Nelle ultime settimane, sopratutto su Reddit, sono comparsi decine di post che segnalavano la nascita e la diffusione di un nuovo tipo di scam, il cosiddetto address poisoning (in italiano “avvelenamento di indirizzo”).
Metamask nella giornata di ieri ha diffuso un comunicato con cui metteva in guardia gli utenti da questo tipo di truffa. A differenza di altre truffe, questo tipo di scam è innocuo nella maggior parte dei casi, ma si approfitta della distrazione e dell’inesperienza di alcuni utenti e sopratutto, della funzionalità di alcuni wallet. Ma vediamo come funziona.
Come funziona l’address poisoning?
Quando effettuiamo una transazione, nella maggior parte dei casi, essendo gli indirizzi delle lunghe stringhe alfa-numeriche, facciamo copia incolla o addirittura selezioniamo gli indirizzi che il wallet ci suggerisce. Spesso i wallet tagliano la parte centrale della stringa e mostrano solo le prime e le ultime cifre, rendendo più facile finire in questo scam.
Gli scammer usano software per tracciare le transazioni on chain ed una volta scoperto un legame tra due wallet, che magari si scambiano spesso transazioni, entrano in azione.
Spieghiamo il funzionamento di questo scam con un esempio: Anna e Marco si scambiano regolarmente USDT per dividere il conto delle cene e delle vacanze. Lo scammer si accorge di questo scambio di transazioni e decide di creare un indirizzo molto simile a quello di Marco. Una volta avuto l’indirizzo, lo scammer invia una transazione da 0$ verso il wallet di Anna, avvelenandolo. La prossima volta che Anna dovrà inviare dei USDT a Marco avrà tra gli indirizzi suggeriti dal wallet, sia quello di Marco che quello dello scammer, praticamente identici ed indistinguibili, se non per qualche lettera o cifra. Basterà quindi una piccolissima distrazione per inviare fondi allo scammer, perdendoli per sempre.
Ricordiamo che le transazioni on chain sono irrecuperabili e non annullabili, una volta premuto invia, lo scammer si sarà appropriato dei vostri fondi e non potrete fare nulla.
Come proteggersi da questo tipo di truffa?
Il consiglio più banale è ovviamente quello di controllare attentamente gli indirizzi a cui inviamo fondi e di non fare copia incolla dalla cronologia delle transazioni. Molti wallet inoltre danno la possibilità di creare, da una sola chiave privata, molteplici indirizzi (o chiavi pubbliche) diversi. Il nostro consiglio è di non utilizzare troppe volte la stessa chiave pubblica per inviare o ricevere transazioni, in questo modo non solo aumentate la protezione da questo tipo di scam, ma migliorate anche la vostra privacy.