Cosa significa l'avvelenamento degli indirizzi?
L’avvelenamento degli indirizzi (o poisoning d’indirizzo in italiano) è una forma di truffa che mira a tutti gli utenti di criptovalute, compresi coloro che hanno portafogli freddi.
In un attacco di questo tipo, inizialmente un individuo malintenzionato invia una quantità molto piccola di una criptovaluta relativamente popolare al tuo indirizzo blockchain. In rari casi, può anche essere utilizzato un token non fungibile (NFT).
In questo modo, la transazione verrà poi registrata nella cronologia delle transazioni legate al tuo indirizzo. Il problema sorge quando l’imbrogliere fa in modo che il suo indirizzo sia simile al tuo.
Per sottrarre fondi, l’imbroglione spera ora che quando invierai fondi al tuo indirizzo, copierai il suo indirizzo dalla cronologia delle tue transazioni, pensando che sia il tuo, e invierai quindi le criptovalute sul suo indirizzo per errore.
Infatti, quando un detentore di criptovalute desidera effettuare una transazione, solitamente controlla i primi e gli ultimi caratteri dell’indirizzo blockchain per assicurarsi che sia il suo. Inoltre, la maggior parte dei portafogli digitali visualizza una versione abbreviata degli indirizzi, che comprende solo l’inizio e la fine di essi.
Ecco ad esempio la visualizzazione di un indirizzo Ethereum da alcune schede del portafoglio MetaMask. Sono visualizzati solo i primi 5 caratteri e gli ultimi 4 caratteri dell’indirizzo:
Il successo di un attacco di avvelenamento degli indirizzi si basa quindi sul fatto che l’indirizzo blockchain dell’imbroglione assomiglia molto al tuo, al fine di ingannare la tua attenzione. Ma come è possibile ciò?
Come può un truffatore avere un indirizzo simile al tuo?
Per generare un indirizzo blockchain simile ad un altro, ci sono strumenti che consentono di personalizzare un indirizzo. Per questo, è sufficiente utilizzare un generatore di indirizzi blockchain, o “vanity address generator”.
Con uno strumento del genere, un truffatore può facilmente e rapidamente creare un indirizzo che condivide gli stessi 4 o 5 caratteri iniziali e gli ultimi 4 o 5 caratteri del tuo indirizzo.
Utilizzando un computer personale, si stima che trovare un indirizzo con gli ultimi 7 caratteri richieda circa un mese. Un truffatore può ridurre drasticamente questo tempo di attesa ottenendo più potenza di calcolo, in particolare sfruttando piattaforme di cloud computing.
Cosa fare per proteggersi dagli attacchi di avvelenamento degli indirizzi?
Innanzitutto, è importante precisare che non è possibile impedire alle persone, anche malintenzionate, di inviare criptovalute al tuo indirizzo blockchain pubblico.
Tuttavia, è possibile prendere alcune precauzioni per evitare attacchi di avvelenamento degli indirizzi. Anche se può risultare relativamente cronofago, oggi è essenziale essere prudenti e seguire le seguenti raccomandazioni:
- Verificare accuratamente tutti i caratteri dell’indirizzo inserito nel tuo portafoglio prima di confermare l’esecuzione della transazione. Non limitarti a controllare solo l’inizio e la fine dell’indirizzo inserito;
- Quando desideri inviare criptovalute, evita di copiare gli indirizzi dall’elenco delle transazioni, sia che si tratti del tuo portafoglio o di un esploratore di blocchi come Etherscan. Questo vale anche per il tuo stesso indirizzo, ad esempio quando desideri trasferire fondi da una piattaforma centralizzata al tuo portafoglio;
- Se l’importo trasferito è importante, puoi inviare una transazione di prova con una piccola quantità. Anche se questo metodo è particolarmente efficace, dovrai pagare due volte le commissioni di gas della blockchain;
- Utilizza la directory degli indirizzi del tuo portafoglio per registrare gli indirizzi frequentemente utilizzati.