I nostri lettori ci hanno segnalato l’ennesimo scam che, nei giorni scorsi, ha afflitto alcuni utilizzatori di monete virtuali. Purtroppo, sembra sia stato diffuso sul Microsoft Store, lo store ufficiale di software e app gestito da Microsoft, un client “fasullo” per l’utilizzo dei noti wallet hardware Ledger.
Fonte: https://twitter.com/zachxbt/status/1720961400313373127/photo/1
Oggi, per fortuna, l’app malevola è stata rimossa e non può più essere scaricata.
Ne rimangono solo alcune tracce tra i risultati di ricerca di Google.
Nonostante l’App sia stata rimossa e non sia più scaricabile, sembra abbia già mietuto diverse vittime. L’utente twitter ZachXBT ha infatti pubblicato sul suo profilo un post nel quale riporta due indirizzi verso cui gli autori del raggiro avrebbero inviato i fondi sottratti ai malcapitati:
- bc1qg05gw43elzqxqnll8vs8x47ukkhudwyncxy64q
- 0x089Ecf0703B8E85183F29725f87da40AE488b7B9
Dove sono andati a finire gli assett rubati?
Il nostro team ha provato a fare una piccola indagine per scoprire dove sono andati a finire i fondi raccolti sugli indirizzi segnalati. Come di consueto, abbiamo realizzato un grafico per riepilogare le movimentazioni tramite la piattaforma Miro.
Il primo è un indirizzo Bitcoin che, al momento in cui scriviamo, ha ricevuto 16,02476081 bitcoin. Di questi, circa la metà per ora è ferma sugli indirizzi bc1qjjtks3sjz92arect2afsfkvh04kku72aszlccl e bc1qa9jf870xpzdmccnpqdxes93gd34zwplr69wpuz mentre la restante parte è stata inviata verso indirizzi che, secondo la nostra esperienza, sono riconducibili a dei CoinJoin effettuati tramite Wasabi wallet e non possono essere tracciati se non con tecniche e strumenti molto sofisticati.
Il secondo indirizzo, invece, è un indirizzo ETH, per il quale abbiamo rilevato attività sia sulla rete Ethereum che sulle reti BSC e Polygon.
Sulla rete Ethereum l’indirizzo ha ricevuto 57.86323660976835 ETH e svariati token Erc20. Possiamo notare che anche l’explorer etherscan.io ci avvisa che l’indirizzo è coinvolto in uno scam e che gli ha attribuito l’etichetta “Fake_Phishing188618”.
Analizzando le transazioni, abbiamo notato che i token Erc20 sono stati convertiti in ETH utilizzando swap decentralizzati come 1Inch e Uniswap. Infatti, se ad esempio osserviamo i 2500 token Celsius ricevuti con la transazione 0x335ed0a812feb7759e17d3b26ca6b14023964c78ead0f3218130da3076ced651
possiamo notare che sono stati inviati, tramite la transazione 0x762d01e84dbeb43158e8642b58e8459c0c456bd1469dfa2202fef21d144a2f53, verso UniSwap per ottenere ETH.
Tra gli ETH ricevuti dalle vittime dello scam e quelli ottenuti tramite gli swap, l’indirizzo ha ottenuto oltre 84 ETH che, dopo alcune transazioni che abbiamo riepilogato sul grafico Miro, sono stati inviati verso l’indirizzo 0xf1dA173228fcf015F43f3eA15aBBB51f0d8f1123, utilizzato dal servizio di swap centralizzato exch.cx.
Per quanto riguarda le movimentazioni riscontrate sulla rete BSC, possiamo vedere che l’indirizzo ha ricevuto 10 BNB che, dopo essere stati fatti transitare sull’indirizzo 0xcE3c1E3F3dEbC42e2cF59A0daAd32B1361C0BACA, sono stati inviati verso l’indirizzo 0x4727250679294802377dD6cA6541B8E459077c95, utilizzato dal servizio di swap centralizzato FixedFloat.
Anche sulla rete Polygon possiamo vedere uno schema analogo. Infatti, anche in questo caso, i token Matic ricevuti sono stati fatti transitare sull’indirizzo 0x7477dEC268783dE4E8cD448963A90ddBB8ee1A60 per poi essere inviati verso l’indirizzo 0x71d4249079684479F2651745fA2fcD79c9b45f53, anche questo utilizzato dal servizio di swap centralizzato FixedFloat.
Considerazioni
In questo caso gli autori dello scam sembrano essere stati abbastanza scaltri, almeno agli occhi di un osservatore comune, in quanto hanno utilizzato servizi che rendono pressoché impossibile seguire i flussi di transazioni semplicemente osservando le varie blockchain. Tuttavia, non dobbiamo dimenticare che sono stati utilizzati servizi centralizzati come exch.cx e FixedFloat che potrebbero fornire informazioni alle forze dell’ordine e che esistono soluzioni per tracciare le transazioni molto sofisticate che potrebbero anche riuscire a stimare la destinazione dei bitcoin mixati tramite il CoinJoin di Wasabi Wallet. In più, non dimentichiamo che ci sono ancora diversi bitcoin che non sono stati spesi e con i quali gli autori dello scam potrebbero fare qualche errore.
Per concludere, cogliamo l’occasione per ricordare ai nostri lettori di verificare sempre attentamente la genuinità dei software utilizzati e di preferire sempre quelli scaricati dai siti ufficiali. Chi utilizza crypto asset è chiamato ad essere la sua propria banca, con tutte le responsabilità che ne derivano. E se avete qualche dubbio potete sempre scriverci a [email protected] o su Telegram.
