In un recente sviluppo nel mondo delle criptovalute, è emerso che attori malintenzionati hanno abusato di una funzione di Ethereum, nota come ‘create2’, per bypassare gli avvisi di sicurezza dei portafogli e avvelenare gli indirizzi delle criptovalute. Questa strategia ha portato al furto di criptovalute del valore di 60 milioni di dollari da circa 99.000 vittime in sei mesi. La notizia è stata riportata dagli specialisti anti-truffa di Web3 di ‘Scam Sniffer’, che hanno osservato diversi casi di sfruttamento di questa funzione.
La funzione legittima e il suo abuso
Create2 è un opcode in Ethereum, introdotto nell’aggiornamento ‘Constantinople’, che permette la creazione di smart contracts sulla blockchain. A differenza dell’opcode originale Create, che generava nuovi indirizzi basati sull’indirizzo del creatore e su un nonce, create2 permette di calcolare gli indirizzi prima del dispiegamento del contratto. Questo strumento è potente per gli sviluppatori di Ethereum, consentendo interazioni contrattuali avanzate e flessibili, pre-calcolo degli indirizzi dei contratti basato sui parametri, flessibilità di dispiegamento, idoneità per transazioni off-chain e alcune dApps. Tuttavia, con questi significativi vantaggi sono emerse anche diverse implicazioni di sicurezza e nuovi vettori di attacco.
Il rapporto di Scam Sniffer spiega che create2 può essere abusato per generare nuovi indirizzi di contratto senza una storia di transazioni malevole o segnalate, bypassando così gli avvisi di sicurezza dei portafogli. Quando una vittima firma una transazione malevola, l’attaccante dispiega un contratto all’indirizzo pre-calcolato e trasferisce gli asset della vittima a esso, un processo non reversibile. In un caso recente, una vittima ha perso 927.000 dollari in GMX dopo essere stata ingannata a firmare un contratto di trasferimento che inviava gli asset a un indirizzo pre-calcolato.
Un secondo tipo di abuso di create2 è la generazione di indirizzi simili a quelli legittimi posseduti dal destinatario, ingannando così gli utenti a inviare asset agli attori della minaccia, pensando di inviarli a un indirizzo conosciuto. Questo schema, denominato ‘avvelenamento degli indirizzi’, coinvolge la generazione di un gran numero di indirizzi e poi la selezione di quelli che corrispondono alle specifiche esigenze di phishing ogni volta per ingannare i loro bersagli.
Precauzioni e consigli
È sempre consigliato, quando si effettuano transazioni in criptovaluta, di controllare attentamente l’indirizzo del destinatario, e non solo i primi e gli ultimi tre-quattro caratteri, prima di approvarlo. Questo caso sottolinea l’importanza della vigilanza nell’ambito delle criptovalute, un settore in rapida evoluzione ma anche vulnerabile a sofisticate truffe e abusi.