Un utente di criptovalute ha perso quasi 50 milioni di dollari a causa di un costoso errore dovuto alla copia di un indirizzo contraffatto e alla fiducia nella somiglianza visiva. Secondo l’aggiornamento di Lookonchain, la vittima ha copiato l’indirizzo del wallet sbagliato quando ha effettuato il trasferimento crypto.
Come l’attaccante ha sfruttato un “errore comune”
In particolare, la vittima aveva effettuato una prova inviando 50 dollari al proprio indirizzo, il che ha permesso allo scammer di contraffare il wallet. L’attaccante ha utilizzato gli stessi primi e ultimi quattro caratteri per eseguire un “poison attack”.
L’attacco ha sfruttato le interfacce comuni dei wallet che abbreviano gli indirizzi per facilitarne la lettura.
L’indirizzo contraffatto, creato dall’attaccante, è stato quello che la vittima ha erroneamente copiato e su cui ha poi trasferito il restante importo di 49.999.950 dollari. La trappola predisposta dall’attaccante ha funzionato, portando alla perdita dei fondi, poiché le transazioni sulla blockchain sono irreversibili.
Questo incidente sottolinea la necessità per gli utenti di verificare sempre l’indirizzo completo, non solo i primi e gli ultimi caratteri. Questo perché le truffe di “address poisoning” sono aumentate significativamente nel 2025, con attaccanti malintenzionati che cercano di sfruttare qualsiasi errore commesso dai proprietari dei wallet.
Gli esperti hanno sempre sconsigliato di “copiare e incollare” gli indirizzi dalla cronologia delle transazioni per comodità.
Una tale azione potrebbe portare a copiare un indirizzo contraffatto e inviare i fondi a una destinazione diversa. Pertanto, si raccomanda agli utenti di fermarsi sempre e verificare tutti i trasferimenti almeno due volte, in particolare quelli che coinvolgono somme ingenti.
Uno sforzo collaborativo può limitare gli exploit online?
Alcuni membri della comunità online hanno sostenuto che il settore crypto dovrebbe normalizzare i contratti intelligenti e la whitelist degli indirizzi. Hanno inoltre promosso la necessità di maggiori campagne di sensibilizzazione che informino costantemente gli utenti su questa vulnerabilità.
All’inizio di maggio 2025, l’exchange leader Coinbase ha collaborato con le autorità di polizia per prevenire schemi di spoofing volti a manipolare il mercato. Come evidenziato dal Chief Legal Officer di Coinbase, Paul Grewal, lo schema di spoofing era guidato da un certo Chirag Tomar, che aveva rubato oltre 20 milioni di dollari agli utenti.
Tomar si è spacciato per l’exchange Coinbase e ha inviato email false a utenti ignari, simulando comunicazioni ufficiali per truffare le vittime. L’incidente mostra la forza degli sforzi collaborativi nel contrastare le truffe nell’industria crypto.
In generale, questi attori malintenzionati cercano modi per sfruttare offerte legittime e clonarle per ingannare gli utenti.
Questo potrebbe spiegare il motivo per cui Binance, durante il suo recente evento a Dubai, ha emesso un aggiornamento cruciale agli utenti. Ha avvertito gli utenti di non cliccare su alcun link che non sia il canale ufficiale di trasmissione Binance Live. Il consiglio era volto a proteggerli dal cadere vittima di attacchi malevoli.
