Un attacco contro un wallet MetaMask ha fruttato a chi lo ha eseguito la bella cifra di 650mila dollari. A destare sensazione, però, non è soltanto l’entità della sottrazione in criptovalute, ma le modalità con cui è stato portato avanti l’attacco.

Per farlo, infatti, l’hacker ha dato vita ad un phishing particolarmente raffinato, facendo leva sul servizio iCloud di Apple. A rivelarlo è stato l’utente colpito, Domenic Iacovone, con un messaggio su Twitter il quale ha destato non poca sensazione, proprio perché prefigura una nuova minaccia per tutti coloro che proteggono i propri beni virtuali su MetaMask e hanno un profilo iCloud. Andiamo quindi a vedere meglio la vicenda.

Cosa è esattamente accaduto

La vicenda è iniziata con una chiamata pervenuta a Iacovone, da parte di Apple, che gli chiedeva di reimpostare la password dell’ID. Se sino a quel momento aveva pensato potesse trattarsi di una truffa, avendo ricevuto altri messaggi analoghi, il fatto che la chiamata al suo iPhone arrivasse da Apple Inc. e con un numero associato al negozio online di Apple ha fatto crollare la sua diffidenza.

Ha quindi richiamato trovando una persona come controparte la quale gli ha chiesto il codice una tantum che Apple ha inviato al suo iPhone per assicurarsi che fosse il proprietario dell’account, che secondo la stessa era stato compromesso. Iacovone lo ha fatto e a pochi secondi di distanza dalla chiusura dell’operazione si è accorto che il suo wallet MetaMask era stato completamente svuotato.

Tra le risorse che a detta del malcapitato sono state sottratte sarebbero da annoverare non meno di 160dollari in Ether, un NFT Mutant Ape Yacht Club del valore di circa 80dollari e almeno 100mila dollari sotto forma di token della criptovaluta Ape Coin, oltre a 250mila dollari in Tether.

La domanda chiave sulla vicenda

Naturalmente, una volta trapelata la vicenda, in molti si sono affrettati a chiedersi: come è possibile che l’accesso a iCloud possa permettere ad un hacker di svaligiare il wallet crypto di un utente? La risposta al quesito è stata fornita da un esperto di sicurezza informatica che si fa chiamare Serpent.

Secondo lui, infatti, una volta che l’app MetaMask viene utilizzata su iPhone avviene la memorizzazione automatica di un file di frase seed su iCloud. Se in un primo momento MetaMask, il portafoglio basato su Ethereum più utilizzato in assoluto, non aveva rilasciato commenti sull’accaduto, il giorno di Pasqua ha finalmente affrontato la questione su Twitter. In particolare, ha rilasciato una dichiarazione in merito al difetto di sicurezza scoperto, fornendo inoltre agli utenti le istruzioni su come disabilitare i backup di iCloud ed evitare guai.

Lo stesso Serpent, però, ha affermato che alla prima vittima sono destinate ad aggiungersene presto molte altre. Per evitare di far parte del novero ha anche dato una lista di consigli, ovvero:

  • utilizzare sempre un portafoglio freddo (cold wallet, ovvero portafogli non collegati costantemente a Internet) per la conservazione del patrimonio virtuale;
  • non fornire mai i codici di verifica a nessuno, neanche su espressa richiesta, in quanto le terze parti interessate, come Apple, non chiederebbero mai dati di questo genere;
  • proteggere nel miglior modo possibile le proprie informazioni personali, a partire dal numero di telefono o dalla casella di posta personale;
  • non dare fede a richieste di questo genere, in quanto anche le informazioni sul chiamante sono facili da falsificare.

L’avviso di MetaMask

Per quanto concerne MetaMask, l’azienda che produce il popolare wallet software ha provveduto ad emettere un avviso teso a mettere in guardia i suoi utenti sulla possibilità di attacchi per mezzo di phishing, proprio su iCloud.

In particolare, la società ha deciso di spiegare in maniera dettagliata che le frasi seed, ovvero le password crypto da utilizzare per schermare il portafogli, sono caricate su iCloud nel caso in cui l’opzione di backup è abilitata. Proprio questo è il marchingegno di cui si avvalgono i truffatori per poter accedere ad esse non appena l’account iCloud di un utente sia stato compromesso.

Per evitare che ciò accada è stata anche caricata una guida, in cui si spiega come disabilitare l’opzione di backup. Una mossa che suona anche come una risposta alla critica di un utente, che su Twitter ha affermato come la memorizzazione della password da parte di MetaMask su iCloud rappresenti un grave rischio per la sicurezza. Lo stesso utente ha poi concluso il suo tweet con un’affermazione molto condivisibile: l’azienda deve disabilitare quella funzione oppure renderla più difficile da utilizzare per eventuali malintenzionati.

Il vero problema della DeFi

Altra questione collegata a quanto accaduto è poi quella relativa al vero tallone d’Achille della Decentralized Finance (DeFi), ovvero la mancanza di una vera e propria autorità centralizzata. Un punto di vanto tale quindi da tramutarsi anche in una effettiva debolezza. Ne consegue infatti che, in un caso come quello ricordato, chi viene colpito non potrà mai essere risarcito.

Le transazioni che hanno luogo sulla blockchain sono infatti immutabili, non potendo di conseguenza essere annullate. Tutto ciò comporta automaticamente che MetaMask, o qualsiasi altra azienda operante nel settore, non possono rimborsare i beni sottratti.

OpenSea, al momento il più grande mercato di NFT, non ha potuto fare altro che indicare l’account di Iacovone in qualità di “sospetto” al fine di dissuadere altri dall’acquistare gli NFT rubati. Quando lo ha fatto era però già troppo tardi e troppo poco e l’NFT Mutant Ape Yacht Club era stato immediatamente venduto ad un altro utente ignaro, in cambio di 26,5 ether, ovvero circa 80mila dollari.

Lo stesso Iacovone non ha potuto fare altro che rivelare quanto accaduto e attivarsi per chiedere a MetaMask, sempre tramite un messaggio su Twitter, di aggiornare la sua app in modo tale da impedire che altri possano ritrovarsi a contare i danni di un attacco hacking, come è accaduto a lui. Considerata la tendenza a reiterare comportamenti errati, potrebbe comunque servire a poco.

Leggi anche: eToro lancia Art, la propria piattaforma NFT per artisti e non solo