5 min
Il settore delle criptovalute è tornato a fare i conti con uno dei suoi talloni d'Achille più insidiosi: gli attacchi di address poisoning, una tecnica di phishing sempre più sofisticata che sfrutta le interfacce utente delle wallet per ingannare anche gli utenti più esperti. Due casi recenti hanno acceso i riflettori su questa minaccia, con un protagonista d'eccezione che ha rivelato di aver perso volontariamente 490 Bitcoin (BTC) per testare una vulnerabilità, mentre un'altra vittima ha visto volatilizzarsi 50 milioni di dollari in USDT in un classico errore di copia-incolla. Le vicende hanno riaperto il dibattito sulla necessità di ripensare radicalmente il design delle interfacce crypto, con l'Ethereum Community Foundation che chiede un intervento immediato per eliminare le pratiche che mettono a rischio i fondi degli utenti.
Wang Chun, co-fondatore del pool minerario F2Pool, ha condiviso pubblicamente un episodio avvenuto lo scorso anno in cui ha deliberatamente inviato 500 BTC a un wallet che sospettava fosse compromesso. L'obiettivo era confermare i suoi dubbi sull'esistenza di un hacker che monitorava attivamente quella specifica chiave privata. La risposta è arrivata istantaneamente: non appena i fondi sono stati depositati, l'attaccante ha drenato 490 Bitcoin, lasciandone solo 10 nel wallet. Wang ha ironizzato sulla "generosità" dell'hacker, che avrebbe potuto svuotare completamente il conto ma ha scelto di lasciare una cifra che il miner ha sarcasticamente definito sufficiente per "pane e burro".
Il caso ha suscitato reazioni contrastanti nella community crypto. Molti utenti si sono chiesti perché Wang avesse utilizzato un importo così elevato per un test di sicurezza, con alcuni che hanno ipotizzato che la narrativa del "test intenzionale" fosse in realtà un modo per salvare la faccia dopo un errore genuino. L'indirizzo dell'hacker, 14H12PpQNzrS1y1ipjF4mPuVgQEpgfGA79, è stato condiviso pubblicamente da Wang, ma il co-fondatore di F2Pool non ha intrapreso azioni per recuperare i fondi rubati né ha coinvolto le autorità, accettando di fatto la perdita come prezzo pagato per confermare la compromissione del wallet.
Parallelamente, il mondo crypto è stato scosso da un attacco di address poisoning che il 20 dicembre ha causato la perdita di 49,999,950 USDT, equivalenti a circa 50 milioni di dollari. Secondo l'analisi condotta dall'investigatore on-chain Web3 Antivirus, la vittima aveva inizialmente adottato comportamenti prudenti, inviando una transazione di test da 50 dollari all'indirizzo corretto. Tuttavia, subito dopo, lo scammer ha implementato un attacco di address poisoning creando un wallet fasullo con gli stessi primi tre e ultimi quattro caratteri dell'indirizzo legittimo.
La tecnica di address poisoning sfrutta una scelta di design comune nella maggior parte delle wallet e degli explorer: la visualizzazione abbreviata degli indirizzi con puntini di sospensione al centro. Quando l'utente ha copiato l'indirizzo dalla cronologia delle transazioni per il trasferimento principale, ha verificato solo l'inizio e la fine dell'hash, cadendo nella trappola. Cos, fondatore di SlowMist, ha confermato che la somiglianza tra gli indirizzi era sufficiente per ingannare anche gli utenti esperti, evidenziando come la pratica di troncamento degli indirizzi crei vulnerabilità evitabili nel panorama attuale della sicurezza crypto.
A differenza di Wang Chun, la vittima del caso da 50 milioni ha reagito con determinazione. Dopo che l'attaccante ha convertito i fondi rubati in Ether (ETH) e li ha distribuiti su multiple wallet, trasferendo parzialmente i proventi attraverso Tornado Cash, l'utente ha inviato un messaggio on-chain all'hacker. Il messaggio rivela che è stato sporto un esposto penale e che le forze dell'ordine, insieme ad altre agenzie, hanno raccolto informazioni sulle attività dell'attaccante. La vittima ha offerto una via d'uscita: restituire il 98% dei fondi entro 48 ore, trattenendo 1 milione di dollari come "compenso" per aver identificato la vulnerabilità, evitando così conseguenze legali.
L'ultimatum include la minaccia di escalation nelle indagini, con la promessa di svelare l'identità dell'hacker e perseguire azioni civili e penali fino al completo ristabilimento della giustizia. Questo approccio contrasta nettamente con la rassegnazione mostrata da Wang Chun, dimostrando come le risposte agli attacchi crypto possano variare drasticamente tra vittime disposte a collaborare con le autorità e quelle che considerano le perdite come costi inevitabili dell'ecosistema.
L'Ethereum Community Foundation ha colto l'occasione per lanciare un appello all'intero settore, chiedendo di porre fine alla pratica di troncare gli indirizzi con i puntini. Secondo la fondazione, tutti gli schermi moderni possono ora visualizzare indirizzi completi, rendendo obsoleta e pericolosa la scelta di nascondere i caratteri centrali. "Le wallet e gli explorer continuano a implementare scelte UI che minano attivamente la sicurezza degli utenti", ha dichiarato la ECF su X, aggiungendo che "questo problema è risolvibile". La proposta rappresenta un cambio di paradigma nel design delle interfacce crypto, ponendo la sicurezza al di sopra dell'estetica dell'interfaccia utente.
Questi incidenti evidenziano la continua tensione nel settore crypto tra usabilità e sicurezza, un equilibrio che diventa sempre più critico man mano che l'adozione mainstream aumenta. Gli attacchi di address poisoning non sono nuovi, ma la loro crescente sofisticazione e l'impatto finanziario dimostrano che le soluzioni attuali sono insufficienti. Per gli investitori e gli utenti italiani, già sensibili alle questioni di sicurezza anche alla luce delle normative europee come il MiCA, questi casi sottolineano l'importanza di verifiche multiple e dell'utilizzo di strumenti di sicurezza avanzati come gli address book delle wallet hardware.
Il panorama normativo europeo potrebbe trarre insegnamenti da questi episodi per rafforzare i requisiti di sicurezza imposti agli exchange centralizzati e ai fornitori di servizi crypto. Mentre la regolamentazione ESMA e la Consob in Italia si concentrano principalmente su aspetti di compliance e protezione degli investitori, la dimensione tecnologica della sicurezza delle interfacce utente potrebbe richiedere standard più stringenti. L'evoluzione di queste minacce suggerisce che il settore è a un punto di svolta: o si adottano soluzioni proattive come quelle proposte dall'ECF, o si continuerà a vedere perdite multimilionarie causate da vulnerabilità facilmente prevenibili.