La sicurezza nel mondo delle criptovalute torna sotto i riflettori dopo l'ennesimo attacco phishing, questa volta ai danni degli utenti Ledger tramite uno dei canali ufficiali dell'azienda. Il celebre produttore di hardware wallet ha dovuto affrontare un'intrusione nel proprio server Discord, dove un account moderatore compromesso è stato utilizzato per diffondere link fraudolenti progettati per rubare le frasi seed degli utenti, la chiave d'accesso fondamentale ai propri asset digitali. L'episodio, avvenuto l'11 maggio, evidenzia ancora una volta come anche i canali ufficiali delle aziende più attente alla sicurezza possano trasformarsi in pericolosi vettori d'attacco.
Anatomia di un attacco sofisticato
Secondo quanto comunicato ufficialmente da Ledger, l'attacco ha preso di mira l'account di un moderatore esterno, non dipendente diretto dell'azienda. Una volta ottenuto l'accesso a questo profilo con privilegi elevati, i criminali informatici hanno implementato un bot programmato per diffondere link malevoli in uno dei canali del server. La trappola era particolarmente insidiosa: gli utenti venivano allertati di una presunta vulnerabilità nei sistemi Ledger, con l'invito urgente a "verificare" le proprie frasi di recupero attraverso un link fornito.
Il sito di phishing replicava perfettamente l'interfaccia ufficiale Ledger, chiedendo agli utenti di connettere i propri wallet e inserire la frase seed composta da 24 parole, con il pretesto di un aggiornamento critico per la sicurezza. In realtà, questa operazione avrebbe consegnato agli attaccanti il pieno controllo sugli asset digitali delle vittime, permettendo loro di svuotare i portafogli in pochi istanti.
La risposta tempestiva di Ledger
Quintin Boatwright, membro dello staff Ledger, ha dichiarato che "il problema è stato rapidamente contenuto: l'account compromesso è stato rimosso, il bot è stato eliminato, il sito web è stato segnalato e tutte le autorizzazioni rilevanti sono state riviste e messe in sicurezza". La reazione tempestiva dell'azienda ha probabilmente limitato i danni, anche se alcuni membri della community hanno segnalato che l'attaccante aveva sfruttato i diritti di moderazione per silenziare e bandire gli utenti che cercavano di avvertire gli altri della truffa in corso.
Non è ancora chiaro se qualche utente sia effettivamente caduto nella trappola, ma gli screenshot dell'attacco hanno rapidamente iniziato a circolare su X (ex Twitter), permettendo ad analisti di sicurezza di lanciare ulteriori avvertimenti. L'ex CEO di Binance, Changpeng Zhao, ha commentato l'accaduto ricordando la regola d'oro della sicurezza cripto: "Mai condividere le proprie frasi di recupero, indipendentemente da chi le richieda".
Un pattern ricorrente nel settore
Questo incidente si inserisce in un contesto più ampio di attacchi mirati agli utenti di wallet hardware. La sofisticazione delle tecniche di phishing nel settore cripto sta raggiungendo livelli preoccupanti, con strategie sempre più elaborate. Solo recentemente, come riportato da crypto.news, i clienti Ledger erano stati presi di mira da una campagna di phishing che prevedeva l'invio per posta di false lettere con il marchio Ledger, complete di indirizzo di ritorno e numero di riferimento contraffatto.
Anche in quel caso, le vittime venivano invitate a scansionare un codice QR malevolo e a inserire la propria frase di recupero a 24 parole, con il falso pretesto di un aggiornamento di sicurezza necessario. La vulnerabilità degli utenti a questo tipo di attacchi sottolinea l'importanza di una continua formazione sulla sicurezza all'interno dell'ecosistema cripto.
La guerra silenziosa tra produttori di wallet
Ledger non è l'unico produttore di wallet hardware a dover affrontare minacce alla sicurezza. Lo scorso marzo, il team di ricerca sulla sicurezza di Ledger, Donjon, aveva rivelato una vulnerabilità nei wallet hardware Safe del concorrente Trezor, avvertendo che i dispositivi potevano essere fisicamente violati a causa di un difetto nel microcontrollore utilizzato per eseguire operazioni crittografiche critiche.
In particolare, il chip risultava vulnerabile agli attacchi di "voltage glitching", che consentono a un malintenzionato di estrarre o manipolare i dati memorizzati nel dispositivo alterando brevemente l'alimentazione durante le operazioni. Questa "guerra" di sicurezza tra produttori evidenzia come nessun sistema possa considerarsi completamente immune da potenziali vulnerabilità.
Per gli utenti italiani, particolarmente attivi nel mercato delle criptovalute con un volume di scambi in continua crescita, questi incidenti rappresentano un monito importante. La protezione delle proprie chiavi private rimane la priorità assoluta, indipendentemente dal wallet hardware utilizzato o dalle rassicurazioni ricevute, anche attraverso canali apparentemente ufficiali.