exploit a cambio di una ricompensa di 10 milioni di dollari. Come era da immaginare, i ladri hanno ignorato la generosa offerta.
Il giorno successivo al colpo, Wormhole ha pubblicato un tweet in cui affermava che tutti i fondi erano stati ripristinati e che il bridge era tornato a funzionare come prima. Il buco finanziario è stato chiuso da Jump Trading, la società che aveva acquistato Wormhole sei mesi prima dell’incidente. Per il momento, a giudicare dalle informazioni disponibili, i ladri rimangono sconosciuti.
3. Un colpo durato tre anni
- Vittima: cryptoexchange Mt.Gox
- Quando: Febbraio 2014
- Perdite: 480 milioni di dollari
La storia di Mt.Gox inizia nel lontano 2007 quando era una piattaforma per lo scambio di carte del gioco “Magic: l’adunanza“. Tre anni dopo, in seguito alla crescente popolarità delle criptovalute, il proprietario del sito, il programmatore statunitense Jed McCaleb, decise di trasformarlo in un cryptoexchange, ma poi vendette il servizio allo sviluppatore francese Mark Karpelès nel 2011. Solo due anni dopo, Mt.Gox scambiava circa il 70% dei bitcoin del mondo.
Alla rapida ascesa è seguito un crollo devastante. Il 7 febbraio 2014, l’exchange ha improvvisamente bloccato tutti i prelievi di bitcoin. La società ha attribuito la colpa a problemi tecnici. I clienti indignati si sono raccolti davanti alla sede di Mt.Gox a Tokyo, chiedendo la restituzione dei loro soldi. Le loro proteste non sono servite a nulla.
Il fatto straordinario di questa storia è che il furto ai danni di Mt.Gox è iniziato nel 2011. All’epoca, alcuni hacker sconosciuti si impossessarono delle chiavi private di un hot wallet in un exchange e cominciarono a sottrarre poco a poco i bitcoin. Nel 2013, i cybercriminali avevano depositato 630.000 BTC sui loro conti.
Mt.Gox ha infine chiuso le contrattazioni il 28 febbraio 2014, quando Karpelès ha dichiarato bancarotta e si è scusato per le “debolezze del sistema” che hanno portato alla scomparsa di circa 750.000 BTC di fondi dei clienti e di 100.000 BTC propri. L’ammontare dei fondi rubati viene solitamente indicato in circa 480 milioni di dollari; si tratta del valore del numero totale di token rubati al tasso di cambio del giorno precedente la dichiarazione di fallimento dell’exchange, ovvero il 27 febbraio.
È bene osservare che nel periodo successivo alla cessazione dell’attività di trading di Mt.Gox, e prima della dichiarazione di bancarotta, il prezzo del bitcoin è sceso notevolmente. Se si calcola il tasso di cambio del 6 febbraio (il giorno prima della chiusura effettiva dell’exchange), la perdita sarebbe di circa 660 milioni di dollari. Tuttavia, entrambe le cifre sono approssimative: non tengono conto dei tre anni di durata del colpo, durante i quali il tasso di cambio ha subito fluttuazioni enormi. È quindi difficile stabilire l’ammontare esatto del danno.
Come sono riusciti a portare a termine l’attacco? Secondo gli ex dipendenti, il team manageriale dell’azienda era piuttosto negligente riguardo a molte questioni importanti. Ad esempio, Mt.Gox aveva seri problemi di reporting finanziario. Inoltre, non è mai stata effettuata un’adeguata verifica della qualità e della sicurezza del codice: ad esempio, non esisteva un sistema di controllo delle versioni.
Il pubblico ministero ha accusato il titolare di Mt.Gox, Karpelès, di appropriazione indebita di circa 3 milioni di dollari di fondi dei clienti. Ma non sono riusciti a dimostrarlo in tribunale. Alla fine, Karpelès ha ricevuto solo una condanna sospesa a due anni e sei mesi per manipolazione di dati ed è stato assolto da altre accuse.
2. Quasi mezzo miliardo
- Vittima: L’exchange di criptovalute Coincheck
- Quando: 26 gennaio 2018
- Perdite: 496 milioni di dollari
Coincheck è uno dei principali cryptoexchange giapponesi. Nel 2018, i cybercriminali sono riusciti a rubargli più di 500 milioni di token NEM, per un valore approssimativo della stessa cifra in dollari.
L’azienda ha affermato che il suo sistema di sicurezza era robusto e non ha riportato le modalità esatte attraverso le quali gli intrusi hanno portato a termine l’attacco. Detto questo, alcuni esperti ritengono che i criminali informatici possano aver avuto accesso alle chiavi private degli hot wallet di Coincheck con l’aiuto di un malware nascosto in un computer dell’ufficio dell’ azienda.
Gli hacker hanno anche creato un proprio sito che vendeva token NEM a cambio di bitcoin e altre criptovalute con uno sconto del 15%. Di conseguenza, il tasso di cambio del NEM è sceso bruscamente e Coincheck ha perso circa 500 milioni di dollari che però non hanno portato alla chiusura dell’exchange. Inoltre, non è stato possibile rintracciare i criminali. L’exchange ha dovuto sospendere le attività per un po’ e ha promesso di risarcire i clienti con fondi propri.
1. Offerta di lavoro con sorpresa
- Vittima: Piattaforma blockchain Ronin Network
- Quando: Marzo 23, 2022
- Perdite: 540 milioni di dollari
Ronin Network è stata creata appositamente da Sky Mavis per il gioco play-to-earn Axie Infinity, che consente ai giocatori di acquistare la valuta di gioco Smooth Love Potion (SLP). Alla fine di marzo 2022, alcuni hacker sconosciuti hanno rubato a Ronin Network la cifra record di 540 milioni di dollari in criptovalute. Sono stati aiutati da uno spyware e dalla magia dell’ingegneria sociale.
L’attacco mirato era rivolto ai dipendenti di Sky Mavis, uno dei quali ha abboccato all’esca (molto probabilmente su LinkedIn). Dopo aver superato un “processo di selezione”, uno degli ingegneri senior ha ricevuto una “offerta di lavoro” sotto forma di file PDF con all’interno uno spyware. Questo ha permesso ai ladri di prendere il controllo di quattro delle chiavi private di validazione della rete.
Per ottenere l’accesso alle risorse dell’azienda, dovevano compromettere almeno cinque dei nove validatori. Come accennato poc’anzi, lo spyware li ha aiutati a impossessarsi di quattro chiavi. La quinta è stata ottenuta grazie a una svista dell’azienda stessa che aveva autorizzato la DAO (Organizzazione Autonoma Decentralizzata) di Axie a firmare le transazioni per aiutare Ronin Network a contenere il volume degli utenti, dimenticandosi poi di revocare l’autorizzazione.
Sky Mavis, tuttavia, si è rapidamente ripresa dall’incidente. Nel giugno 2022 ha rilanciato la piattaforma blockchain e ha iniziato a risarcire i giocatori coinvolti.
Bonus: un hackeraggio con restituzione
- Obiettivo: Protocollo cross-chain di Poly Network
- Quando: 10 agosto 2021
- Perdite (poi recuperate): 610 milioni di dollari
Come storia bonus, concludiamo con un altro enorme furto di criptovalute, che si è concluso con la restituzione di ogni centesimo del bottino. Ecco cosa è successo…
Poly Network è un altro protocollo per implementare l’interoperabilità della blockchain. Nell’estate del 2021 è stato testimone di una delle più grandi rapine della storia delle criptovalute. Un hacker sconosciuto, sfruttando una vulnerabilità di Poly Network, ha rubato più di 600 milioni di dollari in varie criptovalute.
Poly Network ha lanciato un appello su Twitter al colpevole affinché restituisse i token rubati. Con grande stupore di tutti, l’hacker si è messo in contatto con la compagnia e ha accettato. Poco alla volta ha trasferito i token rubati, dividendoli in più parti disuguali.
Le trattative online tra l’hacker e Poly Network sono andate avanti per parecchio tempo. Durate questo periodo, il ladro ha dichiarato di non essere interessato al denaro e di aver realizzato il furto solo per “motivi ideologici”. In segno di gratitudine, Poly Network ha ritirato le accuse contro di lui, ha garantito il suo anonimato, gli ha offerto una ricompensa di 500.000 dollari e lo ha persino invitato a diventare il suo principale consulente per la sicurezza. Ha anche lanciato un programma di bug-bounty del valore di 500.000 dollari.
Non c’è una vera morale in questa storia, ma…
Questa è solo Top-5 dei furti di criptovalute più eclatanti, tutti mirati a grandi organizzazioni. Naturalmente, sono molti gli incidenti di minore entità che colpiscono continuamente anche gli utenti comuni. Di conseguenza, ogni investitore deve prendere provvedimenti per mettere al sicuro i propri fondi. Ecco alcuni utili consigli:
- Scegliete con cura le piattaforme per il trading e le operazioni: leggete i feedback e le recensioni e, se possibile, consultate gli utenti esperti di cui vi fidate.
- Non date a nessuno i dati di accesso al vostro account sull’exchange o le credenziali del vostro wallet. Ricordate di tenere segrete non solo le password e le chiavi private, ma anche la vostra frase di ripristino.
- Conservate i vostri principali risparmi in criptovalute in un cold wallet: a differenza di quelli hot, non hanno bisogno di essere permanentemente online e quindi sono generalmente più sicuri.
- Se utilizzate un hot wallet, assicuratevi di attivare l’autenticazione a due fattori.
- Attenzione al phishing! Per sapere come riconoscere i ladri di criptovalute, consultate questo post.
- Utilizzate una soluzione di sicurezza affidabile che protegga le transazioni finanziarie, impedisca ai programmi malware di rubare le password o le chiave private del vostro wallet e vi avverta dei siti fraudolenti.