Il mondo delle Criptovalute sta prendendo sempre più campo e sempre più persone investono nelle monete digitali, attirando però anche un numero crescente di truffatori e ladri. E così alcuni hacker hanno sfruttato il bug della vulnerabilità zero-day per prosciugare milioni di dollari dagli sportelli bancomat di Bitcoin. Un colpo che ha lasciato i clienti all'oscuro delle grosse perdite e che, soprattutto, non possono essere annullate.
Leggi anche > L'uomo più ricco del mondo, Gian Luca Comandini svela chi è Satoshi Nakamoto, il misterioso creatore dei Bitcoin
L'attacco
La rapina digitale ha preso di mira i bancomat venduti da General Bytes, una società con più sedi in tutto il mondo. Questi BATM - abbreviazione di ATM bitcoin - possono essere installati nei minimarket e in altre attività commerciali per consentire alle persone di scambiare bitcoin con altre valute e viceversa. I clienti collegano i BATM a un server di applicazioni crittografiche (CAS) che possono gestire o che, finora, General Bytes poteva gestire per loro. Per motivi non del tutto chiari, i BATM offrono un'opzione che consente ai clienti di caricare video dal terminale al CAS utilizzando un meccanismo noto come interfaccia del server principale. Ma durante l'ultimo fine settimana, general Bytes ha rivelato che più di 1,5 milioni di dollari in bitcoin erano stati sottratti dai CAS. La rapina è stata compiuta sfruttando una vulnerabilità che, fino a quel momento, era sconosciuta e che ha consentito agli hacker di instrodurre un'applicazione Java dannosa che ha prosciugato vari portafogli sostanziosi: circa 56 Bitcoin per un valore approssimativo di 1,5 milioni di dollari.
Il rimedio inefficace
General Bytes ha subito corretto la vulnerabilità, ma per i clienti derubati la notizia è stata davvero amara. Dopo sole 15 ore, infatti, la falla di sistema è stata sistemata, ma a causa del funzionamento delle criptovalute, le perdite sono irrecuperabili. I funzionari dell'azienda, in una nota, hanno fatto sapere: «Nella notte tra il 17 e il 18 marzo è stata il momento più impegnativo per noi e per alcuni dei nostri clienti. L'intero team ha lavorato 24 ore su 24 per raccogliere tutti i dati relativi alla violazione della sicurezza e lavora costantemente per risolvere tutti i casi per aiutare i clienti a tornare online e continuare a gestire i propri investimenti con gli sportelli automatici il prima possibile. Ci scusiamo per l'accaduto e rivedremo tutte le nostre procedure di sicurezza. Attualmente stiamo facendo tutto il possibile per mantenere a galla i nostri clienti derubati».
La procedura utilizzata
Una volta che l'applicazione dannosa è stata immessa in un server, l'autore della minaccia è stato in grado di accedere al database, leggere e decrittografare le chiavi API codificate necessarie per accedere ai fondi negli hot wallet e negli scambi, trasferire fondi dagli hot wallet a un portafoglio controllato dall'hacker, scaricare i nomi utente e gli hash delle password e disattivare 2FA, accedendo anche ai registri degli eventi del terminale e cercare i casi in cui i clienti hanno scansionato le chiavi private presso l'ATM. Un'operazione che difficilmente porterà a individuare i colpevoli e che soprattutto non può vedere alcun tipo di risarcimento.
I clienti lasciati soli
Nella nota, inoltre, si legge che General Bytes ha preso la decisione che non gestirà più i CAS per conto dei clienti. Ciò significa che i titolari dei terminali dovranno gestire i server da soli. La società sta inoltre raccogliendo dati dai clienti per convalidare tutte le perdite relative all'attacco hacker, eseguendo un'indagine interna e collaborando con le autorità nel tentativo di identificare l'autore della minaccia, ma sarà un'azione tutt'altro che semplice.
Il campanello d'allarme
L'incidente avvenuto suona come un vero e proprio campanello d'allarme. L'attacco sottolinea il rischio di immagazzinare criptovalute in portafogli accessibili da Internet, comunemente chiamati portafogli caldi. Nel corso degli anni, gli hot wallet sono stati prosciugati illegalmente molteplici volte per una quantità incalcolabile di monete digitali sottratte ai possessori.
Ultimo aggiornamento: Mercoledì 22 Marzo 2023, 22:29
© RIPRODUZIONE RISERVATA
