Il mercato delle criptovalute, ed in particolare quello degli NFT, è sempre in fermento ed alcuni progetti godono di una reputazione e crescita abbastanza costante. In tale contesto gli attacchi dei malintenzionati si fanno sempre più frequenti e si configurano in vari modi. A veri e propri attacchi alle piattaforme di exchange si affiancano quelli più insidiosi, condotti con tecniche di pishing e di web spoofing di siti di noti attori del settore a cui vengono associati smart contract che consentono agli attaccanti di trasferire in maniera abbastanza semplice gli asset dei wallet degli utenti.
Il caso di Yuga Labs
Recentemente ha fatto scalpore la vicenda degli NFT della collezione Bored Ape Yacht Club e Mutant Ape Yacht Club, creati da Yuga Labs, che attualmente sono forse i più famosi NFT oggi in circolazione. L’attacco ha fruttato circa 2,8 milioni di dollari agli attaccanti ed è stato condotto tramite una tecnica di phishing, unendo tecnologie del Web 2.0 con quelle del Web 3.0. Sintetizzando l’accaduto, gli attaccanti sono riusciti innanzitutto ad impossessarsi del profilo ufficiale Instagram di Bored Ape Yacht Club (violando parallelamente il relativo server Discord (un servizio di messaggistica simile a Telegram) impedendo così anche qualsiasi comunicazione diretta).
Dal profilo Instagram è stato inviato un messaggio a tutti i follower (che sono circa 650.000) annunciando un airdrop (ossia la creazione gratuita di nuovi NFT) relativi al nuovo progetto OthersideMeta della Yoga Labs. Il messaggio conteneva un link ad un sito internet simile a quello originario, ma in realtà creato dagli attaccanti, in cui erano presente le opzioni per “mintare” (ossia creare) gratuitamente i nuovi NFT.
È noto che la creazione di un NFT su una piattaforma online richiede di collegare il proprio wallet (tramite le estensioni contenute nel browser) a quel determinato sito. Ed è proprio questo il punto più vulnerabile: infatti una volta collegato il wallet il sito, tramite degli appositi comandi, può sollecitare l’utente ad autorizzare transazioni che hanno la capacità di trasferire i cryptoasset registrati sul wallet verso destinatari sconosciuti. Nel caso di specie delle Bored Ape Yacht Club, quindi, l’utente veniva invitato a collegare il wallet al sito (cosa comune nel Web 3.0) e poi, al momento di “mintare” il nuovo NFT gratuito in realtà premendo il relativo pulsante avviava il processo autorizzativo della transazione collegando il proprio wallet a quello dei malintenzionati e trasferendo, accettando definitivamente la transazione, gli asset presenti verso il loro wallet.
In totale l’attacco ha portato al trasferimento di 13 NFT della collezione Bored Ape (e collaterali) nonché altri NFT di diverso tipo, per una stima totale di valore di circa 3 milioni di dollari. L’attacco delle Bored Ape è solo l’ultimo di una serie che si sono verificati nei confronti degli utenti che comprano e scambiano NFT. Agli inizi del mese di febbraio di questo anno anche la piattaforma OpenSea aveva registrato attacchi simili rivolti agli utenti ed anche alcuni personaggi più noti nel mondo delle criptovalute hanno recentemente subito dei “furti” di NFT tramite la stessa tecnica di phishing e web spoofing.
Criptovalute e NFT, i rischi
Le vicende sopra descritte devono indurre a prestare una particolare attenzione quando si utilizzano gli strumenti del Web 3.0. In tale ambiente, infatti, è possibile utilizzare gli strumenti della blockchain per navigare ed autenticarsi su siti Internet in maniera facile e trasparente per gli utenti, ma spesso non ci si rende conto che, dal momento in cui si effettua tale autenticazione, sostanzialmente approvando una prima transazione, il sito Internet su cui ci si autentica sarà in grado di proporci nuove transazioni che saranno gestite tramite smart contract e registrate in blockchain.
Tutto ciò significa che è necessario prestare particolare attenzione a numerosi elementi perché una disattenzione può portare alla perdita degli asset attribuiti all’utente, perdita oltretutto difficilmente recuperabile. Non solo. È importante anche notare che una volta che si utilizza tale “autenticazione Web 3.0” il gestore del sito verrà a conoscenza della nostra chiave pubblica (in quanto necessaria a far attivare la prima transazione) così potendo poi ricostruire tutte le transazioni da noi svolte su una determinata blockchain e ricollegate a quella chiave. In aggiunta, qualora oltre a tale modalità sia anche richiesta la registrazione tramite l’indicazione di dati personali, il gestore del sito otterrà di poter identificare la persona fisica che detiene la chiave pubblica (o meglio, di associare quei dati alla chiave pubblica) così rendendo univocamente riconducibile un soggetto alle transazioni con essa svolta.
Le quattro regole per non rischiare
Per tali motivi, è necessario seguire delle regole di prudenza nell’utilizzare tali strumenti, perché possono sia rivelare molte più informazioni di quante si possa inizialmente credere sia condurre alla perdita, definitiva, di criptoasset eventualmente associati alle chiavi conservate nei wallet.
Prima regola
Accertarsi di non installare app o estensioni del browser per il wallet che non siano verificate. Questo è un primo veicolo di attacco utilizzato dai malintenzionati per sottrarre risorse ai malcapitati. Se si effettua una ricerca su Google Play di uno dei più noti software come Metamask si troveranno numerosi risultati di app o estensioni per la gestione dei cryptoasset. E’ necessario verificare attentamente che si tratti dei software “ufficiali” perchè inserendo la propria frase chiave in software malevoli sostanzialmente si consente l’accesso alle proprie chiavi private e, praticamente, si consegna il proprio wallet nelle mani degli attaccanti.
Seconda regola
Nei casi citati precedentemente in questo articolo gli attacchi sono tutti partiti da messaggi di phishing inviati dai malintenzionati (sui social network o tramite email). Le precauzioni per difendersi dal phishing sono abbastanza note e nel Web 3.0 diventano più che mai necessarie, dato che, come si è visto, possono condurre su siti Internet malevoli in grado di far effettuare direttamente transazioni fraudolente. Soprattutto quando si tratta di email che contengono messaggi relativi ad airdrop, trasferimenti gratuiti di cryptoasset, promozioni convenienti che richiedono però di collegare il proprio wallet ad un sito è bene prestare particolare attenzione. Nel mondo NFT, inoltre, community come quella di Bored Ape Yacht Club difficilmente si limiterebbero ad annunciare un airdrop con un solo messaggio da un’unica piattaforma social, ma è più probabile che tale comunicazione venga diffusa sui vari canali della community stessa. È pertanto buona regola verificare sempre la veridicità di tali comunicazioni, che puntano a far credere agli utenti di poter ottenere asset gratuitamente, cercando conferme nei vari canali, ricordando che Twitter, Discord, Reddit sono tra quelli più utilizzati dai “frequentatori” del settore delle criptovalute.
Terza regola
Il messaggio di phishing è usualmente diretto a portare l’utente su un sito internet somigliante a quello “ufficiale”, ma creato appositamente da parte degli attaccanti (web spoofing). Da questo punto di vista in realtà il Web 3.0 è forse più sicuro del Web 2.0, perché per poter sottrarre degli asset dal wallet del visitatore non è sufficiente far eseguire nel browser del codice malevolo, ma è necessaria un’azione positiva da parte dell’utente stesso. Ciò significa che si avrà il tempo necessario per verificare se effettivamente quel sito è riconducibile all’entità che ne appare titolare, analizzando il certificato SSL dello stesso, verificando la correttezza generale del contenuto, dell’indirizzo di dominio e di tutte le altre caratteristiche del sito “originale”. Si potrà anche, prima di avviare qualsiasi transazione, verificare se il sito originale sia raggiungibile all’indirizzo usuale e se al suo interno sia presente una sezione con le informazioni che si stanno cercando. In ultima analisi si tratta delle medesime accortezze che vanno adottate quando si svolgono degli acquisti on-line per valutare il grado di affidabilità del soggetto con cui si interagisce.
Quarta regola
L’ultima regola è abbastanza semplice ed è quella che normalmente manteniamo nella vita reale: chi andrebbe mai in giro tutti i giorni con 300.000,00 euro in contanti nel portafoglio? La domanda sembra iperbolica, ma è proprio quello che accade quando si collega il wallet con asset come quelli che sono stati oggetto di attacco a siti internet non conosciuti. Il sito potrebbe proporre qualsiasi tipo di transazione, anche “bottoni” che invitano a compiere un’azione che in realtà ne attivano un’altra, ed associare chiavi che possono gestire rilevanti valori a questi wallet è altamente rischioso. E’ necessario tenere a mente che, una volta che ci si autentica ad un sito Web3.0 tramite la app che gestisce il wallet metaforicamente si sta “aprendo il proprio portafoglio”, a quel punto diventerà più facile per i malintenzionati provare a “prendere i soldi” inducendoci a compere determinati azioni per avviare le relative transazioni.
Conclusione
Il suggerimento, pertanto, è quello di conservare gli asset importanti su appositi wallet hardware da collegare solamente su siti verificati e sicuri. Per le transazioni quotidiane si potrà utilizzare un wallet sotto forma di app o estensione su cui saranno gestiti asset di valore inferiore. Un’alternativa potrebbe essere quella di utilizzare diverse coppie di chiavi sulla stessa applicazione wallet, utilizzando per l’autenticazione sui siti Web 3.0 quella su cui si saranno registrati dei valori di asset minimali ai fini delle transazioni che si vogliono effettivamente svolgere (ad esempio i quantitativi criptovaluta necessari a pagare le fee delle transazioni), e ciò sempre nel rispetto della prima regola sopra indicata.
