L’industria delle criptovalute non è certamente estranea a truffe di ogni tipo. Esistono molti metodi che i criminali informatici utilizzano attualmente per accedere ai depositi di criptovalute, inclusi quelli noti come “honeypot”. Ma cos’è esattamente una truffa di criptovalute e sono pericolose?
Cos’è una truffa Honeypot?
Le truffe Honeypot (da non confondere con “honeytrapping”) possono presentarsi in diverse forme. Ma in ogni caso attirano le vittime con la falsa promessa di grandi profitti. Come suggerisce il nome, le truffe honeypot appaiono come un grosso piatto di miele, cioè un piatto di soldi, ma in realtà sono tutt’altro.
Ma c’è qualcosa di molto interessante negli honeypot che li separa da molte altre truffe basate sulle criptovalute. Mentre la maggior parte delle truffe prende di mira persone innocenti che non hanno cattiva volontà, gli honeypot si basano sul fatto che l’utente preso di mira abbia almeno qualche intento dannoso.
Questo perché il truffatore originale spesso si atteggia a innocente principiante crittografico in cerca di aiuto con le proprie transazioni. La vera vittima, in questo caso, crede di avere il sopravvento. Quindi, come funziona?
Un esempio di Honeypot
Usiamo un semplice esempio per scomporlo. Supponiamo che la persona A (l’attaccante) invii messaggi alla persona B (una potenziale vittima) affermando di essere un principiante delle criptovalute che ha bisogno di aiuto per usare il proprio portafoglio. Forse non sanno come ricevere fondi o stanno cercando di spostare fondi preesistenti su un altro portafoglio, un conto bancario, uno scambio di criptovalute o altro.
Con il pretesto dell’ingenuità, la persona A invierà la frase seme del portafoglio, indicando che pensa che questa informazione aiuterà la persona B ad aiutarla a spostare le risorse. Le frasi seme essenzialmente ti danno accesso a un portafoglio, quindi condividerle con altri, specialmente estranei, è una cattiva idea. In questo caso, il criminale informatico spera che la potenziale vittima sia a conoscenza di questa possibile violazione della sicurezza.
La persona B potrebbe guardare il messaggio di questo commerciante di criptovalute apparentemente all’oscuro e pensare: “con quella frase seme, posso accedere al portafoglio e ai suoi fondi”. Un utente più gentile probabilmente ignorerebbe questo messaggio, o forse avviserebbe anche il mittente che condividere una frase seme è pericoloso. Ma se il destinatario è un po’ più nefasto, potrebbe abboccare, credendo di essere sul punto di vincere il jackpot.
Tuttavia, in realtà, la persona A è ancora al posto di guida.
Quando la persona B accede al portafoglio, potrebbe vedere che c’è una riserva di token memorizzati lì che ora è apparentemente in palio. Supponiamo che i token siano basati su Ethereum (utilizzando lo standard ERC-20). Tuttavia, non sono monete Ethereum (ETH), ma un token costruito sulla blockchain di Ethereum. A questo punto, la persona B si renderà conto di aver bisogno di denaro per la benzina per condurre la transazione.
“Gas” è la potenza di calcolo utilizzata da molte reti blockchain.
Quando si utilizza una tale rete, gli utenti devono pagare una quota del gas, contribuendo così alle enormi quantità di energia utilizzate per sostenere l’intera catena. Sulla blockchain di Ethereum, ETH, il token nativo, viene utilizzato per pagare le tariffe del gas.
Poiché i token ERC-20 nel portafoglio qui non sono ETH, la persona B probabilmente si renderà presto conto che, per prelevare i fondi (quindi condurre una transazione), avrà bisogno di un piccolo ETH all’interno del portafoglio per pagare la tassa del gas. Nessun problema, vero? Le tariffe del gas possono essere minime, quindi anche solo l’invio di una piccola quantità di ETH non danneggerà.
È su questa piccola quantità di ETH che la persona A, il truffatore originale, ha gli occhi puntati. La persona B, credendo di rubare ancora una criptovaluta dal portafoglio di un utente ingenuo, invierà un piccolo ETH all’indirizzo del portafoglio, pronta a pagare la tassa del gas quando ritirerà l’intera partecipazione.
Ma non appena la Persona B invia una piccola quantità di ETH, viene immediatamente ritirata dalla Persona A e inviata altrove. A questo punto, la persona B è la vittima, poiché è stata truffata dal proprio ETH.
Qual è l’altro tipo di truffa Honeypot?
Mentre le truffe honeypot comportano comunemente interazioni con portafogli dannosi, possono anche comportare l’uso di contratti intelligenti.
I contratti intelligenti sono programmi utilizzati da numerose reti blockchain per facilitare automaticamente le transazioni, eliminando quindi qualsiasi intermediario o terza parte. I contratti intelligenti verranno eseguiti solo quando vengono soddisfatti una serie di parametri predeterminati e possono aumentare l’efficienza complessiva delle blockchain.
Ma questa tecnologia può anche essere sfruttata maliziosamente a scopo di lucro.
In questo scenario, un criminale informatico utilizzerà uno smart contract che sembra facilmente sfruttabile. Forse sembra esserci un bug nel codice o una sorta di backdoor per le criptovalute del contratto. Ancora una volta, un individuo illecito guarderà a questo e vedrà un’opportunità, senza rendersi conto che loro stessi stanno per essere truffati.
Ad esempio, la persona A (l’attaccante) può utilizzare un honeypot di contratti intelligenti per indurre la persona B (la vittima) a pensare di poterne sottrarre fondi. Se la persona B pensa di poter sfruttare questo contratto intelligente, è già nelle mani dell’aggressore.
Per interagire e utilizzare questo contratto intelligente, la persona B deve prima aggiungere parte del proprio denaro. Di solito, questo non è un importo molto elevato, quindi la persona B potrebbe non pensarci. Ma, come nel caso del primo esempio di honeypot usato qui, la persona A, l’aggressore, è alla ricerca di questo piccolo trasferimento.
Una volta che la persona B invia questa piccola partecipazione, probabilmente verrà automaticamente bloccata all’interno del contratto. A questo punto, solo il creatore dello smart contract, la Persona A, può spostare i fondi. Ora, la persona B è stata derubata dei suoi soldi ed è quindi caduta vittima dell’honeypot.
Come evitare le truffe di Crypto Honeypot
Per tenere te stesso e i tuoi fondi lontani dalle truffe di criptovalute, la cosa migliore da fare è comportarti in modo etico come trader e investitore di criptovalute. Per quanto allettante possa essere afferrare un piatto vulnerabile di criptovalute, questo è un furto e, se si scopre che non c’è un honeypot, probabilmente stai prendendo i soldi di un altro commerciante innocuo.
Nel caso degli honeypot a contratto intelligente, potresti semplicemente pensare che stai sfruttando l’errore di qualcun altro per realizzare legalmente un profitto. Tuttavia, vale la pena notare che nel settore delle criptovalute, proprio come ovunque, se qualcosa sembra troppo bello per essere vero, probabilmente lo è.
Gli honeypot crittografici sfruttano l’avidità crittografica
Molte truffe finanziarie là fuori oggi si basano sul desiderio di denaro delle vittime, e il caso non è diverso per i crypto honeypot. Questi exploit prendono di mira gli utenti che sono felici di piegare o infrangere totalmente le regole per realizzare un profitto. Quindi, rimani dritto e stretto nei tuoi rapporti con le criptovalute, poiché potrebbe esserci un criminale informatico là fuori che aspetta che tu sbagli.