Un trader di criptovalute ha perso quasi 50 milioni di dollari in una singola transazione il 20 dicembre, diventando vittima di un sofisticato attacco di “address poisoning”. In questo episodio, 49.999.950 USDT sono stati trasferiti direttamente nel wallet dell’attaccante, evidenziando una crisi di sicurezza sempre più grave, in cui ladri tecnologicamente avanzati sfruttano abitudini umane basilari e limiti delle interfacce utente.
Secondo l’investigatore on-chain Specter, la vittima, nel tentativo di trasferire fondi dall’exchange al proprio wallet personale, ha inizialmente effettuato una transazione di prova di 50 USDT verso il proprio indirizzo legittimo. Questa azione è stata intercettata dall’attaccante, che ha immediatamente generato un indirizzo “falso” personalizzato, con i primi quattro e gli ultimi quattro caratteri identici a quelli del wallet legittimo della vittima.
Leggi di più: Truffe crypto nel 2025: come riconoscerle e proteggersi
L’attaccante ha quindi inviato una piccola quantità di criptovaluta da questo indirizzo falso alla vittima, “avvelenando” di fatto la cronologia delle transazioni dell’utente. Nel dibattito successivo, Specter ha espresso rammarico per il fatto che un trader abbia perso fondi “per una ragione che difficilmente avrebbe potuto causare una perdita così grande”. In risposta all’investigatore ZachXBT, che ha mostrato empatia verso la vittima, Specter ha dichiarato:
“È proprio questo il motivo per cui sono senza parole: perdere una somma così ingente per un errore così semplice. Bastava solo qualche secondo per copiare e incollare l’indirizzo dalla fonte corretta, invece che dalla cronologia delle transazioni, e tutto ciò si sarebbe potuto evitare. Il Natale è rovinato.”
Poiché la maggior parte dei wallet crypto moderni e dei block explorer tronca le lunghe stringhe alfanumeriche — mostrando puntini di sospensione al centro (ad esempio, 0xBAF4…F8B5) — l’indirizzo falso appare identico a quello della vittima a un primo sguardo. Così, quando la vittima ha trasferito i restanti 49.999.950 USDT, ha seguito una pratica comune: copiare l’indirizzo di ricezione dalla cronologia delle transazioni recenti invece che dalla fonte originale.
Entro 30 minuti dall’attacco di poisoning, quasi 50 milioni di USDT sono stati convertiti in stablecoin DAI, poi scambiati in circa 16.690 ETH e riciclati tramite Tornado Cash. Dopo aver realizzato quanto accaduto, la vittima disperata ha inviato un messaggio on-chain all’attaccante, offrendo una ricompensa white-hat di 1 milione di dollari in cambio della restituzione del 98% dei fondi. Al 21 dicembre, questi asset non erano ancora stati recuperati.
Gli esperti di sicurezza avvertono che, con il valore degli asset crypto ai massimi storici, queste truffe di “poisoning” a bassa tecnologia e alto rendimento stanno diventando sempre più comuni. Per evitare simili disavventure, i detentori sono invitati a copiare sempre l’indirizzo di ricezione direttamente dalla scheda “ricevi” del wallet.
Gli utenti dovrebbero inserire nella whitelist gli indirizzi affidabili all’interno del proprio wallet, per prevenire errori di inserimento manuale. Dovrebbero inoltre considerare l’uso di dispositivi che richiedono la conferma fisica dell’indirizzo di destinazione completo, fornendo così un secondo livello di verifica fondamentale.
- Cosa è successo nell’attacco del 20 dicembre? Un trader ha perso quasi 50 milioni di USDT a causa di una truffa di address poisoning.
- Come funziona la truffa? L’attaccante ha creato un indirizzo wallet falso che, in forma troncata, appare identico a quello della vittima.
- Dove sono finite le criptovalute rubate? I fondi sono stati riciclati tramite DAI, convertiti in ETH e trasferiti tramite Tornado Cash.
- Come possono i trader proteggersi?
Copiare sempre l’indirizzo dalla scheda “ricevi” del wallet e inserire gli account affidabili nella whitelist.
