In questo primo trimestre del 2023 tutta l’attenzione è stata rivolta alla crisi bancaria in atto e alla conseguente impennata del mercato dei Bitcoin. Ne hanno approfittato gli hacker e i truffatori. Dei 452 milioni di dollari persi nel primo trimestre, un totale di 215 milioni di dollari è stato perso nei soli primi 20 giorni di marzo, sottolineando il rapido ritmo con cui i truffatori hanno operato nelle ultime settimane. Se da un lato queste perdite sono impressionanti, dall’altro segnano una diminuzione rispetto allo stesso periodo del 2022, quando il 1° trimestre ha visto una perdita di 1,3 miliardi di dollari. Ecco un confronto:
Tendenze osservabili negli exploit DeFi
Nel primo trimestre di quest’anno sono stati recuperati 130 milioni di dollari, con un tasso di recupero del 28,7%. L’intero importo è stato recuperato a marzo, mentre gennaio e febbraio sono stati i rari mesi in cui sono stati recuperati 0$ in hack & truffe di criptovalute Questa cifra era di 520 milioni di dollari nel 2022, il che significa che il 40% dei fondi è stato recuperato nello stesso mese dell’anno scorso. .
Come si può notare dall’entità delle perdite nel 1° trimestre, la maggior parte delle perdite è stata causata da due protocolli, Euler e BonqDAO, che insieme hanno causato perdite per oltre 316 milioni di dollari
In particolare, ciò significa che le perdite maggiori di questo trimestre sono state dovute a problemi di Flash Loan, sempre più frequenti negli ultimi mesi: Oltre 200 milioni di dollari sono stati persi attraverso questo canale. I flash loan sono delle opzioni di prestito all’interno della DeFi che permettono agli utenti crypto di ottenere istantaneamente e con facilità il prestito di qualsiasi importo disponibile di un asset da parte di uno specifico smart contract in una pool. Non servono garanzie, c’è invece una sola condizione: i flash loan devono essere presi in prestito e saldati all’interno della stessa transazione sulla blockchain. Se la liquidità non viene restituita alla liquiditi pool in una transazione, l’intera transazione è annullata e tutte le azioni eseguite fino a quel punto sono cancellate.
Questo fa di Ethereum la catena in cui si sono registrate le maggiori perdite in questi primi tre mesi dell’anno.
Nel frattempo, la Smart Chain di BNB rimane purtroppo popolare per i criminali delle criptovalute, con ben 18 casi nei primi tre mesi dell’anno, quasi il doppio rispetto alle catene più vicine, con 10 su ETH e 7 su Arbitrum
In termini di frequenza, gli exploit degli smart contracs sono stati i più popolari tra i criminali, con un totale di 17 casi. Seguono gli attacchi rugpull e flashloan, rispettivamente con 8 e 6 casi – quest’ultimo ha causato la maggior parte delle perdite di marzo.
In termini di vettori di attacco, i token si sono rivelati i bersagli più popolari di quest’anno – il che non sorprende, dato che i token sono facili da distribuire e sfruttano la paura di perdere terreno sperimentata da molti nuovi investitori in criptovalute. Ciò è particolarmente vero con la rimonta del mercato degli ultimi giorni. In termini di importi persi, tuttavia, i protocolli flash loan si collocano ai vertici della classifica a causa dell’entità dei fondi prelevati nel minor numero di eventi che li ha interessati.
Le cinque principali perdite del 1° trimestre 2023
1. Euler – 196 milioni di dollari persi (prestito flash, 13 marzo)
Il 13 marzo, Euler Finance, un importante protocollo di prestito non custodiale basato su Ethereum, è stato vittima di un devastante attacco flash loan. La violazione ha portato alla perdita di milioni di dollari di varie criptovalute, tra cui Dai, USD Coin (USDC), Ether staked (StETH) e Wrapped Bitcoin (WBTC). L’aggressore ha eseguito diverse transazioni, portando via un totale sbalorditivo di quasi 196 milioni di dollari.
I dati dettagliati sulla catena hanno rivelato che il furto comprendeva 8,7 milioni di dollari in Dai, 18,5 milioni di dollari in Wrapped Bitcoin, 135,8 milioni di dollari in Staked Ethereum e 33,8 milioni di dollari nella stablecoin USD di Circle, USDC. Meta Sleuth, una rinomata società di analisi delle criptovalute, ha fatto un parallelo tra questo attacco e un attacco di deflazione avvenuto solo un mese prima. L’attaccante ha utilizzato un ponte multi-catena per facilitare il trasferimento di fondi dalla Smart Chain di Binance (BNB) alla rete Ethereum. Dopo aver trasferito con successo i fondi, l’aggressore ha iniziato l’attacco flash loan. Per coprire ulteriormente le proprie tracce, i fondi rubati sono stati depositati in Tornado Cash, un noto mixer di criptovalute, complicando gli sforzi di recupero. Il 25 marzo, oltre 51.000 ether, valutati quasi 90 milioni di dollari a partire da sabato, sono stati rispediti al contratto Euler deployer nelle prime ore degli Stati Uniti. Il 27 marzo, l’hacker ha restituito altri 39 milioni di dollari in 3 transazioni.
Riferimento dati blocco
Ritorno fondi Tx:
https://etherscan.io/tx/0xb0308ee113c541e7c6f4623e833417524d68fd6267d23f43d9041f583c14343f
https://etherscan.io/tx/0xe3f67f8e50042f09a3d9b6873bd15c14fa8b8176cfa1069bc1d3ab71e4b3fd0d
https://etherscan.io/tx/0x19f802affe24572bac3af47983f42bbec6055117c6a32c3fddc58bd7545e5240
https://etherscan.io/tx/0x9f3edbd1eb404dec2e4d9aae93c739136f79c87f6382af25413ce705cc431f59
Esempi di exploit TX:
https://etherscan.io/tx/0xc310a0affe2169d1f6feec1c63dbc7f7c62a887fa48795d327d4d2da2d6b111d
https://etherscan.io/tx/0x47ac3527d02e6b9631c77fad1cdee7bfa77a8a7bfd4880dccbda5146ace4088f
https://etherscan.io/tx/0x3097830e9921e4063d334acb82f6a79374f76f0b1a8f857e89b89bc58df1f311
https://etherscan.io/tx/0x465a6780145f1efe3ab52f94c006065575712d2003d83d85481f3d110ed131d9
https://etherscan.io/tx/0x62bd3d31a7b75c098ccf28bc4d4af8c4a191b4b9e451fab4232258079e8b18c4
https://etherscan.io/tx/0x71a908be0bef6174bccc3d493becdfd28395d78898e355d451cb52f7bac38617
Indirizzi dell’attaccante:
https://etherscan.io/address/0x5f259d0b76665c337c6104145894f4d1d2758b8c
https://etherscan.io/address/0xb2698c2d99ad2c302a95a8db26b08d17a77cedd4
Contratti dell’attaccante:
https://etherscan.io/address/0xebc29199c817dc47ba12e3f86102564d640cbf99
https://etherscan.io/address/0x036cec1a199234fc02f72d29e596a09440825f1c
2. BonqDAO – 120 milioni di dollari persi (Oracle Issue, 2 febbraio)
Il 2 febbraio, BonqDAO e AllianceBlock, due piattaforme basate su blockchain, hanno subito una grave perdita di 120 milioni di dollari a causa di una vulnerabilità nello smart contract di BonqDAO. L’exploit ha costretto a sospendere il trading e la liquidità per evitare che i token rubati venissero convertiti in altri asset. Anche il protocollo Bonq è stato sospeso e il team sta attualmente lavorando a una soluzione per consentire agli utenti di ritirare il collaterale rimanente. L’exploit di BonqDAO si è verificato quando l’oracolo dei prezzi è stato manipolato, provocando un aumento del prezzo di WALBT. Questo ha permesso all’aggressore di guadagnare oltre 100 milioni di BEUR. L’aggressore ha poi manipolato il prezzo del WALBT e ha liquidato diversi troves, consentendo di ritirare 113,8 milioni di WALBT e 98 milioni di BEUR, per un valore combinato di oltre 10 milioni di dollari.
Il dumping di questi guadagni illeciti ha provocato un calo significativo del valore di WALBT e BEUR. Il prezzo del WALBT è sceso di oltre il 50% e quello del BEUR del 34%. Di conseguenza, la perdita totale per BonqDAO e AllianceBlock è stata stimata in 120 milioni di dollari.
Riferimento ai dati del blocco
Esempi di exploit TX:
https://polygonscan.com/tx/0x31957ecc43774d19f54d9968e95c69c882468b46860f921668f2c55fadd51b19
https://polygonscan.com/tx/0xa02d0c3d16d6ee0e0b6a42c3cc91997c2b40c87d777136dedebe8ee0f47f32b1
Indirizzo dell’exploit:
https://polygonscan.com/address/0xcacf2d28b2a5309e099f0c6e8c60ec3ddf656642
https://etherscan.io/address/0xcAcf2D28B2A5309e099f0C6e8C60Ec3dDf656642
3. CoinDeal – 45 milioni di dollari persi (CeFi, 4 gennaio)
La Commissione statunitense per i Titoli e gli Scambi (SEC) ha recentemente sporto denuncia contro un gruppo di persone e società coinvolte nello schema di investimento CoinDeal. Questa operazione fraudolenta avrebbe raccolto oltre 45 milioni di dollari attraverso la vendita di titoli non registrati, frodando decine di migliaia di ignari investitori al dettaglio. Le persone accusate di questo schema includono Neil Chandran, Garry Davidson, Michael Glaspie, Amy Mossel e Linda Knott, oltre a due società non citate. La SEC sostiene che gli imputati hanno falsamente promosso CoinDeal, una presunta società di tecnologia blockchain, come se fosse stata venduta per trilioni di dollari. Essi sostenevano che gli investitori avrebbero generato notevoli rendimenti investendo nell’impresa. Tuttavia, l’indagine della SEC ha rivelato che gli imputati hanno sottratto milioni di dollari dai fondi degli investitori per uso personale. Tra gli altri oggetti di lusso, Chandran avrebbe usato i fondi rubati per acquistare auto, immobili e una barca. La SEC sta cercando di recuperare i fondi sottratti, oltre a interessi e sanzioni pre-giudiziali. Inoltre, sta perseguendo ingiunzioni permanenti contro tutti gli imputati.
Neil Chandran è attualmente dietro le sbarre, in attesa di essere processato in un altro caso di frode sugli investimenti supervisionato dal Dipartimento di Giustizia degli Stati Uniti. Mentre le autorità di regolamentazione lavorano per smantellare lo schema CoinDeal, il caso serve a ricordare la necessità di vigilare nel mondo in rapida evoluzione degli asset digitali e della tecnologia blockchain.
4. Monkey Drainer – 16,5 milioni di dollari persi (phishing, 1 marzo)
Il gruppo di phishing Monkey Drainer ha annunciato a marzo sul proprio canale Telegram la chiusura del proprio servizio illecito. Il gruppo, specializzato nella fornitura di contratti smart di phishing, avrebbe rubato ben 16.506.602 dollari prima di cessare le operazioni. Le tattiche di Monkey Drainer consistevano nel fornire contratti smart dannosi con codice sorgente non verificato a utenti ignari. Questi contratti erano progettati per prosciugare i portafogli delle persone colpite, rubando monete native, token ERC20 e NFT su varie reti blockchain, tra cui Ethereum, Binance e Avalanche. Il gruppo si è preso una fetta del 30% dei fondi rubati come pagamento per i suoi servizi. Dopo l’annuncio, l’hacker Monkey Drainer ha dichiarato che tutti i file relativi all’operazione sono stati immediatamente cancellati. SlowMist, una società di sicurezza blockchain, ha confermato che l’importo totale rubato ha raggiunto i 16.506.602 dollari. L’improvvisa chiusura del gruppo evidenzia le continue minacce poste dalle truffe di phishing nello spazio delle criptovalute e la necessità di una maggiore vigilanza da parte degli utenti e delle piattaforme.
Riferimento ai dati del blocco
Esempio di contratto dannoso:
https://etherscan.io/address/0x5e0102e6448b602fcd955fcfc7ceea9a36e7e5f0
5. Platypus Finance – 8,5 milioni di dollari persi (prestito flash, 16 febbraio)
Platypus Finance, un market maker automatizzato (AMM) che offre opportunità di stableswap, è stato recentemente vittima di un attacco flash loan. L’autore ha sfruttato diversi contratti di asset all’interno del protocollo utilizzando uno smart contract maligno non verificato, rubando alla fine 8.500.887 dollari in stablecoin. Le attività rubate comprendono circa 4.400.000 USDC, 2.700.000 USDT, 687.000 BUSD e 691.000 DAI.
L’aggressore ha sfruttato una vulnerabilità nel meccanismo di controllo della solvibilità della USP, assicurandosi un prestito lampo di 44.000.000 USDC. Ha poi scambiato il prestito con 44.000.000 di Platypus LP-USD e ha coniato 41.700.000 token USP a costo zero. Questi token sono stati successivamente scambiati con varie monete stabili. Al momento della segnalazione, il team di Platypus Finance stava collaborando con servizi di terze parti come Binance, Tether e Circle per congelare i beni rubati, e USDT è già stato congelato con successo.
Nonostante questi sforzi, l’aggressore è riuscito a trasferire 2.403.165 USDC attraverso Gnosis Proxy, spostando una parte dei fondi rubati. In risposta, il team di Platypus Finance ha identificato e rimosso il contratto dannoso e da allora ha implementato ulteriori misure di sicurezza per prevenire attacchi simili in futuro.
Riferimento ai dati del blocco
Transazione dannosa:
https://snowtrace.io/tx/0x1266a937c2ccd970e5d7929021eed3ec593a95c68a99b4920c2efa226679b430
Indirizzo dell’attaccante:
https://snowtrace.io/address/0xeff003d64046a6f521ba31f39405cb720e953958
Contratto dannoso:
https://snowtrace.io/address/0x67afdd6489d40a01dae65f709367e1b1d18a5322
Transazioni di trasferimento:
https://snowtrace.io/tx/0x5e3eb070c772631d599367521b886793e13cf0bc150bd588357c589395d2d5c3
https://snowtrace.io/tx/0x76ceab91aef320d0556029861dc1dde423d100e2a85f7ca4891a924efce4ed5a
Conclusioni
In conclusione, la significativa impennata delle perdite finanziarie di questo trimestre sottolinea la necessità di una maggiore gestione del rischio e di una maggiore vigilanza quando si investe nel settore della finanza decentralizzata (DeFi). È fondamentale che gli investitori si informino sui potenziali pericoli e mettano in atto misure adeguate per proteggere i loro investimenti..
