- \n
- Vittima:<\/strong> cryptoexchange KuCoin<\/li>\n
- Quando:<\/strong> 26 settembre 2020<\/li>\n
- Perdite:<\/strong> circa 285 milioni di dollari<\/li>\n<\/ul>\n
Nella notte tra il 25 e il 26 settembre 2020, i responsabili della sicurezza della compagnia KuCoin, con sede a Singapore, hanno rilevato<\/a> una serie di transazioni anomale da diversi hot wallet. Per bloccare le transazioni sospette hanno trasferito tutte le attivit\u00e0 rimanenti dagli hot wallet compromessi al cold storage<\/a>. L\u2019intero incidente \u00e8 durato circa due ore, dal rilevamento al completamento. Durante questo periodo, gli hacker sono riusciti a prelevare circa 285 milioni di dollari<\/a> in diverse criptovalute.<\/p>\n
Le indagini hanno rivelato che i criminali informatici sono riusciti ad accedere alle chiavi private degli hot wallet. Uno dei principali sospettati \u00e8 Lazarus Group, una cyber-gang APT<\/a> nord-coreana. I criminali hanno infatti utilizzato un algoritmo multi-fase per riciclare il bottino, con un modus operandi simile a quello utilizzato in precedenti hack del gruppo Lazarus. In primo luogo, hanno fatto transitare quantitativi uguali di criptovalute attraverso un tumbler<\/a> (uno strumento per mischiare i fondi di criptovalute con altri per oscurarne le tracce), quindi hanno trasferito le criptovalute attraverso piattaforme decentralizzate<\/a>.<\/p>\n
Nonostante le dimensioni, questo colpo non ha rappresentato la fine del cryptoexchange. Il giorno successivo al furto, il CEO di KuCoin Johnny Lyu ha promesso durante un livestream di rimborsare i fondi rubati. Lyu ha mantenuto la parola, e nel novembre 2020 ha pubblicato un tweet affermando che l\u201984% delle risorse colpite era stato restituito ai proprietari. Il restante 16% era coperto dal fondo assicurativo di KuCoin.<\/p>\n
4. Soldi spuntati dal nulla<\/h2>\n
- \n
- Vittima:<\/strong> il bridge cross-chain Wormhole<\/li>\n
- Quando:<\/strong> 2 febbraio 2022<\/li>\n
- Perdite:<\/strong> 334 milioni di dollari<\/li>\n<\/ul>\n
Il prossimo colpo della nostra Top-5 \u00e8 un furto che ha sfruttato una vulnerabilit\u00e0 presente in Wormhole, un protocollo bridge cross-chain<\/a>. I cybercriminali sono stati aiutati dal fatto che gli sviluppatori della piattaforma avevano reso pubblico il codice del loro programma. Ma prima di tutto\u2026<\/p>\n
Wormhole \u00e8 uno strumento che funge da intermediario per le transazioni di criptovalute. In particolare, consente agli utenti di spostare i token tra le reti Ethereum e Solana. Tecnicamente, lo scambio funziona cos\u00ec: i token vengono congelati in una catena, mentre i cosiddetti \u201cwrapped token\u201d dello stesso valore vengono emessi nell\u2019altra.<\/p>\n
Wormhole \u00e8 un progetto open-source con un repository proprio su GitHub. Poco prima del colpo, i developer vi hanno inserito del codice per correggere una vulnerabilit\u00e0 che interessava il protocollo. Tuttavia, gli hacker sono riusciti a sfruttare la vulnerabilit\u00e0<\/a> prima che le modifiche venissero applicate.<\/p>\n
Il bug ha permesso loro di aggirare la verifica delle transazioni<\/a> su Solana e di emettere 120.000 \u201cwrapped ETH\u201d (del valore di circa 334 milioni di dollari al momento dell\u2019attacco) senza congelare la garanzia equivalente nella blockchain di Ethereum. I cybercriminali hanno quindi trasferito due terzi dell\u2019importo totale del furto in un wallet Ethereum e hanno utilizzato il resto per acquistare altri token.<\/p>\n
Wormhole ha lanciato un appello pubblico agli autori dell\u2019attacco chiedendo loro di restituire i fondi rubati e di fornire i dettagli dell\u2019exploit a cambio di una ricompensa di 10 milioni di dollari<\/a>. Come era da immaginare, i ladri hanno ignorato la generosa offerta.<\/p>\n
Il giorno successivo al colpo, Wormhole ha pubblicato un tweet<\/a> in cui affermava che tutti i fondi erano stati ripristinati e che il bridge era tornato a funzionare come prima. Il buco finanziario \u00e8 stato chiuso<\/a> da Jump Trading, la societ\u00e0 che aveva acquistato Wormhole sei mesi prima dell\u2019incidente. Per il momento, a giudicare dalle informazioni disponibili, i ladri rimangono sconosciuti.<\/p>\n
3. Un colpo durato tre anni<\/h2>\n
- \n
- Vittima:<\/strong> cryptoexchange Mt.Gox<\/li>\n
- Quando:<\/strong> Febbraio 2014<\/li>\n
- Perdite:<\/strong> 480 milioni di dollari<\/li>\n<\/ul>\n
La storia di Mt.Gox inizia<\/a> nel lontano 2007 quando era una piattaforma per lo scambio di carte del gioco \u201cMagic: l\u2019adunanza<\/a>\u201c. Tre anni dopo, in seguito alla crescente popolarit\u00e0 delle criptovalute, il proprietario del sito, il programmatore statunitense Jed McCaleb, decise di trasformarlo in un cryptoexchange, ma poi vendette il servizio allo sviluppatore francese Mark Karpel\u00e8s nel 2011. Solo due anni dopo, Mt.Gox scambiava<\/a> circa il 70% dei bitcoin del mondo.<\/p>\n
Alla rapida ascesa \u00e8 seguito un crollo devastante. Il 7 febbraio 2014, l\u2019exchange ha improvvisamente bloccato tutti i prelievi di bitcoin. La societ\u00e0 ha attribuito la colpa<\/a> a problemi tecnici. I clienti indignati si sono raccolti davanti alla sede di Mt.Gox a Tokyo, chiedendo la restituzione dei loro soldi. Le loro proteste non sono servite a nulla.<\/p>\n
Il fatto straordinario di questa storia \u00e8 che il furto ai danni di Mt.Gox \u00e8 iniziato nel 2011. All\u2019epoca, alcuni hacker sconosciuti si impossessarono<\/a> delle chiavi private di un hot wallet in un exchange e cominciarono a sottrarre poco a poco i bitcoin. Nel 2013, i cybercriminali avevano depositato 630.000 BTC sui loro conti.<\/p>\n
Mt.Gox ha infine chiuso le contrattazioni il 28 febbraio 2014, quando Karpel\u00e8s ha dichiarato<\/a> bancarotta e si \u00e8 scusato per le \u201cdebolezze del sistema\u201d che hanno portato alla scomparsa di circa 750.000 BTC di fondi dei clienti e di 100.000 BTC propri. L\u2019ammontare dei fondi rubati viene solitamente indicato in circa 480 milioni di dollari; si tratta del valore del numero totale di token rubati al tasso di cambio del giorno precedente la dichiarazione di fallimento dell\u2019exchange, ovvero il 27 febbraio.<\/p>\n
\u00c8 bene osservare che nel periodo successivo alla cessazione dell\u2019attivit\u00e0 di trading di Mt.Gox, e prima della dichiarazione di bancarotta, il prezzo del bitcoin \u00e8 sceso notevolmente. Se si calcola il tasso di cambio del 6 febbraio (il giorno prima della chiusura effettiva dell\u2019exchange), la perdita sarebbe di circa 660 milioni di dollari. Tuttavia, entrambe le cifre sono approssimative: non tengono conto dei tre anni di durata del colpo, durante i quali il tasso di cambio ha subito fluttuazioni enormi. \u00c8 quindi difficile stabilire l\u2019ammontare esatto del danno.<\/p>\n
![\"Tasso](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2022\/11\/03100234\/top-5-cryptocurrency-heists-mtgox.jpg\")
Tasso di cambio del Bitcoin nel febbraio 2014. Fonte<\/a><\/p><\/div>\n
Come sono riusciti a portare a termine l\u2019attacco? Secondo gli ex dipendenti<\/a>, il team manageriale dell\u2019azienda era piuttosto negligente riguardo a molte questioni importanti. Ad esempio, Mt.Gox aveva seri problemi di reporting finanziario. Inoltre, non \u00e8 mai stata effettuata un\u2019adeguata verifica della qualit\u00e0 e della sicurezza del codice: ad esempio, non esisteva un sistema di controllo delle versioni.<\/p>\n
Il pubblico ministero ha accusato il titolare di Mt.Gox, Karpel\u00e8s, di appropriazione indebita di circa 3 milioni di dollari di fondi dei clienti. Ma non sono riusciti a dimostrarlo in tribunale. Alla fine, Karpel\u00e8s ha ricevuto solo una condanna sospesa a due anni e sei mesi per manipolazione di dati ed \u00e8 stato assolto da altre accuse.<\/p>\n
2. Quasi mezzo miliardo<\/h2>\n
- \n
- Vittima:<\/strong> L\u2019exchange di criptovalute Coincheck<\/li>\n
- Quando:<\/strong> 26 gennaio 2018<\/li>\n
- Perdite:<\/strong> 496 milioni di dollari<\/li>\n<\/ul>\n
Coincheck \u00e8 uno dei principali cryptoexchange giapponesi. Nel 2018, i cybercriminali sono riusciti a rubargli<\/a> pi\u00f9 di 500 milioni di token NEM, per un valore approssimativo della stessa cifra in dollari.<\/p>\n
L\u2019azienda ha affermato che il suo sistema di sicurezza era robusto e non ha riportato le modalit\u00e0 esatte attraverso le quali gli intrusi hanno portato a termine l\u2019attacco. Detto questo, alcuni esperti ritengono che i criminali informatici possano aver avuto accesso alle chiavi private degli hot wallet di Coincheck con l\u2019aiuto di un malware nascosto in un computer dell\u2019ufficio dell\u2019 azienda.<\/p>\n
Gli hacker hanno anche creato un proprio sito che vendeva<\/a> token NEM a cambio di bitcoin e altre criptovalute con uno sconto del 15%. Di conseguenza, il tasso di cambio del NEM \u00e8 sceso bruscamente e Coincheck ha perso circa 500 milioni di dollari che per\u00f2 non hanno portato alla chiusura dell\u2019exchange. Inoltre, non \u00e8 stato possibile rintracciare i criminali. L\u2019exchange ha dovuto sospendere le attivit\u00e0 per un po\u2019 e ha promesso di risarcire i clienti con fondi propri.<\/p>\n
![\"Il](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2022\/11\/03100349\/top-5-cryptocurrency-heists-coincheck.jpg\")
Il tasso di cambio del NEM dopo l\u2019incidente di Coincheck. Fonte<\/a><\/p><\/div>\n
1. Offerta di lavoro con sorpresa<\/h2>\n
- \n
- Vittima:<\/strong> Piattaforma blockchain Ronin Network<\/li>\n
- Quando:<\/strong> Marzo 23, 2022<\/li>\n
- Perdite:<\/strong> 540 milioni di dollari<\/li>\n<\/ul>\n
Ronin Network \u00e8 stata creata appositamente da Sky Mavis per il gioco play-to-earn Axie Infinity<\/a>, che consente ai giocatori di acquistare la valuta di gioco Smooth Love Potion (SLP<\/a>). Alla fine di marzo 2022, alcuni hacker sconosciuti hanno rubato<\/a> a Ronin Network la cifra record di 540 milioni di dollari in criptovalute. Sono stati aiutati da uno spyware e dalla magia dell\u2019ingegneria sociale.<\/p>\n
L\u2019attacco mirato<\/a> era rivolto ai dipendenti di Sky Mavis, uno dei quali ha abboccato all\u2019esca (molto probabilmente su LinkedIn). Dopo aver superato un \u201cprocesso di selezione\u201d, uno degli ingegneri senior ha ricevuto una \u201cofferta di lavoro\u201d sotto forma di file PDF con all\u2019interno uno spyware. Questo ha permesso ai ladri di prendere il controllo di quattro delle chiavi private di validazione<\/a> della rete.<\/p>\n
Per ottenere l\u2019accesso alle risorse dell\u2019azienda, dovevano compromettere almeno cinque dei nove validatori. Come accennato poc\u2019anzi, lo spyware li ha aiutati a impossessarsi di quattro chiavi. La quinta \u00e8 stata ottenuta grazie a una svista dell\u2019azienda stessa che aveva autorizzato la DAO (Organizzazione Autonoma Decentralizzata<\/a>) di Axie a firmare le transazioni per aiutare Ronin Network a contenere il volume degli utenti, dimenticandosi poi di revocare l\u2019autorizzazione.<\/p>\n
Sky Mavis, tuttavia, si \u00e8 rapidamente ripresa dall\u2019incidente. Nel giugno 2022 ha rilanciato<\/a> la piattaforma blockchain e ha iniziato a risarcire i giocatori coinvolti.<\/p>\n
![\"Personaggio](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2022\/11\/03100611\/top-5-cryptocurrency-heists-axie.jpg\")
Personaggio NFT del gioco basato sulla blockchain Axie Infinity. Replica<\/a><\/p><\/div>\n
Bonus: un hackeraggio con restituzione<\/h2>\n
- \n
- Obiettivo:<\/strong> Protocollo cross-chain di Poly Network<\/li>\n
- Quando:<\/strong> 10 agosto 2021<\/li>\n
- Perdite (poi recuperate):<\/strong> 610 milioni di dollari<\/li>\n<\/ul>\n
Come storia bonus, concludiamo con un altro enorme furto di criptovalute, che si \u00e8 concluso con la restituzione di ogni centesimo del bottino. Ecco cosa \u00e8 successo\u2026<\/p>\n
Poly Network<\/a> \u00e8 un altro protocollo per implementare l\u2019interoperabilit\u00e0 della blockchain. Nell\u2019estate del 2021 \u00e8 stato testimone di una delle pi\u00f9 grandi rapine della storia delle criptovalute. Un hacker sconosciuto, sfruttando una vulnerabilit\u00e0 di Poly Network, ha rubato pi\u00f9 di 600 milioni di dollari in varie criptovalute<\/a>.<\/p>\n
Poly Network ha lanciato un appello<\/a> su Twitter al colpevole affinch\u00e9 restituisse i token rubati. Con grande stupore di tutti, l\u2019hacker si \u00e8 messo in contatto<\/a> con la compagnia e ha accettato. Poco alla volta ha trasferito i token rubati, dividendoli in pi\u00f9 parti disuguali.<\/p>\n
Le trattative online tra l\u2019hacker e Poly Network sono andate avanti per parecchio tempo. Durate questo periodo, il ladro ha dichiarato di non essere interessato al denaro e di aver realizzato il furto solo per \u201cmotivi ideologici\u201d. In segno di gratitudine, Poly Network ha ritirato le accuse contro di lui, ha garantito il suo anonimato, gli ha offerto<\/a> una ricompensa di 500.000 dollari e lo ha persino invitato a diventare il suo principale consulente per la sicurezza. Ha anche lanciato un programma di bug-bounty<\/a> del valore di 500.000 dollari.<\/p>\n
Non c\u2019\u00e8 una vera morale in questa storia, ma\u2026<\/h2>\n
Questa \u00e8 solo Top-5 dei furti di criptovalute pi\u00f9 eclatanti, tutti mirati a grandi organizzazioni. Naturalmente, sono molti gli incidenti di minore entit\u00e0 che colpiscono continuamente anche gli utenti comuni. Di conseguenza, ogni investitore deve prendere provvedimenti per mettere al sicuro i propri fondi. Ecco alcuni utili consigli:<\/p>\n
- \n
- Scegliete con cura le piattaforme per il trading e le operazioni: leggete i feedback e le recensioni e, se possibile, consultate gli utenti esperti di cui vi fidate.<\/li>\n
- Non date a nessuno i dati di accesso al vostro account sull\u2019exchange o le credenziali del vostro wallet. Ricordate di tenere segrete non solo le password e le chiavi private, ma anche la vostra frase di ripristino.<\/a><\/li>\n
- Conservate i vostri principali risparmi in criptovalute in un cold wallet: a differenza di quelli hot, non hanno bisogno di essere permanentemente online e quindi sono generalmente pi\u00f9 sicuri.<\/li>\n
- Se utilizzate un hot wallet, assicuratevi di attivare l\u2019autenticazione a due fattori.<\/li>\n
- Attenzione al phishing! Per sapere come riconoscere i ladri di criptovalute, consultate questo post<\/a>.<\/li>\n
- Utilizzate una soluzione di sicurezza affidabile<\/a> <\/b>che protegga le transazioni finanziarie, impedisca ai programmi malware di rubare le password o le chiave private del vostro wallet e vi avverta dei siti fraudolenti.<\/li>\n<\/ul>\n\n","protected":false},"excerpt":{"rendered":"
Centinaia di milioni di dollari rubati: i cinque furti di criptovalute pi\u00f9 grandi della storia.<\/p>\n","protected":false},"author":2684,"featured_media":27347,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[820,1418,3036,1150,45],"class_list":{"0":"post-27343","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-bitcoin","9":"tag-blockchain","10":"tag-criptovalute","11":"tag-hacking","12":"tag-sicurezza"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/top-5-cryptocurrency-heists\/27343\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/top-5-cryptocurrency-heists\/24794\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/top-5-cryptocurrency-heists\/20272\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/top-5-cryptocurrency-heists\/10194\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/top-5-cryptocurrency-heists\/27318\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/top-5-cryptocurrency-heists\/25131\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/top-5-cryptocurrency-heists\/25480\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/top-5-cryptocurrency-heists\/28040\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/top-5-cryptocurrency-heists\/34151\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/top-5-cryptocurrency-heists\/45945\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/top-5-cryptocurrency-heists\/19684\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/top-5-cryptocurrency-heists\/20284\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/top-5-cryptocurrency-heists\/29447\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/top-5-cryptocurrency-heists\/32811\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/top-5-cryptocurrency-heists\/28611\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/top-5-cryptocurrency-heists\/25540\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/top-5-cryptocurrency-heists\/31179\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/top-5-cryptocurrency-heists\/30886\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/criptovalute\/","name":"criptovalute"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27343","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2684"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=27343"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27343\/revisions"}],"predecessor-version":[{"id":27349,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27343\/revisions\/27349"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/27347"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=27343"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=27343"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=27343"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- Quando:<\/strong> 10 agosto 2021<\/li>\n
- Quando:<\/strong> Marzo 23, 2022<\/li>\n
- Quando:<\/strong> 26 gennaio 2018<\/li>\n
- Quando:<\/strong> Febbraio 2014<\/li>\n
- Quando:<\/strong> 2 febbraio 2022<\/li>\n
- Quando:<\/strong> 26 settembre 2020<\/li>\n