Connect with us

Notizie

Che cos’è STEPN (GMT)?

Tempo di lettura: 3 minuti. La cripto che ha lanciato gli NFT nel mondo della ginnastica

Pubblicato

in data

Tempo di lettura: 3 minuti.

STEPN è una sedicente “applicazione di stile di vita Web3” con elementi GameFi sulla blockchain Solana. Combina gli aspetti di un gioco per guadagnare con un’app per il fitness per creare una nuova categoria denominata “move-to-earn“. Gli utenti acquistano scarpe da ginnastica NFT, che possono utilizzare per guadagnare valuta di gioco mentre camminano, corrono o fanno jogging.

STEPN mira a rivoluzionare il mercato delle applicazioni per il fitness, incentivando milioni di utenti a seguire uno stile di vita più sano. L’applicazione risolve diversi problemi, come la “prova del movimento” – che dimostra che gli utenti hanno davvero fatto esercizio – e un sistema GPS funzionante. Inoltre, STEPN incentiva gli utenti dal punto di vista finanziario e prevede di introdurre elementi di ricompensa sociale, contribuendo con successo alla neutralità delle emissioni di carbonio.

L’applicazione è disponibile per Android e iOS ed è passata dalla fase iniziale alla versione beta aperta in soli cinque mesi. Dopo il successo dell’IDO nel marzo 2022, STEPN prevede di ottimizzare le sue caratteristiche di gioco e di lanciarle in futuro su diverse altre catene.

Chi sono i fondatori di STEPN?

STEPN è stata fondata nell’agosto 2021 dall’imprenditore australiano di blockchain Yawn Rong. Il signor Rong ha precedentemente fondato Crypto SA, un fondo di criptovalute australiano e un revisore dei conti a favore della regolamentazione, ed è stato ambasciatore di Algorand e rappresentante del settore della South Australian Blockchain Association. Ha fondato STEPN con il suo vicino e socio Jerry Huang, sviluppatore di giochi ed ex fondatore di Falafel Games.

STEPN ha raccolto un significativo seed round da 5 milioni di dollari da alcune delle più grandi società di crypto venture capital come Sequoia Capital, Folius Ventures, Solana Capital, Alameda Research, 6th Man Ventures, DeFi Alliance e molte altre. Tra gli angel investor di rilievo figurano Santiago R Santos e l’Asia Partner di Republic Zhen Cao.

Cosa rende STEPN unica?

STEPN aspira a sconvolgere il settore del fitness in diversi modi.

In primo luogo, incentiva gli utenti a condurre uno stile di vita più sano attraverso un semplice meccanismo di ricompensa in gettoni. Dopo aver scaricato l’applicazione e creato un portafoglio, gli utenti possono acquistare un paio di scarpe da ginnastica NFT per iniziare a guadagnare nella modalità Solo del gioco. Correndo o camminando, possono guadagnare gettoni Green Satoshi (GST). I diversi tipi di scarpe da ginnastica restituiscono GST a tassi diversi: più alto è l’attributo di efficienza di una scarpa da ginnastica, più GST al minuto l’utente può guadagnare.

Questo introduce il secondo elemento rivoluzionario di STEPN: la gamificazione del fitness. Grazie alle ricompense di gioco, alle quote giornaliere di energia e alle scarpe da ginnastica personalizzate, STEPN rende il movimento un gioco e spinge gli utenti verso uno stile di vita più sano. In futuro, l’app prevede di aggiungere una modalità maratona, con gare settimanali e mensili tra i 2,5 km e i 15 km. I partecipanti alla maratona potranno guadagnare e confrontare i propri risultati in una classifica, con premi extra per i primi classificati.

Infine, STEPN consente agli utenti di dare un segnale in due modi: conducendo uno stile di vita più sano e guadagnando gettoni e contribuendo positivamente alla neutralità delle emissioni di carbonio. La prima modalità offre agli utenti una ricompensa emotiva e finanziaria. Il secondo si ottiene attraverso i contributi di STEPN all’acquisto di crediti di rimozione del carbonio su Solana per combattere il cambiamento climatico.

Quante monete STEPN (GMT) sono in circolazione?

STEPN segue un modello a due gettoni con un gettone di utilità chiamato GST e un gettone di governance chiamato GMT. Il GST ha una disponibilità illimitata ed è la valuta dell’app che viene guadagnata per i movimenti. Ha diversi meccanismi di riscatto per disincentivare l’inflazione, come il conio o la riparazione di scarpe da ginnastica, il livellamento delle scarpe da ginnastica e l’aggiornamento delle gemme.

Il GMT si guadagna dopo che gli utenti hanno fatto salire di livello le loro sneaker fino al livello 30. Il GMT ha una disponibilità totale di 6 miliardi ed è distribuito come segue:

  • Muoviti e guadagna: 30%
  • Ecosistema e tesoreria: 30%
  • Vendita privata: 16.3%
  • Vendita da Launchpad: 7%
  • Team: 14,2%.
  • Consulenti: 2.5%

Il rilascio totale di GMT viene dimezzato ogni tre anni e i token del team e della vendita privata sono soggetti a maturazione, che non inizia prima del 2023.

Come è protetta la rete STEPN?

STEPN è costruita su Solana, una blockchain di primo livello con un consenso proof-of-history combinato con un meccanismo di consenso proof-of-stake con parziale tolleranza ai guasti bizantini. Dispone di 200 nodi operativi in tutto il mondo che, al loro picco, possono elaborare fino a 50.000 transazioni al secondo. Solana esegue una serie di ottimizzazioni coordinate per ottenere prestazioni così impressionanti ed elabora le transazioni in modo multi-thread, il che la distingue dalle blockchain più lente.

Cos’è Solana (SOL)? La criptovaluta con il doppio consenso

Notizie

Edge vulnerabilità consentiva installazioni occulte di estensioni dannose

Tempo di lettura: 2 minuti. Una vulnerabilità in Microsoft Edge avrebbe potuto permettere installazioni occulte di estensioni dannose, evidenziando preoccupazioni

Pubblicato

in data

Tempo di lettura: 2 minuti.

Una vulnerabilità di sicurezza, ora corretta, in Microsoft Edge avrebbe potuto permettere l’installazione silenziosa di estensioni arbitrarie, aprire le porte a possibili azioni dannose. Questa scoperta, fatta dal ricercatore di Guardio Labs Oleg Zaytsev, sfruttava impropriamente un’API privata inizialmente destinata per fini di marketing.

Breach nella sicurezza di Edge

La falla, identificata come con un punteggio CVSS di 6.5, è stata risolta da Microsoft nella versione stabile di Edge 121.0.2277.83 rilasciata il 25 gennaio 2024. Questo bug rappresentava una significativa preoccupazione per la sicurezza, poiché avrebbe potuto consentire a un attaccante di guadagnare i privilegi necessari per installare un’estensione nel browser, potenzialmente conducendo a una fuga dalla sandbox del browser.

Il problema risiedeva nell’API edgeMarketingPagePrivate di Edge, accessibile da un insieme di siti web autorizzati di proprietà di Microsoft. Tale API conteneva un metodo, installTheme(), progettato per installare un tema dallo store Edge Add-ons, ma a causa di una validazione insufficiente, era possibile per un attaccante fornire un identificativo di estensione qualsiasi e farlo installare in modo occculto.

Implicazioni e scenari di attacco

In uno scenario di attacco ipotetico, un attore di minaccia avrebbe potuto pubblicare un’estensione apparentemente innocua nello store di add-on e utilizzarla per iniettare codice JavaScript dannoso in siti come bing.com, che hanno accesso all’API. L’esecuzione dell’estensione mirata sul browser Edge e la visita a bing.com avrebbero automaticamente installato l’estensione selezionata senza il permesso della vittima.

Sebbene non ci siano prove che questa vulnerabilità sia stata sfruttata attivamente, sottolinea la necessità di bilanciare comodità dell’utente e sicurezza. La personalizzazione del browser può involontariamente annullare meccanismi di sicurezza, introducendo nuovi vettori di attacco.

Riflessioni finali

Questo caso evidenzia come sia relativamente facile per gli attaccanti ingannare gli utenti a installare un’estensione che sembra innocua, senza rendersi conto che potrebbe servire come primo passo in un attacco più complesso. La vulnerabilità avrebbe potuto essere sfruttata per facilitare l’installazione di ulteriori estensioni, potenzialmente per guadagno finanziario, aumentando l’importanza di una vigilanza continua nella gestione della sicurezza dei browser.

Prosegui la lettura

Notizie

CISA vulnerabilità in SharePoint e Apple rilascia aggiornamenti di sicurezza

Tempo di lettura: 1 minuto. CISA segnala vulnerabilità sfruttate in SharePoint ed Apple rilascia aggiornamenti di sicurezza per riparare Safari e macOS.

Pubblicato

in data

Tempo di lettura: 1 minuto.

La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un avviso per una vulnerabilità di SharePoint di Microsoft attivamente sfruttata che consente l’esecuzione di codice remoto (RCE), mentre Apple ha rilasciato aggiornamenti di sicurezza per una vulnerabilità in Safari e macOS che potrebbe permettere a un attaccante di prendere il controllo di un sistema.

Vulnerabilità in SharePoint di Microsoft

La vulnerabilità di SharePoint, tracciata come CVE-2023-24955, consente agli aggressori autenticati con privilegi di Proprietario del Sito di eseguire codice a distanza su server vulnerabili. Un’altra falla, CVE-2023-29357, permette agli attaccanti di ottenere privilegi di amministratore su server SharePoint vulnerabili bypassando l’autenticazione tramite token JWT falsificati. Queste due vulnerabilità possono essere combinate da aggressori non autenticati per ottenere l’esecuzione di codice remoto su server non aggiornati.

Un proof-of-concept (PoC) per CVE-2023-29357 è stato rilasciato su GitHub, rendendo questa catena di vulnerabilità più accessibile agli attaccanti, anche a quelli meno esperti. Di conseguenza, CISA ha incluso entrambe le vulnerabilità nel suo catalogo di vulnerabilità note ed è stata sfruttata, ordinando alle agenzie federali statunitensi di applicare le patch entro scadenze specifiche.

Aggiornamenti di Sicurezza per Safari e macOS

Parallelamente, Apple ha affrontato una vulnerabilità critica, identificata come CVE-2024-1580, in Safari e macOS che, se sfruttata, potrebbe consentire a un attore di minaccia di prendere il controllo di un sistema interessato. Gli utenti e gli amministratori sono incoraggiati a rivedere gli avvisi rilasciati e applicare gli aggiornamenti necessari per proteggere i loro dispositivi da potenziali compromissioni.

Significato per la sicurezza

Questi avvisi sottolineano l’importanza di mantenere i sistemi aggiornati e di implementare patch di sicurezza tempestivamente per difendersi dagli attacchi informatici. Le organizzazioni dovrebbero dare priorità a questi aggiornamenti per mitigare il rischio di compromissione dei dati e assicurarsi contro l’esposizione a vulnerabilità critica.

Prosegui la lettura

Notizie

India, malware HackBrowserData mira Difesa ed Energia

Tempo di lettura: 2 minuti. Un attacco di phishing utilizzando malware HackBrowserData mascherato da invito dell’Indian Air Force mira al settore difesa ed energetico indiano.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Le entità governative indiane e le compagnie energetiche sono state prese di mira da attori di minaccia non identificati, che hanno distribuito una versione modificata di un malware open-source per il furto di informazioni, denominato HackBrowserData, utilizzando in alcuni casi Slack come server di comando e controllo (C2). L’attacco è stato mascherato da una mail di phishing che apparentemente conteneva un invito da parte dell’Indian Air Force come raccontato dai ricercatori di Eclecticiq.

Dettagli dell’Attacco

Il malware è stato veicolato tramite un’email di phishing che simulava una lettera di invito dall’Indian Air Force. Dopo l’esecuzione del malware, gli attaccanti hanno utilizzato i canali Slack per caricare documenti interni confidenziali, messaggi di posta elettronica privati e dati memorizzati nella cache dei browser web. Questa campagna, osservata per la prima volta dall’azienda olandese di cybersecurity il 7 marzo 2024, è stata soprannominata “Operazione FlightNight” in riferimento ai canali Slack gestiti dagli avversari.

Le vittime dell’attività malevola includono diverse entità governative in India, relative alla comunicazione elettronica, alla governance IT e alla difesa nazionale. L’attore di minaccia ha compromesso con successo aziende private del settore energetico, estraendo documenti finanziari, dettagli personali dei dipendenti e informazioni sulle attività di trivellazione nel settore petrolifero e del gas. In totale, circa 8,81 GB di dati sono stati sottratti durante la campagna.

L’attacco inizia con un messaggio di phishing contenente un file ISO (“invite.iso”), che a sua volta contiene un collegamento a Windows (LNK) che avvia l’esecuzione di un file binario nascosto (“scholar.exe”) all’interno dell’immagine del disco ottico montato. Contemporaneamente, viene mostrato alla vittima un file PDF fittizio che pretende di essere una lettera di invito dell’Indian Air Force, mentre il malware raccoglie in segreto documenti e dati memorizzati nella cache del browser web, trasmettendoli a un canale Slack controllato dagli attaccanti, denominato FlightNight.

Il malware è una versione modificata di HackBrowserData che, oltre alle sue funzionalità di furto di dati del browser, incorpora capacità di sottrarre documenti (file Microsoft Office, PDF e database SQL), comunicare tramite Slack e evitare meglio il rilevamento mediante tecniche di offuscamento.

Questo attacco sottolinea la crescente sofisticazione degli attori di minaccia che adattano strumenti offensivi disponibili liberamente e sfruttano infrastrutture legittime come Slack, prevalenti negli ambienti aziendali, riducendo tempi e costi di sviluppo e rimanendo sotto il radar.

Prosegui la lettura

Facebook

CYBERSECURITY

Notizie17 ore fa

Edge vulnerabilità consentiva installazioni occulte di estensioni dannose

Tempo di lettura: 2 minuti. Una vulnerabilità in Microsoft Edge avrebbe potuto permettere installazioni occulte di estensioni dannose, evidenziando preoccupazioni

Notizie18 ore fa

India, malware HackBrowserData mira Difesa ed Energia

Tempo di lettura: 2 minuti. Un attacco di phishing utilizzando malware HackBrowserData mascherato da invito dell'Indian Air Force mira al...

Notizie2 giorni fa

Confermato: APT31 dietro al cyberattacco al Parlamento Finlandese del 2021

Tempo di lettura: 2 minuti. La polizia finlandese conferma che il gruppo APT31 del MSS cinese è responsabile della violazione...

Raspberry pi GEOBOX Raspberry pi GEOBOX
Notizie2 giorni fa

Raspberry Pi diventa uno strumento di frode con GEOBOX

Tempo di lettura: 4 minuti. GEOBOX trasforma Raspberry Pi in uno strumento di frode, complicando il tracciamento dei cybercriminali e...

CISA CISA
Notizie2 giorni fa

CISA mette in guardia sulle vulnerabilità Fortinet, Ivanti e Nice

Tempo di lettura: 2 minuti. CISA segnala l'attiva sfruttamento di vulnerabilità critiche nei prodotti Fortinet, Ivanti e Nice, sollecitando l'applicazione...

Notizie3 giorni fa

Discord ancora problemi: colpita la piattaforma BOT più importante

Tempo di lettura: 3 minuti. Hacker compromettono top.gg, la principale piattaforma di bot Discord, avvelenando il codice sorgente e sollevando...

CISA CISA
Notizie3 giorni fa

Nuove direttive CISA e FBI contro le vulnerabilità SQL

Tempo di lettura: 3 minuti. CISA e FBI esortano a eliminare le vulnerabilità all'iniezione SQL, sottolineando l'importanza delle pratiche di...

Notizie5 giorni fa

Sicurezza full-optional: garanzia di un Cloud di qualità

Tempo di lettura: 5 minuti. Gli ambienti IT, soprattutto se basati su Cloud, hanno un’estrema necessità di essere controllati, resi...

Mozilla Firefox Mozilla Firefox
Notizie5 giorni fa

Mozilla risolve due Zero-Day di Firefox sfruttati a Pwn2Own

Tempo di lettura: < 1 minuto. Mozilla risolve rapidamente due vulnerabilità zero-day di Firefox sfruttate durante Pwn2Own 2024, rafforzando la...

Flipper Zero Flipper Zero
Notizie5 giorni fa

Canada: marcia indietro sul divieto a Flipper Zero

Tempo di lettura: 2 minuti. Dopo le critiche dalla comunità di sicurezza, il Canada riconsidera il divieto su Flipper Zero,...

Truffe recenti

OSINT2 settimane fa

USA interviene per recuperare 2,3 Milioni dai “Pig Butchers” su Binance

Tempo di lettura: 2 minuti. Il Dipartimento di Giustizia degli USA interviene per recuperare 2,3 milioni di dollari in criptovalute...

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste1 mese fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia3 mesi fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Notizie3 mesi fa

Europol mostra gli schemi di fronde online nel suo rapporto

Tempo di lettura: 2 minuti. Europol’s spotlight report on online fraud evidenzia che i sistemi di frode online rappresentano una grave...

Notizie4 mesi fa

Polizia Postale: attenzione alla truffa dei biglietti ferroviari falsi

Tempo di lettura: < 1 minuto. Gli investigatori della Polizia Postale hanno recentemente individuato una nuova truffa online che prende...

app ledger falsa app ledger falsa
Notizie5 mesi fa

App Falsa di Ledger Ruba Criptovalute

Tempo di lettura: 2 minuti. Un'app Ledger Live falsa nel Microsoft Store ha rubato 768.000 dollari in criptovalute, sollevando dubbi...

keepass pubblicità malevola keepass pubblicità malevola
Notizie5 mesi fa

Google: pubblicità malevole che indirizzano a falso sito di Keepass

Tempo di lettura: 2 minuti. Google ospita una pubblicità malevola che indirizza gli utenti a un falso sito di Keepass,...

Notizie5 mesi fa

Nuova tattica per la truffa dell’aggiornamento del browser

Tempo di lettura: 2 minuti. La truffa dell'aggiornamento del browser si rinnova, con i criminali che ora ospitano file dannosi...

Notizie6 mesi fa

Oltre 17.000 siti WordPress compromessi negli attacchi di Balada Injector

Tempo di lettura: 2 minuti. La campagna di hacking Balada Injector ha compromesso oltre 17.000 siti WordPress sfruttando vulnerabilità nei...

Truffe online6 mesi fa

ChatGPT cerca di ingannare cuori solitari appassionati di AI

Tempo di lettura: < 1 minuto. La truffa LoveGPT rappresenta una nuova minaccia nel mondo degli appuntamenti online, sfruttando l'AI...

Tendenza