Attori malevoli rubano 55 milioni dalla piattaforma decentralizzata BZX
- Andrea Di Tella
- News
- Visite: 6593
Un attacco di Spear Phishing è costato la bellezza di 55 milioni di dollari alla piattaforma di scambio decentralizzata (DeFi) che prende il nome di BZX.
Gli attaccanti sono venuti in possesso di due chiavi private apparteneti ad al portafoglio di uno sviluppatore della piattaforma con attacco simile a quello sferrato ad “mgnr.io”
Si tratta di un attacco di tipo spear phishing il cui payload è un documento word che una volta aperto, tramite una macro, installa una sorta di keylogger in grado di scovare la passphrase e rubare le chiavi private associate portafoglio elettronico della vittima.
La passphrase non è altro che una password, ma invece di essere una parola, può contenere anche spazi diventando effettivamente una frase. La scelta di utilizzare una passphrase al posto di una password risiede nel principio “lenght over complexity” ossia preferire la lunghezza di una password alla sua complessità. L’utilizzo di una passphrase migliora la possibilità di essere ricordata da parte del proprietario.
Quello che rende appetibili le piattaforme DeFi, come BZX è la loro costituzione: esse sono create con lo scopo principale di essere anonime, hanno molti soldi da perdere e qualsiasi tipo di hack può essere testata in locale senza la conoscenza della vittima. Nei primi quattro mesi del 2021 le perdite dovute ad attacchi verso queste piattaforme ammontano a 240 milioni di dollari.
Ma come vengono rubati i soldi a queste piattaforme?
In questo caso gli attaccanti sono riusciti a rubare i fondi di uno sviluppatore grazie alle chiavi private che sono state usate per l’integrazione delle blockchain di polygon, Binance Smart Chain (BSC) nella piattaforma BZX. Gli attaccanti hanno usato le chiavi per rubare i fondi detenuti da BZX di entrambe le piattaforme. Una volta concluso questo furto, gli attaccanti sono riusciti anche a svuotare altri conti di piccoli risparmiatori che non avevano settato un limite di spesa né un numero massimo di transazioni approvabili.
BZX ha promesso una ricompensa agli attaccanti nel caso decidessero di restituire i soldi rubati.
Questa volta è stato eseguito un attacco alla persona ma su queste piattaforme può essere aggirato il protocollo stesso.