Nel mondo della blockchain è avvenuto un furto scioccante: un "whale" (grande investitore) nel campo delle criptovalute ha perso 50 milioni di dollari (circa 360 milioni di yuan) in pochi secondi. Non ci sono state vulnerabilità di codice complesse, né attacchi brutali; l'hacker ha semplicemente sfruttato un'inerzia psicologica umana per portare a termine questo perfetto saccheggio.
Come è caduto nella trappola il whale?
L'intero processo assomigliava a un film di crimine ad alta intelligenza, l'hacker ha dimostrato un'alta capacità di esecuzione automatizzata e manipolazione psicologica.
Il whale ha prelevato 50 milioni di USDT dall'exchange Binance al suo wallet. Per motivi di sicurezza, ha prima inviato una piccola somma (50 USDT) all'indirizzo obiettivo per un test. — Questo passo sembrava professionale e cauto.
I programmi automatizzati degli hacker (Bot) monitorano continuamente le grandi fluttuazioni sulla catena. Nel momento in cui il grande investitore emette fondi di prova, il programma hacker genera immediatamente un “indirizzo molto simile”. I primi e gli ultimi caratteri di questo indirizzo falso corrispondono esattamente all'indirizzo reale del grande investitore.
Questo piccolo accredito ha fatto sì che l'indirizzo falso apparisse in cima alla “cronologia delle transazioni recenti” del portafoglio del grande investitore. Quando ha trasferito quella somma di 50 milioni, ha abitualmente copiato direttamente l'ultima voce di indirizzo dalla cronologia delle transazioni (pensando fosse quello che aveva appena testato). Di conseguenza, 50 milioni di dollari sono stati trasferiti istantaneamente nelle tasche dell'hacker.
Dopo aver colpito, gli hacker scambiano rapidamente USDT (che può essere congelato da istituzioni centralizzate) in DAI (stablecoin decentralizzata) e distribuiscono il tutto attraverso Tornado Cash (mixer) per riciclare, interrompendo completamente il tracciamento.
Dopo l'incidente, il grande investitore ha inviato un messaggio sulla catena, affermando di aver “denunciato, localizzato” e ha dato all'hacker 48 ore per restituire i fondi, promettendo 1 milione di dollari (2%) come ricompensa, altrimenti si sarebbero visti in tribunale. Ma per gli esperti del settore, sembra più una velleità impotente.
Non si tratta solo di frode, è un gioco psicologico
Da una doppia prospettiva finanziaria e tecnologica, questo caso rivela tre logiche fondamentali profonde:
1. “Avvelenamento degli indirizzi” e effetto di inizio e fine (Address Poisoning)
Questa è la tecnica centrale di questo attacco. Nel contesto delle blockchain (e in molte transazioni bancarie), l'account/l'indirizzo è una lunga stringa di caratteri casuali.
Il cervello umano non riesce a gestire numeri casuali troppo lunghi, siamo abituati a confermare la coerenza confrontando i primi 3 e gli ultimi 3 caratteri.
Generare un indirizzo con lo stesso inizio e fine è molto economico per l'hacker (collisione di potenza di calcolo), ma sfruttare la “pigrizia cognitiva” della vittima può portare a guadagni di 50 milioni di dollari. È una strategia d'attacco con un rapporto rischio/guadagno estremamente alto.
2. Trappole di pensiero sistema I vs sistema II
Il vincitore del premio Nobel per l'economia Daniel Kahneman ha proposto la teoria del pensiero veloce e lento:
- Durante il test di trasferimento, il grande investitore ha usato il sistema II (pensiero lento), razionale e cauto.
- Durante il trasferimento ufficiale, poiché il test è appena andato a buon fine, il grande investitore ha abbassato la guardia, tornando al sistema I (pensiero veloce), affidandosi all'intuizione e all'abitudine (copiare la cronologia recente).
Gli hacker sfruttano proprio il momento di rilassamento dopo la cautela, che è il momento in cui tutti i trader e gli investitori sono più inclini a commettere errori.
3. Gioco di asset centralizzati e decentralizzati
Le operazioni dell'hacker dopo il colpo sono estremamente professionali:
- USDT (Tether): appartiene a asset centralizzati, l'emittente Tether ha il diritto di congelare i fondi degli indirizzi coinvolti.
- DAI: appartiene a asset decentralizzati e non può essere congelato da un'unica entità.
L'hacker scambia istantaneamente DAI, dimostrando una forte consapevolezza della gestione del rischio di liquidità—prima che i regolatori possano reagire, convertendo la natura dell'asset da “congelabile” a “non congelabile”.
Come possono le persone comuni imparare la gestione dei rischi?
Anche se questo è un caso nel campo delle criptovalute, la sua logica di gestione dei rischi è applicabile a tutte le operazioni finanziarie, grandi trasferimenti e persino decisioni commerciali.
1. Stabilire un meccanismo di verifica “zero fiducia” (SOP)
Sia che tu stia piazzando ordini su un software di trading azionario, sia in un trasferimento bancario, non dipendere mai dalla “cronologia” o dagli “appunti”.
Stabilire un “libro bianco” o una “rubrica” indipendente. Durante il trasferimento, copia le informazioni da fonti di cui ti fidi (come il contratto originale, la rubrica dell'app ufficiale), piuttosto che copiarle dall'ultima operazione.
Non guardare solo l'inizio e la fine. Il metodo di verifica delle posizioni centrali è più sicuro rispetto al metodo di verifica dell'inizio e della fine, poiché gli hacker hanno difficoltà a generare un indirizzo che sia lo stesso anche nel mezzo.
2. Fai attenzione ai “piccoli disturbi”
Se il tuo account riceve improvvisamente fondi di piccola entità da fonti sconosciute, rimborsi di piccole somme o airdrop strani, di solito non si tratta di fortuna, ma di un marchio.
È come se un concorrente cliccasse malevolmente sui tuoi annunci, o ti inviasse email di phishing. Qualsiasi “regalo inaspettato” non richiesto dovrebbe essere considerato un potenziale segnale d'attacco.
3. Il “periodo di blocco d'oro” quando si verifica il rischio
Il grande investitore ha perso perché la sua velocità di reazione dopo il trasferimento non è stata all'altezza della velocità con cui l'hacker ha riciclato il denaro.
Se gestisci grandi asset, devi prevedere un piano di emergenza. In caso di errore, contatta immediatamente l'emittente (come banche, broker, Tether) per congelare, piuttosto che prima postare sui social o scrivere una lettera di minaccia. Nel mondo finanziario, il controllo (congelare i fondi) è molto più importante del diritto di rivalsa (azione legale).
Riepilogo
Questi 50 milioni di dollari di spese ci insegnano:
Nell'era della finanza digitale, la maggiore vulnerabilità è sempre l'uomo. La tecnologia può criptare gli asset, ma non può criptare la nostra negligenza. Che tu stia investendo in azioni o gestendo un'azienda, seguire procedure operative rigorose (SOP) è sempre il modo con il costo più basso per affrontare l'incertezza.