Il caso del token “SQUID Game” potrebbe non restare isolato. Come evitare le truffe sulle criptomonete

Dall’adozione delle blockchain per la realizzazione di criptomonete e smart contract i malintenzionati digitali hanno approfittato della scarsa regolamentazione per configurare contratti smart errati e creare dei token falsi. Da ricerche e studi dei team di ricercatori di sicurezza e threat intelligence, il metodo con cui i truffatori sottraggono denaro alle persone, passa per l’introduzione di errori volontari nella configurazione di contratti smart. Ne abbiamo parlato con Oded Vanunu Head of Products Vulnerabilities Research di Check Point Software.

Introduzione agli smart contract e ai token

Con il termine Smart Contract (contratti intelligenti n.d.r.) si descrive il codice informatico che esegue automaticamente tutto o parte di una transazione finanziaria; solitamente è memorizzato su una piattaforma basata su blockchain. Il codice può essere l’unica manifestazione dell’accordo tra le parti o potrebbe integrare un contratto tradizionale basato su testo ed eseguire determinate disposizioni finanziarie, come il trasferimento di fondi dalla Parte A alla Parte B. Se le parti hanno indicato, avviando una transazione, che determinati parametri sono stati soddisfatti, il codice eseguirà il passaggio attivato da tali parametri. Se non è stata avviata alcuna transazione di questo tipo, il codice non eseguirà alcuna operazione.

La maggior parte dei contratti intelligenti sono scritti in Solidity (Fonte Harward Edu). Progressivamente all’adozione della blockchain i contratti intelligenti sono destinati ad un aumento graduale della complessità per gestire transazioni sempre più sofisticate. Oded Vanunu spiega a StartupItalia alcune caratteristiche: “I contratti smart sono programmi memorizzati su una blockchain e vengono eseguiti quando sono soddisfatte determinate condizioni. Il linguaggio di programmazione in uno smart contract è Solidity che consiste nel linguaggio di programmazione orientato agli oggetti per scrivere contratti intelligenti su varie piattaforme blockchain, in particolare Ethereum, BNB, Cardano e molte altre. Il vantaggio dello smart contract rispetto a un normale programma è che il codice sorgente è completamente open source e immutabile (non può essere modificato), ma è possibile comunque vedere il codice sorgente. Il codice nell’ecosistema del contratto intelligente viene eseguito dall’EVM (Ethereum Virtual Machine) e il codice viene eseguito da minatori/nodi”.

Quando si parla di “token” invece, ci si riferisce ad un “contratto token” ovvero ad un contratto intelligente sulla blockchain Ethereum. “Inviare token” significa “chiamare un metodo su uno smart contract che qualcuno ha scritto e distribuito”. In sostanza un “contratto token” non è molto più di una mappatura degli indirizzi ai saldi economici, oltre ad alcuni metodi per aggiungere e sottrarre da quei saldi (Fonte Smart Contract report from EU blockchain Observatory and Forum).

La truffa “Rug pull” sui token

Alcuni degli stratagemmi utilizzati dai criminali digitali nell’ambito delle criptovalute consistono in veri e propri furti nei portafogli (noti come “wallet” n.d.r.) di criptovalute. A febbraio 2022 si è verificato un caso significativo su OpenSea, il più grande mercato di NFT del mondo con un bottino da 1,5 milioni di Euro, mentre lo scorso novembre, il centro ricerche di Check Point (CPR) segnalava agli utenti di portafogli crittografici il pericolo di una massiccia campagna di phishing sui motori di ricerca che ha portato al furto di almeno mezzo milione di dollari. In un report specifico è possibile approfondire come appaiono le frodi dei contratti smart, esponendo i token falsi in due modi: nascondendo le funzioni di fee al 100% e poi nascondendo delle backdoor (codice o serie di comandi che consentono di accedere a un software o a un sistema informatico, conosciuti generalmente solo dal programmatore ed usati in casi di emergenza o per l’ordinaria manutenzione, ma in questi casi per intenzioni malevole n.d.r.).

In questo panorama si inseriscono le truffe di tipo “rug pull” che consistono in un atto dannoso in cui gli sviluppatori di criptovalute attirano i primi investitori e poi abbandonano il progetto sottraendo i fondi del progetto o vendendo le loro partecipazioni con l’intenzione di drenare tutti i fondi dagli investitori. Di fatto esistono tre varianti: il furto di liquidità, che si verifica quando i creatori di token rimuovono fondi dal pool di liquidità; la limitazione degli ordini di vendita, in cui gli sviluppatori codificano i token in modo che siano l’unica parte in grado di venderli e poi scaricano le loro posizioni, lasciando un token senza valore; il dumping, in cui gli sviluppatori vendono rapidamente un’ampia offerta di token, riducendo così il prezzo della moneta (chiamato schema Pump and Dump).

Le truffe “Rug pull” solitamente si verificano nell’ambito della Finanza Decentralizzata (DeFi) e in particolare negli eXchange DEcentralizzati (DEX), in cui individui malintenzionati creano un token, lo inseriscono su un DEX e infine creano una coppia con una criptovaluta molto nota (Fonte Tutto Crypto).

Secondo il report pubblicato dalla società di ricerca blockchain Chainalysis, le truffe di “Rug pull” di criptovalute sono state responsabili di oltre $ 2,8 miliardi di attività illecite nel 2021. Inoltre, i “Rug pull” nello spazio della finanza decentralizzata (DeFi) hanno rappresentato il 37% di tutte le criptotruffe correlate.

Per creare token falsi, gli hacker commettono volontariamente errori nella configurazione dei contratti smart. I passaggi che i truffatori seguono per attuare le truffa passano per:

• Sfruttamento dei “servizi truffa”. Sono utilizzati dei “servizi truffa” per creare il proprio contratto, oppure si copia un tipo già noto modificando nome e simbolo del token o anche alcuni nomi delle funzioni, nei casi più sofisticati.
• Manipolazione delle funzioni legate al trasferimento di denaro per impedire la vendita, o aumentare l’importo della fee. La maggior parte delle manipolazioni si verifica in questa fase.
• Creazione di hype via social media. Gli hacker sfruttano i social media, quali Twitter e Telegram, ad esempio, senza rivelare la propria identità o usandone di false per avviare la pubblicizzazione del progetto cripto.
• Attuazione del “Rug pull” per sottrarre il denaro. Dopo aver raccolto la quantità di denaro desiderata, il progetto è abbandonato con la cancellazione in tutti i canali social media creati.
• Inesistenza dei timelock. Solitamente, i token fraudolenti non bloccano una grande quantità di denaro nel pool di contratti, o non dispongono dei timelock. Questi ultimi sono per lo più utilizzati per ritardare azioni amministrative e sono generalmente considerati un forte indicatore di legittimità.

Oded Vanunu chiarisce come avviene la truffa, che prenda il nome dall’espressione “tirare il tappeto” (facendo cadere rovinosamente a terra la vittima n.d.r.); lo sviluppatore, che attira gli investitori verso un nuovo progetto di criptovaluta, crea delle funzioni “backdoor” che una volta richiamate dai truffatori svuotano i soldi investiti prima che il progetto sia consolidato, lasciando gli investitori con una valuta senza valore.

Uno dei famosi attacchi “Rug Pull” è stato sul token “SQUID Game” che in pochi giorni di scambio di token aveva guadagnato un seguito significativo sui social media causando un aumento del prezzo, salito da un paio di centesimi a un paio di dollari. Il token SQUID ha continuato ad espandersi a un ritmo sostenuto fino a che gli sviluppatoriscammer sono intervenuti sul token, facendone scendere il prezzo da $ 3.000 a quasi $ 0 in poco più di 5 minuti. Altre truffe di questo tipo, le quindici maggiori del 2021 sono state tracciate da Chainalysis come anticipazione del loro Crypto Crime report, aggiornato nel giugno di quest’anno. Una ulteriore lista di ingenti truffe Rug pull ha interessato i progetti OneCoin, Thodex, Anubis Dao,  Defi 100 coin e altri minori.

Come difendersi

Affinché gli utenti possano evitare queste trappole e per non perdere soldi è necessario che la comunità cripto sia a conoscenza della creazione di token falsi. Per evitare questa truffa, si raccomanda loro di:

• Diversificare i wallet: i wallet sono lo strumento con cui gli utenti conservano e gestiscono i loro bitcoin e memorizzano anche le password di ogni utente. Quando si scambiano criptovalute si usa una chiave pubblica, che rende possibile ad altri utenti di inviare criptovalute al proprio portafoglio. Avere un minimo di due diversi wallet di criptovalute permette di usarne uno per custodire i propri acquisti e l’altro per commerciare e scambiare criptovalute. Se un cybercriminale riesce ad accedere al wallet con cui si sta commerciando non potrà tuttavia sottrarre i bitcoin mantenuti nel wallet di custodia dei bitcoin già acquisiti, che saranno quindi al sicuro.
• Ignorare gli annunci sul web perché possono nascondere siti web malevoli: gli utenti cercano piattaforme bitcoin attraverso Google. A volte mediante “Google Ad” (annunci di Google n.d.r.) sono mostrati link a che portano a siti web malevoli attraverso i quali i criminali digitali possono rubare credenziali o password. In generale si consiglia di accedere alle pagine web che appaiono più in basso nel motore di ricerca e che non rappresentano una “Google Ad”.
• Fare delle transazioni di prova: ovvero inviare una transazione con un importo minimo, prima di inviare grandi quantità di criptovalute. In questo modo, nel caso in cui si stiano inviando soldi a un falso wallet, sarà più facile rilevare l’inganno, perdendo solo l’importo di “prova”.
• Attivazione della doppia autenticazione per gli accessi sulle piattaforme dove si ha un account. In questo modo, quando un malintenzionato cerca di accedere a una qualsiasi di esse in modo irregolare, l’utente riceverà un messaggio che chiede di verificare la sua identità, impedendo l’accesso.

In aggiunta a queste precauzioni e in tema di prevenzione delle truffe “Rug Pull” Oded Vanunu spiega che: “Se si incorporano criptovalute nel proprio portafoglio di investimenti o se si è interessati a investire in criptovalute in futuro, ci si dovrebbe assicurare di utilizzare solo scambi noti e acquistare da un token noto con diverse transazioni alle spalle. Le criptovalute non sono regolamentate in molti paesi in tutto il mondo, per cui i portafogli dei consumatori restano esposti rappresentando un obiettivo attraente per i criminali informatici. È necessario prestare particolare attenzione a tutti i tentativi di phishing mirati al furto di questi mercati di bitcoin e alla rappresentazione dei loro siti Web che tentano di indurre un utente a inserire i propri dati di accesso al solo scopo di furto. È importante prestare attenzione agli URL dei Marketplace che i consumatori utilizzano per evitare qualsiasi tipo di manipolazione da parte dei criminali informatici”.