16.5 C
Manchester
21/05/2024

CheCrypto.it

CheCrypto.it
Image default
Featured Generico News PRIMO PIANO World

[INCHIESTA ESCLUSIVA di decripto.org] Money Dust, così vi stanno svuotando i wallet. Metamask: “No comment”

by admin0573

Oggi vi riportiamo per intero l’inchiesta Money Dust condotta dai ragazzi di decripto.org sperando di poter essere utile ad eventuali vittime tra i nostri lettori.

checrypto-inchiesta-money-dust-decripto-org
checrypto-inchiesta-money-dust-decripto-org – schema completo su Miro qui

Post originale di DECRIPTO.org:

Qualcuno sta entrando nel tuo wallet e preleva fondi senza che tu possa fare nulla. Dopo più di un mese di ricerche, on e off chain, email e richieste varie, Decripto.org è in grado di pubblicare un’indagine esclusiva su un colossale furto di criptovalute ai danni di utenti ignari. Sì, hai capito bene, qualcuno è in grado di entrare nei tuoi portafogli e svuotarli, senza che tu debba fare nulla. Anche adesso. Il tutto è poi avvolto in uno strano alone di mistero.

Da quello che abbiamo scoperto non si tratterebbe di una truffa o un phishing, ma di un vero e proprio furto. Anzi, una serie infinita di piccoli furti. I criminali non prelevano mai grosse cifre, infatti, e non attaccano mai wallet importanti. Si concentrano spesso su wallet piccoli (massimo poche migliaia di dollari) e prelevano piccole quantità di fondi: da pochi centesimi a massimo 4 Ethereum alla volta (meno di 7mila dollari, al cambio mentre scriviamo).

Portano via quella che in gergo cripto si chiama “dust”, polvere, cioè i rimasugli di coin che restano nei wallet dopo le varie operazioni, da qui il nome dell’inchiesta: Money Dust. Un modus operandi molto intelligente: chi si prenderebbe la briga di denunciare un furto di poche decine di euro se non pochi centesimi? Il problema è che questi furti avvengono ai danni di centinaia, migliaia, di account ogni giorno, così, alla fine, si arriva a parlare di milioni e milioni di dollari rubati. Il delitto perfetto.

Spesso, inoltre, si tratta di wallet “dormienti”, account cioè che non erano utilizzati da parecchi mesi, a volte anni. I furti, poi, avvengono su qualsiasi blockchain EVM (Ethereum compatibili, come BSC e Avalanche) e riguardano qualsiasi coin, Eth soprattutto, ma non solo. L’altro dato importante è che tutte le vittime da noi individuate (migliaia) hanno un account Metamask (usato direttamente, non utilizzando hard wallet) e, a quanto pare, quasi tutti non hanno mai interagito con token scam, nft truffaldini o smart contracts malevoli. Ma com’è possibile tutto ciò? Cosa non sappiamo? Cosa ci sfugge?

Allarmati, abbiamo immediatamente avvisato Aaron Davis, il Ceo di Metamask, leader al mondo in wallet “non-custodial”, con oltre 30 milioni di utenti attivi. L’azienda ci ha risposto tramite Elo Gimenez, la responsabile delle relazioni esterne di Consensys, il colosso fondato dal cofondatore di Ethereum Joe Lubin di cui Metamask fa parte, dicendo che allo stato attuale non hanno alcun commento da fare. Nonostante abbiamo inviato loro i wallet derubati e quelli “attaccanti”, la risposta è stata un laconico “no comment”. Non ci è stato detto altro: potrebbe esserci una spiegazione banale dietro tutto questo, ma non ci è dato sapere. Ovviamente, qualora MetaMask volesse rispondere in merito a quanto pubblichiamo, siamo disponibili a pubblicare la loro replica.

Ma ora partiamo, perché le cose da dire sono tante. Alla fine di questo articolo troverete anche un link Miro in cui troverete tutti gli address coinvolti, tutte le transazioni incriminate e anche tutti i wallet dove finiscono i fondi rubati. Chiunque quindi potrà verificare se è entrato in contatto con questi indirizzi malevoli e, se vorrà, potrà farcelo sapere.

Seguendo i soldi, di transazione in transazione, siamo arrivati a grossi wallet su alcuni exchange, in particolare Okex, cinese, il cui fondatore in passato è stato arrestato per truffa, ma anche exchange legittimi e affermati come Binance. Quindi, seguendo i soldi, siamo partiti dai wallet violati e siamo arrivati in account in exchange in cui, nella maggior parte dei casi, c’è bisogno dei documenti personali, il famoso KYC (Know Your Customers). Entrambi gli exchange però ci hanno detto che per effettuare qualsiasi operazione di congelamento dei fondi c’è bisogno di una formale richiesta da parte delle forze dell’ordine o della magistratura. Con Binance è stata effettuata una call con i vertici della loro intelligence, ma anche loro non sono riusciti a venire a capo di questo mistero.

Tutta la documentazione in nostro possesso, quindi, è stata inviata alla Polizia Postale italiana.

Vi ricordiamo che Decripto.org, come potete vedere, non ha pubblicità e non ha finanziatori, né tanto meno riceve fondi pubblici. Quindi se apprezzate il nostro lavoro e lo volete sostenerci potete effettuare una donazione: sia con Paypal o carta di credito, sia in qualsiasi criptovaluta, sia su Gofundme. Anche un importo molto piccolo per noi è di vitale importanza per continuare a fare informazione libera nel web3.

E adesso possiamo partire.

Chi sono le vittime dei furti

Decripto.org, la prima testata giornalistica italiana registrata dedicata alle cripto e al Web3, è partita dalla richiesta di un nostro lettore che ci informava come dal suo wallet Metamask fossero spariti circa 170 dollari (0.1 ETH) da questo address 0x5B1047114E303436BFE24e908340C18d1110b190. Da qui siamo partiti, ma di vittime ne abbiamo trovate tante, anche sui social. Molti infatti hanno lamentato nel corso delle ultime settimane, in qualche caso anche prima, strani prelievi dai propri wallet senza alcun tipo di autorizzazioni, e tutti giurano di non aver ceduto le proprie chiavi di accesso, o essersi fatti fregare da phishing, siti malevoli e truffe varie.

Chi sono i wallet attaccanti

Seguendo la prima segnalazione, che è arrivata al giornale tramite la divisione sicurezza informatica investigativa di Mulium Consulting, abbiamo iniziato a individuare tutta una serie di wallet malevoli che hanno effettuato questi attacchi. I wallet trovati fin’ora sono questi:

  • 0x3900a3247160021529b2a98e987a938ef5a65cbd
  • 0xfd9a785d113b1ec3aabe7a7489aaeb544d291533
  • 0x6440200c1F94976dA537eC1Ec7Ec5fbB1441244E
  • 0x9eeAe7b71DB4885a5b015941f5A14519b02BC0Fe
  • 0x7bD1ed3aDF588A89c392c5c424583C0FfFfCe145
  • 0xcDd37Ada79F589c15bD4f8fD2083dc88E34A2af2

Come cercano di far perdere le tracce

Una volta che i wallet attaccanti hanno portato a termine il furto, passano i fondi in altri wallet. E da questi ad altri ancora. Il tutto per cercare di alzare quanto più fumo possibile, cercando di mescolare le carte, e riuscire a fare uscire i soldi dalla blockchain.

Come i soldi vengono spezzettati

Dove finiscono i soldi rubati

Il nostro team di esperti, capitanato dal nostro giornalista e debunker James Moriarty, ha seguito minuziosamente ogni transazione, passando al vaglio centinaia di wallet, migliaia di transazioni, utilizzando anche siti e software specifici e open source. Alla fine siamo riusciti a vedere come i soldi alla fine confluiscano a wallet nominali su diversi exchange (Okex e Binance, ma non solo). Inoltre, abbiamo tracciato una grossa attività di acquisto di Nft, come spieghiamo successivamente nei dettagli, che sembrerebbe un’operazione di autoriciclaggio, anche qui a basso rischio visto che in molte nazioni del mondo il commercio in Nft non è regolato fiscalmente in modo chiaro.

Il gigantesco schema che riassume i furti

Per tenere traccia di tutti questi wallet e di tutte queste transazioni abbiamo creato un file sul sito di condivisione di materiale Miro. Abbiamo deciso di rendere pubblico tutto il nostro lavoro, sia perché le forze dell’ordine sono già state avvisate, sia perché lo troviamo un formidabile strumento per capire se anche tu che stai leggendo l’articolo sia stato vittima di questi ladri e quindi controllare gli address con cui il tuo account ha interagito. Abbiamo scelto Miro anche perchè permette di allegare screensot e link ai siti web in esame. Inoltre auspichiamo l’aiuto di sviluppatori ed esperti che, partendo dalle informazioni da noi raccolte in oltre un mese di lavoro, possano eventualmente aiutarci a capirne di più.

In rosso i wallet segnalati e blacklistati

Il no comment di Metamask

Uno dei fattori comuni in questa vicenda è il fatto che quasi tutte le vittime di questi furti siano titolari di account Metamask, che è il leader mondiale dei wallet non custodial. A loro abbiamo consegnato, prima ancora che alle forze dell’ordine, tutti gli address dei wallet delle vittime, tutti gli address attaccanti e le transazioni incriminate. Dopo alcuni giorni di attesa, Metamask ci ha fatto sapere che non avrebbe risposto alle nostre domande. Un atteggiamento che ci ha preso alla sprovvista, visto che il principale interesse di Decripto.org era quello di capire se nella nostra inchiesta ci siamo persi qualcosa. Ovviamente il giornale resta a disposizione di Metamask qualora voglia rispondere alle semplici domande che abbiamo inviato loro, ormai da quasi un mese.

Gli exchange se ne lavano le mani

Deludente anche la risposta degli exchange. Nonostante Decripto abbiamo fornito tutti i dati e le prove di un’attività perlomeno strana se non palesemente illecita, la risposta è stata fredda e distaccata. Nessuno ne ha voluto sapere di più e soltanto con Binance, uno degli operatori più seri del mercato, c’è da dirlo, si è organizzata una call con il loro capo dell’Intelligence, Jarek Jakubcek. Ma la risposta è stata la stessa: per agire abbiamo bisogno che ce lo chieda la polizia.

Tutte le domande senza risposta

Sono molte le domande che sono emerse dopo questa inchiesta. Com’è possibile che dei fondi possano essere prelevati senza il consenso del proprietario del wallet? E come se qualcuno potesse entrare nell’home banking di utenti, magari quelli dormienti, e svuotarli. Com’è possibile che gli exchange non abbiamo fatto delle ricerche più approfondite quando hanno visto queste grandi quantità di denaro arrivare nei loro account, spesso anche da wallet messi in blacklist su vari siti web e pagine Github?

L’indagine step by step

Una volta in possesso del wallet del nosto lettore, abbiamo guardato su Etherscan la transazione in uscita non autorizzata. Gli ETH sono stai inviati al wallet 0x7bd… che chiameremo “Gino” per comodità Andando a vedere su Zerion le attività di questo wallet abbiamo notato un insolito traffico in entrata, ogni transazione in ingresso era di pochi centesimi di dollari. Essendo che le transazioni sulla rete Ethereum sono note per non essere basse, risultava illogico pensare che qualcuno pagasse 6-7 dollari di fee per inviare pochi centesimi, ancora di più se a farlo erano centinaia di wallet.

Siamo così andati ad analizzare i vari wallet che avevano inviato i centesimi, molti di questi erano fermi da mesi, a volte anche da più di un anno. Come mai dei wallet fermi da mesi, con pochi dollari sopra si riattivano solo per mandare pochi spicci e pagare diversi dollari di fee?

Wallet fermo da mesi

Dato che la cosa iniziava ad essere sospetta abbiamo iniziato a cercare su Google il wallet che riceveva i soldi, “Gino” utilizzando il Dork (ricerca avanzata su Google che sfrutta la “lingua” dei server) intext:”0x7bd…” per forzare i server di Google a fornirci solo i link che contenevano il suddetto wallet nel testo, è quindi uscita una pagina di Github dove il wallet era segnalato come malevolo, quindi blaklistato.

Avuta la conferma che questo wallet era già stato segnalato su Github, abbiamo dunque guardato dove inviava i soldi, tra le transazioni in uscita degne di nota, spicca un invio di 23 ETH al wallet 0x808… (Pippo da questo momento) gli ETH vengono infine mandati al wallet 0x765… account personale su OKX, infatti da li vengono inoltrati all’hot wallet (wallet dove vengono aggregati gli account personali) del CEX. In questo modo Gino in pochi passaggi manda gli ETH su OKX.

La tana del bianconiglio

Seguendo la logica del “hanno preso i soldi, ora dove li mandano?” abbiamo iniziato a seguire gran parte delle transazioni più grosse in uscita. I fondi presi apparentemente senza consenso, sono stati inviati ad altri wallet a loro volta segnalati, da questi ultimi poi reinoltrati a wallet fantasma (wallet utilizzati solo per inoltrare una transazione) per poi finire su altri account personali sempre su OKX.

Tra questi portafogli che hanno ricevuto soldi da “Gino” segnalati in altre blacklist o sui social come Twitter e Reddit, spiccano altri wallet che hanno lo stesso tipo di attività di “Gino” come ad esempio 0x9ee… che è stato segnalato direttamente da Etherscan, il quale gli ha dato il nome “Fake_Phishing6050” per avvisare del fatto che questo address è falso ed è stato utilizzato per diverse operazioni di phishing (truffe dove si convincono le persone ad inviare fondi). Anche “Fake_Phishing6050” ha inviato fondi a “Pippo” che poi come abbiamo visto, li manda ad OKX.

Flaggato come account falso su Etherscan

Una nota importante sul wallet “Pippo” è che riceve fondi anche dal wallet 0xcdd… in alcuni casi anche di 90 ETH in un solo giorno, questo ultimo wallet è stato segnalato diverse volte per vari attachi hacker e frodi ai danni di SpaceSwap Bridge a inizio 2022 e al gioco Play to Earn Ninja Fantasy sempre a inizio 2022. Da questo wallet sono transitati oltre 12’000 ETH (circa 20 milioni di dollari al prezzo attuale di ETH).

Il riciclaggio dei fondi tramite gli NFT

Proseguendo con l’indagine abbiamo notato che diversi wallet sono abbinati a degli ENS (Ethereum Name Services), che sono dei domini su blockchain, la particolarità dei domini onchain è che vengono assegnati a dei wallet da una persona. Siamo quindi andati a vedere chi è il proprietario di questi ENS e abbiamo scoperto che dopo averli comprati con i fondi provenienti dai wallet blacklistati, li rivende o li compra su Opensea con l’account “SellBuy_ENS”.

Alcuni dei wallet segnalati che sono legati ad ENS di proprietà di 0x1499… (SellBuy_ENS) hanno poi iniziato a fare compravendita di NFT in modo da ripulire i fondi rubati e allocare parte del valore in un “tesoro” di oggetti digitali appartenenti a più progetti, come terre di Decentraland (il primo metaverso), NFT di The Walking Dead e altri…

Profilo su Opensea

Miro e i dettagli dell’indagine

Per chi volesse darci una mano a capire cosa sta succedendo, su Miro abbiamo tenuto traccia dei vari wallet, movimenti e segnalazioni trovati fin’ora. Ogni dato è completato da screenshot e link in modo da essere più facilmente fruibile e identificabile, con date e immagini. Per ogni valutazione e per chi volesse aiutarci a capire cosa sta succedendo siamo a disposizione.

Ipotesi virus

A questo punto, dopo aver vagliato tutte le ipotesi, la più probabile è quella del virus. Entrando nel computer della vittima, recupera il file di Metamask salvato in locale e lo decripta con il Metamask Decryptor, come si può vedere sul sito di Metamask, per il recupero della seed phrase. Una volta in possesso della seed phrase il gioco è fatto. Per accedere al computer basterebbe quindi un link malevolo o un software fake, che installa un programma automatico all’interno della macchina.

Conclusione

Ci sono centinaia di wallet che ogni settimana si svegliano dopo mesi e mesi di inattività, solo per pagare 6/7 dollari di fee, per mandare pochi centesimi a wallet blacklistati e segnalati. Abbiamo provato a chiedere spiegazioni a Metamask su come sia possibile una movimentazione di questo tipo, non essendoci stati smart contract malevoli per la maggior parte dei wallet. L’unica risposta che abbiamo ricevuto è stata un “no comment”, una risposta che non ci aspettavamo. Abbiamo dunque chiesto a Binance e Okex se avessero dei commenti da fare, ma hanno detto che senza un mandato delle forze dell’ordine non avrebbero fatto nulla. 

Ringraziamo i ragazzi di decripto.org e vi riportiamo anche il link al post originale

Related posts

Il CEO di Sygnia critica Elon Musk

CheCrypto.it

GitHub affronta attacchi malware

CheCrypto.it

Guerra dell’India alle Criprovalute

CheCrypto.it

Guadagnare per alla povertà: Bitcoin e Lightning in Mozambico

CheCrypto.it

SBF chiude il mistificante thread di Twitter

CheCrypto.it

Memecoin Pepe e Doge

CheCrypto.it
@2018 - PenNews. All Right Reserved. Designed and Developed by PenciDesign