Quantcast
Internet Insecurity

Sembra che un hacker abbia rubato 7,4 milioni di dollari in Ethereum con questo trucco

Gli investitori avrebbero inviato i loro fondi a un indirizzo sbagliato durante un'ICO.

Image: vchal/Shutterstock and Ethereum. Composite: Rachel Pick/Motherboard

Un hacker avrebbe appena rubato l'equivalente di circa 7,4 milioni di dollari in ether, la criptovaluta che sta alla base della piattaforma ethereum, ingannando le vittime facendo sì che inviassero denaro all'indirizzo sbagliato, durante una Initial Coin Offering, o ICO. Questo secondo un'azienda chiamata Coindash, che dice che i suoi investitori avrebbero in realtà inviato i finanziamenti destinati al progetto a un hacker.

Lunedì scorso, Coindash, che offre una piattaforma di scambio per ether, avrebbe dovuto lanciare la sua Initial Coin Offering. Si tratta in pratica di DRIVES di crowdfunding che permettono agli investitori di acquisire delle quote nella app comprando degli asset digitali chiamati token. Le Initial Coin Offering sono un metodo incredibilmente popolare per finanziare una app su ethereum, e alcune ICO hanno raccolto milioni di dollari a pochi minuti dal lancio. Persino le app più ridicole sono riuscite a prendere migliaia di dollari in investimenti token durante ICO recenti.

L'ICO di Coindash, come molte altre, è iniziata con la pubblicazione di una riga di testo che rappresenta un indirizzo ethereum a cui gli investitori possono inviare denaro tramite il sito della app. Il problema è che, nel giro di pochi minuti dal lancio di quella che sembrava solo un'altra ICO di successo, Coindash ha avvisato che il sito era stato hackerato e ha chiesto alle persone di smettere di inviare ethereum all'indirizzo pubblicato.

Non è ancora chiaro cosa sia successo esattamente, ma sembra che l'hack sia stato incredibilmente semplice: L'hacker avrebbe assunto il controllo del sito ufficiale di Coindash e cambiato il testo sul sito, pubblicando l'indirizzo del proprio portafoglio ether al posto di quello di Coindash. Quando le persone pensavano di stare "investendo" in Coindash, stavano in realtà inviando i propri ether all'hacker e non all'azienda.

Nonostante Coindash abbia notato l'hack e avvertito i propri investitori alla svelta — a soli 3 minuti dal lancio della ICO — il danno ormai era fatto.

Uno screenshot preso dal canale ufficiale di Coindash sulla app Slack.

"WEBSITE HACKED," ha scritto Emmanuel Gimenez, un impiegato di Coindash, sull'account Slack ufficiale dell'azienda, a cui Motherboard ha ottenuto l'accesso.

"GENTE, IL SITO È STATO HACKERATO! Non inviate i vostri ETH!!!," ha scritto Coindash tramite il proprio account sul forum Bitcointalk, circa alle 9:06 di mattina, sei minuti dopo l'inizio dell'ICO.

"La Token Sale è chiusa, non inviate alcun ETH a nessun indirizzo," ha annunciato Coindash su Twitter lunedì mattina.

Al momento della stesura dell'articolo, gli aspiranti investitori avrebbero inviato 43.438,45 ether (circa 7,4 milioni di dollari secondo il cambio corrente) all'indirizzo di Coindash che secondo l'azienda apparterrebbe ad un hacker. Ethercan, uno strumento web per il monitoraggio delle transazioni in ethereum, ha segnalato che "ci sono report secondo cui l'indirizzo di Coindash Crowdsale è stato compromesso."

"Tutto quello che sappiamo è che un attaccante esterno ha cambiato l'indirizzo subito dopo che la vendita è iniziata," ha dichiarato a Motherboard via Slack, Ram Avissar, direttore marketing di Coindash. "Abbiamo fermato il contratto di Token Sale e cercato di capire il modo migliore per compensare tutte le persone che sono state colpite."

In una dichiarazione pubblicata sul canale Slack della società, Coindash ha dichiarato che "ha subito un attacco di hacking" in cui un "autore sconosciuto" o un hacker "ha inserito in modo malevolo" un indirizzo ethereum fraudolento nel suo sito web.

Uno screenshot preso dal canale ufficiale di Coindash sulla app Slack.

In risposta, alcuni utenti si stanno lamentando sui social. Su Reddit, per esempio, gli utenti stanno speculando che l'hack si tratti in realtà di un "inside job" che ha permesso ai creatori di Coindash di fuggire via con milioni di dollari, incolpando un hacker anonimo che probabilmente non verrà mai trovato. In ogni caso, non esiste alcuna prova di una truffa simile da parte di Coindash e il rasoio di Occam porta a favorire la versione dei fatti fornita da Coindash: un hacker ha semplicemente sfruttato le vulnerabilità dell'anello più debole dal punto di vista della sicurezza nell'ICO. Ovvero, il sito di Coindash.

Chiunque sia il colpevole, gli investitori se la prendono con Coindash. "Andiamo! Ho già inviato il mio eth", ha scritto un utente di Bitcointalk. "Voglio indietro i miei soldi. È il vostro sito web ed è colpa vostra se non avete fatto abbastanza per la sua sicurezza." Un'altra persona che ha affermato di aver investito ha scritto sul forum di Bitcointalk: "Troppo tardi, ho già investito!!!! 31k ETH già inviati all'indirizzo! Sarà meglio che io ottenga i miei soldi indietro." Motherboard non può confermare che queste persone abbiano effettivamente investito, ma Ethercan conferma che sono state trasferite grandi quantità di ether all'indirizzo riportato.

Il presunto hack è uno dei più grandi avvenuti finora in ethereum. Dopo che un fondo di investimento per ethereum basato sui token denominato DAE ha perso più di 50 milioni di dollari in un hack lo scorso anno, gli sviluppatori di ethereum hanno preso la difficile decisione di dividere la valuta in due per ripristinare i fondi perduti. In ogni caso, questa mossa è stata vista da molti come inutilmente rischiosa (portando alla genesi di una criptatura rivale,) ed è improbabile che si ripeta di nuovo.

Nel canale ufficiale di Coindash su Slack, gli sviluppatori dell'applicazione hanno scritto che tutti gli investitori riceveranno dei token, anche se hanno inviato fondi all'indirizzo falso.

"Tutti gli investitori di CoinDash riceveranno i loro token," hanno scritto gli sviluppatori su Slack. "Stiamo lavorando per risolvere la situazione."