In questo post, 1inch e l'azienda di sicurezza del marchio Phishfort analizzano i vettori di attacco più comuni in DeFi - e condividono consigli pratici per aiutarti a rimanere al sicuro.

Ogni giorno, milioni di utenti si fidano di DeFi per muovere valore liberamente, accedere a mercati globali e mantenere il controllo dei propri beni. Quella fiducia è importante per noi. La tua sicurezza non è una funzionalità. È la base di tutto ciò che costruiamo.

Ma dove c'è opportunità, ci sono anche attori cattivi. I truffatori cercano costantemente modi per sfruttare sia i principali progetti DeFi che gli utenti individuali. Le minacce evolvono, ma una cosa rimane: rimanere al sicuro richiede vigilanza e le giuste conoscenze.

Ecco perché noi di 1inch lavoriamo costantemente con i principali team di sicurezza, come PhishFort, per coprire tutti gli angoli: dalle campagne di phishing all'infrastruttura malevola.

Phishfort abbatte i truffatori per mantenere DeFi sicuro per tutti noi. Quindi ci siamo uniti a loro per creare la tua guida di riferimento alle minacce di sicurezza in DeFi. Controllala per scoprire come proteggerti da esse - o per una panoramica approfondita dei consigli di sicurezza esperti di Phishfort, visita la Guida alla Sicurezza di PhishFort qui.

1. Phishing sui motori di ricerca (Google, Bing, DuckDuckGo)

Probabilmente hai visto un link sponsorizzato o un articolo che sembra completamente legittimo nei tuoi risultati di ricerca. Potrebbe anche essere al primo posto nei tuoi risultati di ricerca e il dominio sembra familiare. Tutto sembra normale. Quindi clicchi - e atterri su un sito creato per rubare i tuoi dati sensibili.

Alcune di queste trappole si attivano solo quando arrivi tramite un annuncio specifico, il che le rende più difficili da individuare. Altri rilasciano un cookie di tracciamento, quindi tornano a contenuti dall'aspetto normale per cancellare le tracce e evitare il rilevamento.

Quando ti rendi conto che qualcosa non va, il danno potrebbe già essere fatto..

Esempi di domini falsi:

1ihch[.]us

App[.]1lnch[.]su

Puoi fidarti di 1inch in molte cose - incluso che sappiamo come scrivere il nostro nome. Quindi, verifica sempre gli URL. Aggiungi ai segnalibri i siti ufficiali delle piattaforme, come 1inch.com. Non fare affidamento solo sui risultati di ricerca!

2. Acquisizioni di account sui social media (ATO)

Pensi che i canali ufficiali non possano essere compromessi? Ti sbagli. Potrebbe essere solo un tirocinante arrabbiato. Ma potrebbe essere molto peggio.

Ad esempio, gli hack di Discord pubblicavano domini falsi come 1inchio.app

Twitter/X compromette i link condivisi come dapp-1inch[.]com

Se un post ti chiede di collegare urgentemente il tuo wallet, prenditi una pausa. Verifica attraverso più canali ufficiali.

3. App false dai negozi ufficiali

Probabilmente pensi che se un'app è elencata nell'App Store o su Google Play, sia sicura. Ma i truffatori sono ripetutamente sfuggiti ai controlli di revisione e hanno caricato versioni malevole delle app nei negozi ufficiali.

Le app false possono prosciugare il tuo wallet! Quindi, non cercare direttamente nei negozi di app.

Invece, ottieni il link dell'app ufficiale dalle piattaforme, come 1inch.com.

4. Approvazioni di token

Non firmeresti un assegno bancario in bianco. Bene, non firmeresti affatto un assegno, perché non è il 1996. Ma perché dovresti approvare una transazione con un importo illimitato?

Usa strumenti come:

Etherscan Approval Checker

Revoke.cash

Fai attenzione: i truffatori creano anche siti di revoca falsi.

Le truffe di approvazione sfruttano la funzione ERC-20 approve(). Una volta concessa l'approvazione illimitata, un contratto malevolo può prosciugare i token in seguito - anche se ti ritiri dalla piattaforma.

Se hai approvato un importo illimitato di token, revoca immediatamente l'approvazione.

5. Truffe IPFS

Alcuni utenti utilizzano il Sistema di File Interplanetari, un protocollo di rete decentralizzato peer-to-peer (P2P), per avere un punto di accesso di backup o evitare una possibile censura.

1inch utilizza anche IPFS - come specchio di distribuzione. Ed è legittimo.

Ma i truffatori usano anche IPFS - per ospitare specchi malevoli. Non cercare il link IPFS di 1inch online: potresti finire per cliccare su uno malevolo.

Usa sempre il link IPFS ufficiale da 1inch.com:

bafybeiajfrgxbbeznejyj4arwjmor25ggejrjxe27do5lhnmkta6usji7a.ipfs.dweb.link

6. Video falsi su YouTube

Se un video di YouTube promette bot MEV magici, arbitraggio garantito, un affare "invia 1, ricevi 2 indietro" o afferma che Elon Musk raddoppierà la tua crypto, è molto probabile che si tratti di una truffa.

Questi video truffa spesso coinvolgono account YouTube hackati rinominati in Tesla o SpaceX o celebrità famose. I bot gonfiano le visualizzazioni per ingannare gli algoritmi.

Le truffe dei bot MEV sono particolarmente pericolose. Istruiscono gli utenti a copiare e incollare codice Solidity. Eseguirlo prosciuga il tuo wallet.

Il codice può assemblare un indirizzo sospetto come questo utilizzato dai truffatori:

0xFC360216Db687A7669F6dDaF20c9e37322E4A12e

Se ti promette soldi gratis, è probabile che tu perda i tuoi.

7. Truffe "Bitcoin Revolution"

Probabilmente hai visto articoli di notizie o video falsi in cui persone ricche come Richard Branson o Elon Musk promuovono qualche progetto, promettendo una rivoluzione Bitcoin.

Promettono profitti facili - se depositi semplicemente denaro su una certa piattaforma. Ma c'è un inghippo: quando provi a ritirare i tuoi fondi, non funziona.

Quindi, stai lontano.

8. Scambi e piattaforme di investimento falsi ("pig butchering")

Queste piattaforme hanno:

  • nessuna liquidità

  • dettagli di registrazione falsi

  • personale di supporto falso.

Qualsiasi piattaforma di "investimento crypto" promossa tramite WhatsApp non richiesto, SMS, Viber, iMessage o telefonate dovrebbe essere trattata come una truffa.

9. Truffe verificate su Twitter/X (falsi omaggi)

Account verificati dirottati o acquistati si rinominano in, ad esempio, Elon Musk (perché è sempre Elon?), e promettono omaggi.

Rispondono sotto post legittimi per apparire autentici.

Indicatori di avvertimento comuni.

10. Spam nei DM di Discord

Spiacenti, ma il vero Elon non ti scriverà mai in DM riguardo a un airdrop.

E nemmeno 1inch, Coinbase, Binance o il "prossimo token caldo."

Se qualcuno DM prima - è una truffa.

Non cliccare sui link nelle biografie di Discord. Considera tutti i DM non richiesti come malevoli.

11. ICO falsi, memecoin, token a bassa liquidità

Se investi in un ICO falso o in un rug token, probabilmente non vedrai mai più i tuoi fondi.

Le truffe di approvazione si legano a questo. Se approvi un contratto malevolo, può drenare i tuoi token in seguito.

L'esempio di UniCats mostra come un utente abbia approvato una spesa infinita di USDC - e abbia perso 140.000 dollari.

I memecoin spesso lasciano i compratori con token invendibili.

Evita schemi ad alto rendimento guidati dall'hype che promettono ritorni del 4000%.

12. Truffe di approvazione

Molti utenti pensano: "Se non condivido la mia frase seme, sono al sicuro."

Non sempre.

L'approvazione di ERC-20 (indirizzo spender, uint256 valore) consente a terzi di trasferire token per tuo conto.

Gli attori delle minacce sfruttano questo.

Non approvare mai spese illimitate. Revoca regolarmente le approvazioni non utilizzate.

13. DEX falsi e CEX che impersonano piattaforme legittime

Non importa chi chiede - non condividere mai la tua chiave privata o frase seme.

Non esiste una cosa del genere come:

  • sincronizzazione del wallet

  • rettifica

  • remediazione

  • ERCSYNC

  • portale di riduzione delle commissioni

  • aggiornamento della versione che richiede la frase seme

Questi sono tutti buzzword inventati usati per rubare beni.

14. Dispositivo compromesso

La sicurezza non si ferma ai contratti. Gli aggressori cercano sempre modi per infilare codice malevolo nel tuo dispositivo.

  • Non clonare repository GitHub non fidati.

  • Non minare crypto e usare un wallet sullo stesso dispositivo.

  • Usa 2FA.

  • Idealmente, usa un dispositivo dedicato per firmare le transazioni.

  • Fai attenzione al malware negli appunti che sostituisce gli indirizzi dei wallet.

  • Attenzione alle transazioni di sfondo nascoste.

Anche i wallet hardware possono essere compromessi se il dispositivo è infettato.

15. Supporto telefonico falso

I progetti legittimi non ti chiamano. Non riceverai mai una chiamata da Trezor, 1inch o Ledger.

Allo stesso modo, non cercare su Google "supporto telefonico Trezor" e chiama il primo risultato. Quei numeri sono truffe.

Non inserire mai la tua frase seme da nessuna parte.

16. SIM swapping

Un altro comune vettore di attacco: attori malevoli che tentano di dirottare il tuo dispositivo mobile. Alcuni consigli per fermare questo accadere:

  • Se il tuo servizio telefonico mobile si interrompe improvvisamente - assumi un hack della SIM.

  • Usa app di autenticazione, non SMS.

  • Abilita la modalità a dispositivo singolo.

  • Conserva i codici di backup.

  • Usa una YubiKey.

17. Ingegneria sociale e attacchi fisici

Le truffe non sono sempre digitali. Gli aggressori usano ancora il copione del truffatore della vecchia scuola - o il semplice furto fisico - per scoprire i tuoi beni e prenderli. Quindi:

  • Non divulgare mai pubblicamente le tue partecipazioni.

  • Separare il proprio wallet hardware e la frase seme - non conservarli insieme.

  • Pulisci i metadati dalle foto.

  • Ignora le email di sextortion che richiedono BTC.

  • C'è stata un'impennata negli attacchi fisici "wrench" che prendono di mira i possessori di crypto.

Sii discreto. Rimani vigile.

*

Per proteggerti, verifica sempre i domini con cui interagisci. Ecco un elenco delle proprietà legittime di 1inch che dovresti aggiungere ai segnalibri:

1inch.com - il dominio ufficiale

1inch.network - comunità/DAO

business.1inch.com - 1inch Business

Strumenti di sicurezza utili:

Revoke.cash - interrompi i vecchi link a siti sospetti

Token Sniffer - "scam score" istantaneo per nuove monete

Bubble Maps - verifica se gli "insider" stanno nascondendo i loro token

Pocket Universe - un popup che spiega cosa stai firmando

Tenderly - "dry-run" dettagliato di qualsiasi transazione

GeckoTerminal - traccia DEX, scopri abbinamenti di tendenze ed esplora metriche di pool come conteggi di transazioni, TVL e attività di token

Alcuni consigli per una migliore sicurezza:

  • Accesso diretto: digita sempre l'URL direttamente nel tuo browser o usa un segnalibro fidato. Non cliccare sui risultati dei motori di ricerca o sugli annunci per le piattaforme DeFi.

  • Verifica i link social: se un affare su Discord o Twitter sembra troppo bello per essere vero (come un airdrop a sorpresa), ricontrolla con altri canali ufficiali prima di cliccare.

  • Controlla attentamente l'URL: i truffatori usano il "typosquatting" (es. 1lnch invece di 1inch). Cerca errori sottili nel nome di dominio.

  • Revoca le vecchie approvazioni: usa revoke cash per rimuovere le approvazioni di token vecchie e non necessarie. Imposta sempre un limite di spesa, non illimitato.

  • Evita DM non richiesti su Discord/X/altri: è probabile che possano essere disonesti, meglio non rischiare.

  • Usa lo storage a freddo e multi sig: non conservare mai una grande quantità di beni nello storage caldo. Per grandi contratti usa le firme multiple.

  • Non saltare mai su una chiamata affrettata tramite software di meeting sospetto. Fai attenzione ai falsi aggiornamenti SDK che impersonano software come Zoom.

  • Aggiorna sempre tutto - OS, wallet, browser, EDR/AV, firmware del router e così via.

Per saperne di più sulla sicurezza in DeFi, controlla queste linee guida da Phishfort e iscriviti alla newsletter di 1inch!