Il 22 marzo scorso, Google ha rilasciato un aggiornamento di sicurezza di emergenza per il suo browser Chrome poiché 3,2 miliardi di utenti erano potenzialmente a rischio di essere attaccati. Questo aggiornamento ha evidenziato una singola vulnerabilità di sicurezza che potrebbe avere un grande impatto su tutti, ma in particolare sugli utenti di criptovalute.
Non si sa molto pubblicamente in questa fase su CVE-2022-1096 se non che si tratta di una "confusione di tipo in V8". Questo si riferisce al motore JavaScript utilizzato da Chrome. Il difetto di sicurezza include l'open source Chromium Project ed è possibile che questo aggiornamento arrivi come risposta agli utenti che segnalano i loro "portafogli caldi" crittografici violati attraverso un browser. All'inizio di questa settimana, Arthur Cheong, il fondatore di DeFiance Capital e una nota balena crittografica ha annunciato via Twitter che il suo portafoglio crittografico era stato violato facendogli perdere oltre 1,5 milioni di dollari in token e NFT.
L'hack ha preso di mira quello che viene chiamato un portafoglio "caldo". Un portafoglio caldo è direttamente connesso a Internet piuttosto che un portafoglio "freddo", noto anche come portafoglio hardware, in cui le risorse possono essere archiviate offline e rimanere offline per la custodia e la sicurezza. Dopo aver visto hack sofisticati come questo, è sicuro dire che la memorizzazione di criptovalute in portafogli freddi offre soluzioni molto più sicure per detenere criptovalute.
Settimane prima, Ledger aveva avvertito gli utenti di essere consapevoli delle firme cieche e dei pericoli che ne derivano, pur continuando a consigliare agli utenti di procedere con cautela durante la navigazione in DApps (applicazioni decentralizzate) e altri siti Web correlati. Due portafogli caldi primari che venivano presi di mira detenevano un saldo crittografico del valore di oltre 1,5 milioni di dollari; la maggior parte dei quali conteneva NFT sotto la collezione "Azukis". Questi popolari NFT sono stati immediatamente venduti su OpenSea al di sotto del prezzo di mercato, con il risultato che l'hacker ha acquisito fondi nel modo più veloce possibile.
Fortunatamente, il grido è stato ascoltato dall'intera comunità crittografica e le azioni sono state fatte in fretta. I sostenitori hanno rapidamente acquisito alcuni degli NFT Azuki rubati dall'hacker nella lista nera ed erano misericordiosamente disposti a restituire gli NFT ad Arthur a un prezzo base piuttosto che rivenderli al loro attuale valore di mercato, consentendo loro di trarre profitto da 7-8 + ETH (del valore di circa 24mila dollari) in cambio.
In seguito all'annuncio, lo stesso Cheong ha indagato in profondità sull'exploit e ha scoperto che l'hacker deve aver ottenuto l'accesso al suo portafoglio inviandogli quelle che sono note come e-mail di spear-phishing. Questo da solo ha rivelato che le email ricevute stavano emettendo richieste per accedere ai contenuti di Google Docs di Cheong per intero. A prima vista, queste richieste sembravano provenire da due sue fonti "legittime". Immediatamente dopo aver aperto il file condiviso, l'hacker ha ottenuto un passaggio non autorizzato alla frase seme del suo portafoglio caldo. In altre parole, la password principale del portafoglio caldo è stata compromessa all'istante, concedendo al ladro l'accesso a tutti i portafogli crittografici collegati a Google Chrome e sottraendo i beni guadagnati duramente proprio di fronte a lui.
Hack ed exploit simili non sono una novità per l'industria crittografica. Tuttavia, ed è molto spiacevole dirlo, questi attacchi stanno diventando estremamente intricati e identici eventi catastrofici possono accadere anche agli utenti più esperti. Questa dimostrazione di tragedia è la prova che chiunque può cadere vittima di attacchi informatici simili e nulla è mai veramente "sicuro al 100%", come alcuni potrebbero affermare.
Dopo l'hack, le raccomandazioni di Cheong sono di mettere sempre la sicurezza al primo posto. Gli esempi includono l'utilizzo di un gestore di password affidabile, l'abilitazione dell'autenticazione a 2 fattori (non tramite numeri di telefono per evitare jailbreak di sim card e sim-swapping) e l'adozione di portafogli di archiviazione a freddo, vale a dire portafogli hardware Ledger per garantire che i tuoi fondi siano SAFU in perpetuo.