{"id":27112,"date":"2022-07-27T10:11:34","date_gmt":"2022-07-27T08:11:34","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27112"},"modified":"2022-07-27T10:11:34","modified_gmt":"2022-07-27T08:11:34","slug":"sky-mavis-crypto-heist","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/sky-mavis-crypto-heist\/27112\/","title":{"rendered":"Un furto di criptovalute da mezzo miliardo di dollari"},"content":{"rendered":"

Ci capita spesso di parlarvi di truffe in cui i cybercriminali ingannano gli utenti promettendo loro un sacco di soldi<\/a>, mentre in realt\u00e0 accade proprio il contrario e gli utenti vengono derubati. In un modo simile, sfruttando l\u2019avidit\u00e0 e la negligenza dei loro dipendenti, i criminali informatici riescono a mettere le mani sui soldi di intere aziende.<\/p>\n

Questo \u00e8 esattamente quello che \u00e8 successo al sistema blockchain Ronin Networks creato da Sky Mavis per il gioco play-to-earn<\/em> Axie Infinity<\/em>. Un dipendente di Sky Mavis ha scaricato un file PDF che conteneva uno spyware nascosto, provocando uno dei pi\u00f9 grandi furti di criptovalute mai visti. L\u2019azienda ha perso 173 600 ETH e 25,5 milioni di USDC (circa 540 milioni di dollari al momento dell\u2019incidente). Oggi analizziamo l\u2019attacco in modo dettagliato e condividiamo con voi alcuni consigli su come proteggersi.<\/p>\n

Qualche dato su Axie Infinity<\/em> e Ronin Networks<\/h2>\n

Axie Infinity<\/em><\/a> \u00e8 un videogioco online in cui i giocatori guadagnano criptovalute con l\u2019aiuto di creature fantastiche note come \u201cassi\u201d che possono essere \u201callevate\u201d ed utilizzate nelle competizioni, e vendute ad altri giocatori. Per i giocatori, gli assi sembrano animali coccolosi, ma sono essenzialmente token non fungibili (NFT).<\/p>\n

Rilasciato nel 2018, Axie Infinity<\/em> ha conquistato subito l\u2019interesse di una vasta platea di giocatori. Al suo apice, i giocatori potevano guadagnare cos\u00ec tanto che per alcune persone nel Sud-Est asiatico \u00e8 diventato un lavoro a tempo pieno<\/a>. Nel novembre 2021, quando ha raggiunto il record, il gioco vantava 2,7 milioni<\/a> di giocatori al giorno e l\u2019anno scorso i ricavi hanno raggiunto i 215 milioni di dollari a settimana<\/a> (nell\u2019estate del 2022, tuttavia, erano scesi a un modesto milione di dollari a settimana).<\/p>\n

I pagamenti nell\u2019ecosistema Axie Infinity<\/em> vengono effettuati utilizzando la valuta di gioco Smooth Love Potion<\/a> (SLP), basata sulla blockchain Ethereum. Per consentire agli utenti di acquistare e vendere SLP a cambio di criptovalute normali in modo conveniente e senza commissioni elevate, gli sviluppatori hanno creato la piattaforma Ronin<\/a>. \u00c8 stata questa piattaforma ad attirare l\u2019attenzione dei cybercriminali.<\/p>\n

Un\u2019offerta succulenta: come i truffatori hanno ingannato gli sviluppatori<\/h2>\n

Per accedere alla piattaforma, gli hacker hanno effettuato un attacco mirato<\/a> ai dipendenti di Sky Mavis. Hanno raccolto informazioni sull\u2019azienda e hanno ideato una truffa basata su una falsa offerta di lavoro con uno stipendio molto allettante.<\/p>\n

L\u2019attacco prevedeva l\u2019invio (molto probabilmente su LinkedIn) di un\u2019allettante offerta di lavoro a un ingegnere senior (che avrebbe dovuto rendersi conto che c\u2019era qualcosa di strano). Dopo aver superato a pieni voti tutte le \u201cfasi del processo di selezione\u201d, il dipendente, come previsto, riceveva la golosa offerta sotto forma di file PDF. Quando questo file veniva scaricato, lo spyware al suo interno si diffondeva nella rete aziendale.<\/p>\n

Spyware in azione: ritiro dei fondi<\/h2>\n

I criminali informatici hanno utilizzato il malware per accedere alle chiavi private<\/a> dei validatori<\/a> di rete, ovvero i nodi che verificano e confermano le transazioni di criptovalute. Al momento dell\u2019attacco, Ronin Networks disponeva di nove validatori di questo tipo e, per effettuare la transazione, almeno cinque di essi dovevano approvarlo. Alla fine, gli hacker sono riusciti a ingannare quattro validatori della propria azienda e un quinto appartenente all\u2019organizzazione decentralizzata autonoma Axie DAO<\/a>, dove non lo avremmo trovato (e non avrebbe dovuto trovarsi) se non fosse stato per una svista della stessa Sky Mavis.<\/p>\n

Nel novembre 2021, a causa dell\u2019elevato volume di transazioni e del carico sui validatori, la societ\u00e0 ha permesso ad Axie DAO di approvare i trasferimenti. Dopo un mese, il carico \u00e8 diminuito e l\u2019assistenza di Axie DAO non era pi\u00f9 necessaria, ma i diritti di approvazione delle transazioni non sono stati ritirati, il che ha fatto il gioco dei cybercriminali. Dopo essere penetrati nel sistema di Sky Mavis, gli hacker hanno ottenuto l\u2019accesso anche ad Axie DAO, che forniva il quinto validatore necessario per prelevare fondi dal conto terzo e trasferirli sul proprio.<\/p>\n

La risposta di Sky Mavis<\/h2>\n

Dopo aver scoperto l\u2019attacco, Sky Mavis ha agito in modo responsabile e ha preso provvedimenti per rafforzare la sicurezza. L\u2019azienda ha coinvolto esperti di sicurezza esterni appartenenti a Verichains e CertiK e ha condotto un audit approfondito nei confronti di Ronin Networks<\/a>. Sky Mavis ha anche aumentato il numero di validatori a 11, promettendo<\/a> di aumentarne gradualmente il numero fino a portarlo ad almeno 100. Maggiore \u00e8 il numero totale di validatori, maggiore \u00e8 il numero di nodi che devono essere compromessi per effettuare transazioni non autorizzate, quindi l\u2019aumento del loro numero dovrebbe in teoria rendere pi\u00f9 difficili gli attacchi.<\/p>\n

Poich\u00e9 i fondi rubati appartenevano effettivamente ai giocatori di Axie Infinity<\/em>, il 28 giugno Sky Mavis ha iniziato a pagare i risarcimenti alle vittime. A tale scopo, la societ\u00e0 ha sfruttato sia le proprie risorse che i 150 milioni di dollari di finanziamenti di Binance ricevuti all\u2019inizio di aprile.<\/p>\n

Come proteggersi<\/h2>\n

Quando pianificano attacchi mirati, i criminali informatici studiano attentamente le vittime alla ricerca di eventuali punti deboli. Questi possono essere sia falle di sicurezza presenti nei dispositivi e nei software, sia il fattore umano. L\u2019 \u201ceroe\u201d del nostro post era un esperto IT, ma anche lui \u00e8 stato ingannato. Per evitare di cadere in tranelli simili, \u00e8 importante mantenere al sicuro i dati, il denaro e i token, rimanere vigili e non trascurare le misure di sicurezza.<\/p>\n