Gli hack di criptovalute mettono in luce le vulnerabilità di sicurezza della moneta digitale: quali sono i più grandi hack di crypto?

I 5 peggiori hackeraggi di cryptovalute e quanto hanno rubato

Tra le storie che meritano di essere raccontate, gli hack di blockchain o di altri protocolli di criptovaluta occupano un posto speciale. Sempre temuti dagli utenti, ma spesso fantasticati dagli osservatori, gli exploit delle falle sono una minaccia costante.

In questo articolo, diamo uno sguardo indietro a 5 hack che hanno segnato la storia delle criptovalute. Sia per la loro importanza fondamentale che per la quantità di denaro raccolto dagli hacker, tutti questi hack hanno avuto un posto speciale nello sviluppo del settore blockchain.

The Wormhole: 325 milioni di dollari rubati da un bridge celebre

Nel mondo delle criptovalute e della blockchain, l’obiettivo dell’interoperabilità è una priorità per tutti gli sviluppatori del settore. Da quel momento in poi, la creazione di bridge diventa essenziale per costruire un ecosistema coerente. L’hack del ponte Wormhole per 325 milioni di dollari è stato un piccolo terremoto nella comunità.

In effetti, un bridge è semplicemente uno smart contract che blocca i fondi nativi di una rete blockchain prima di trasferirli a un’altra blockchain sotto forma di token. In effetti, un ponte consente un flusso significativo di fondi tra le blockchain, ma una vulnerabilità nel suo codice può trasformarsi rapidamente in una catastrofe finanziaria.
In questo senso, la storia di The Wormhole è un’illustrazione perfetta, in quanto si tratta del quarto più grande hack di criptovalute della storia, ma anche il secondo più grande mai avvenuto in un protocollo DeFi.

L’esistenza di The Wormhole ha un unico scopo: sviluppare l’ecosistema Solana. Da quel momento in poi, questo ponte ha permesso di collegare Solana ad altre blockchain, tra cui Ethereum e Avalanche. Il protocollo si è rapidamente diffuso ed è diventato un punto di riferimento per gli utenti.

Tuttavia, il 2 febbraio 2022, un messaggio proveniente dall’account Twitter ufficiale del servizio ha spaventato la comunità. Con una semplice frase, gli sviluppatori hanno spiegato che era in corso un attacco.
 
Il Wormhole è tornato rapidamente ai suoi utenti con la terribile notizia che gli aggressori avevano sfruttato una falla nello smart contract del ponte. Così, in poche ore, più di 120.000 ETH sarebbero stati rubati dagli attaccanti per un totale di circa 325 milioni di dollari, mentre il resto degli ETH presenti sulla rete Solana sarebbe stato convertito in 422.000 SOL, cioè circa 46,6 milioni di dollari.
 
In preda all’ansia di non rivedere più il proprio investimento, le vittime hanno cercato di contattare l’hacker tramite la blockchain, chiedendogli esplicitamente di restituire parte dei fondi rubati. Non sorprende che gli sviluppatori hanno tentato di negoziare con l’hacker offrendogli 10 milioni di dollari in Bounty.
 
Poiché l’aggressore non ha risposto, The Wormhole bridge si è occupato di riempire il buco lasciato dallo sfruttamento della falla per riguadagnare rapidamente un rapporto 1:1 tra ETH depositati e tokenizzati.
 
Tuttavia, questo risultato non sarebbe stato possibile senza l’intervento di Jump Crypto. In effetti, l’azienda è intervenuta per salvare il bridge di The Wormhole pochi giorni dopo l’hacking, dando il suo incondizionato sostegno al progetto.

Fonti: Twitter, Twitter

Poly Network: una fine positiva dopo un hackeraggio da 611 milioni di dollari

L’estate del 2021 è stata fortemente segnata da uno dei più grandi hack nella storia delle criptovalute: quello di Poly Network per un importo di 611 milioni di dollari. Questo protocollo di interoperabilità tra blockchain specializzate nella DeFI avrebbe certamente preferito fare meno di questo riflettore.

Il 10 agosto 2021, l’azienda è tenuta a informare la propria comunità dell’hacking del suo protocollo. Nei fatti, 611 milioni di dollari sono stati rubati da un hacker grazie a una falla scoperta nel codice di Poly Network.

Il panico è totale, ma in un tentativo disperato gli sviluppatori cercano di contattare pubblicamente l’hacker per cercare di risolvere la situazione in modo amichevole. Questa lettera aperta, scritta senza troppe speranze, si rivelerà presto una manna dal cielo.

In effetti, questo contatto non lascerà indifferente l’attaccante di Poly Network. Di conseguenza, quest’ultimo inizierà a restituire tutti i fondi al protocollo. Tuttavia, i 33 milioni di USDT congelati da Tether non possono essere restituiti immediatamente.

In risposta, Poly Network ha spiegato che offriva all’hacker una ricompensa di 500.000 dollari per le sue azioni, offrendogli anche una posizione nella sua divisione di sicurezza informatica.

L’hacker risponderà a questo messaggio spiegando di aver scoperto rapidamente una falla senza incontrare alcuna difficoltà. La sua intenzione principale, non era quella di fare soldi, ma di contribuire con la sua esperienza a far maturare il settore della DeFi.

Quindi si tratta davvero di un white hat o solo di qualcuno che aveva paura delle ripercussioni legali della sua azione? La questione rimane aperta, ma questo grande hack è stato in definitiva di breve durata.

Tutto è bene quel che finisce bene per Poly Network.

Fonti : Medium

 

Axie Infinity: un errore di negligenza porta a un hacking da 625 milioni di dollari

Axie Infinity si è affermata come punto di riferimento per i play to earn. La sua popolarità è aumentata solo nel 2021, ma il rovescio della medaglia è stato particolarmente intenso per l’editore Sky Mavis, visto che un hacking da 625 milioni di dollari ha colpito il suo gioco principale.

Infatti, il 29 marzo 2022, il gigante Axie Infinity ha annunciato di essere stato privato di parte dei suoi fondi. Si è trattato infatti del più grande hack nella storia delle criptovalute, con 173.600 ETH e 25,5 milioni di USDC rubati dai malintenzionati.

In particolare, un ingegnere di Axie Infinity si è candidato a una falsa offerta di lavoro su LinkedIn pubblicata dall’hacker. Grazie a questa tradizionale tecnica di phishing, l’hacker è riuscito a recuperare 4 chiavi di convalida delle 5 necessarie per accedere al sistema del gioco. Tuttavia, per entrare sono state necessarie 5 chiavi di convalida.

Quest’ultima chiave di convalida è stata recuperata a causa di un errore di Sky Mavis. Mentre il suo gioco registrava un picco di utenti, l’editore si è affidato a un validatore chiamato Axie DAO per firmare diverse transazioni per suo conto. Il problema? Le autorizzazioni non sono mai state revocate.

Bingo. Gli hacker sono ora nel sistema e la falla è stata completamente sfruttata. Le indagini successive all’attacco hanno dimostrato che dietro l’hacking c’erano sicuramente hacker nordcoreani del gruppo Lazarus.

Il cofondatore di Sky Mavis, Jeff Zitlin, ha ammesso in una conferenza a Los Angeles che si tratta di “uno dei più grandi hack della storia“.

In realtà, questa affermazione è un eufemismo, poiché l’hack di Axie Infinity è letteralmente il più costoso nella storia delle criptovalute.

Fonte : Blog

Bitfinex: Netflix vuole realizzare un documentario sull'hacking di 120.000 bitcoin

Nel 2016, la piattaforma di scambio Bitfinex è un gigante nel mercato delle criptovalute. Allo stesso tempo, questo storico operatore di mercato si è visto improvvisamente rubare 120.000 bitcoin, equivalenti a 72 milioni di dollari dell’epoca. La risonanza di questo hack è enorme, in quanto fa crollare il prezzo del Bitcoin del 20%.

In effetti, la storia di Bitfinex è così incredibile che Netflix vuole farci un documentario.

Questo hack solleva questioni tecniche, poiché all’epoca Bitfinex utilizzava già la tecnologia multi-sig per proteggersi dagli hacker. Tuttavia, le migliaia di transazioni improvvise verso il portafoglio dell’hacker sono state effettuate senza le firme normalmente richieste. In totale, tutte le transazioni illegittime rappresentano il 30% dei fondi totali degli utenti della piattaforma.

Immediatamente, Bitfinex cerca una soluzione per affrontare l’impatto di questi bitcoin compromessi. L’indirizzo dell’hacker che ha ricevuto i fondi viene rapidamente inserito nella lista nera di tutte le borse centralizzate. Questa decisione congiunta causerà il congelamento di tutti i bitcoin rubati, in quanto per 5 anni non sarà possibile effettuare alcun movimento dall’indirizzo.
La compensazione degli utenti è avvenuta attraverso una strategia di rimborso piuttosto semplice. Bitfinex ha creato un token chiamato BFX. Questo gettone avrà un valore equivalente a 1 dollaro. Pertanto, a ogni utente vittima verrà accreditato un importo di BFX corrispondente a quello presente nel suo portafoglio prima dell’hack.
 
Nel 2022, proprio quando la storia sembra finita, due persone vengono arrestate in relazione al caso. Inoltre, le autorità annunciano di aver recuperato 3,6 miliardi di dollari in BTC. Questi bitcoin saranno utilizzati per riacquistare i token dall’attuale piattaforma per rimuoverli al fine di rimborsare il più possibile coloro che sono stati vittime dell’hack nel 2016. Ciò nonostante, i due presunti colpevoli, Ilya Lichtenstein e Heather Morgan, non sono stati arrestati per il furto dei fondi, ma per riciclaggio di denaro.

The DAO: un hack da 3,6 milioni di ETH

Nel 2016, Ethereum è emerso come la blockchain più promettente nell’ecosistema delle criptovalute. La blockchain sviluppata da Vitalik Buterin introduce abilmente i contratti intelligenti, suggerendo un nuovo paradigma per la blockchain. Comunque, l’hacking di 3 milioni di ETH su The DAO macchierà la volontà degli sviluppatori di Ethereum.

Questi nuovi casi d’uso includono i DAO. Queste entità decentralizzate vogliono restituire alla comunità una reale libertà di decisione. Tra queste iniziative, “The Dao” ha raccolto fondi dal pubblico, consentendo agli investitori di ottenere token di governance per partecipare alle decisioni future dell’entità.

Purtroppo per questa organizzazione, il 17 giugno alle 9 del mattino, ora di Roma, un hacker ha sfruttato una falla negli smart contract della DAO per accedere ai fondi della comunità. In poche ore sono stati rubati più di 3 milioni di ETH, che all’epoca equivalevano a circa 50 milioni di dollari.

La procedura utilizzata per drenare i fondi impedisce al black hat di accedere all’ETH fino a quando non viene rispettata una scadenza di 35 giorni. Questo ritardo ha dato ai membri della comunità il tempo di prendere una decisione sul futuro non solo di The DAO, ma anche della blockchain di Ethereum.

Così, dopo accesi dibattiti, in cui si sono contrapposte due forti ideologie, è stata presa la decisione di effettuare un hard fork della blockchain. La conseguenza principale di questa decisione è la divisione della blockchain in due reti distinte. È così che è nata la famosa distinzione tra ETH ed ETC.

Autore

Cofondatore di Criptosociety, sono appassionato di Bitcoin da diversi anni. Il mio obiettivo è quello di lavorare per la democratizzazione del Bitcoin, della Blockchain e delle criptovalute per rendere questo universo selvaggio accessibile al maggior numero di persone possibile. Mi piace condividere la mia esperienza e sono sempre disponibile a rispondere alle vostre domande, sia per e-mail, nei commenti o sui social network.

Scrivere un commento