Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Analisi di un noto exchange partendo dal furto di 26 milioni di dollari in criptovalute

Davide Santoro : 11 Aprile 2024 08:00

Il 18 Febbraio è uscita la notizia di un attacco informatico – che sarebbe avvenuto all’inizio di febbraio – alla nota piattaforma di scambio di criptovalute “FixedFloat” e che sarebbe costato circa 26 milioni di dollari riguardando un totale di 409 Bitcoin ed oltre 1.700 Ethereum, notizia in seguito confermata da FixedFloat su X:

Come spesso accade nei grossi furti di criptovalute in molti si sono subito interrogati sull’identità degli autori e sull’affidabilità della piattaforma stessa.

Ovviamente, qualora qualcuna delle aziende, delle società o dei siti tirati in ballo in questo articolo avesse qualcosa da dire, può tranquillamente contattarci anche in forma più privata in modo da aggiornare l’articolo dando risalto alla questione.

eXch, bitcointalk e la strana email

FINO AL 31 DICEMBRE, sconti estremi sui corsi Red Hot Cyber

Affrettati!

Fino al 31 dicembre potrai acquistare a prezzi scontati i nostri corsi cliccando sui seguenti coupon:

  • NIS2 : Network and Information system 2 scontato del 25%
  • Dark Web & Cyber Threat Intelligence scontato del 50%

  • Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Come se non bastasse, proprio il 18 Febbraio un altro exchange molto noto ha pubblicato un messaggio inequivocabile sul noto forum bitcointalk dove, tra le altre cose, si riporta lo screen di un’email – inoltrata per conoscenza anche ad un contatto dell’FBI ed ad un certo Palumbo – che sembrerebbe provenire da un certo Justin Allen dell’IRS(Internal Revenue Service) del governo federale degli Stati Uniti per richiedere il supporto della piattaforma nelle indagini.

    Nello stesso messaggio l’exchange fornisce un link etherscan ad un wallet Ethereum che risulterebbe coinvolto nell’hack.

    Inoltre, sempre nel medesimo post l’utente eXch direttamente riconducibile all’omonimo exchange il 20 Febbraio ha pubblicato il seguente strano update:

    In questo aggiornamento da un lato dicono di essere stati contattati dagli hackers autori dell’attacco a FixedFloat, i quali gli avrebbero offerto di fornire informazioni riservate permettendogli così di agire come whistleblower nei confronti di FixedFloat.

    Tuttavia, stando all’aggiornamento, i gestori di eXch avrebbero rifiutato l’offerta pur però mantenendo la possibilità di fornire informazioni a non meglio precisati “utenti interessati”.

    eXch collaborerà con le forze dell’ordine?

    Ovviamente dopo la pubblicazione del messaggio ci sono stati utenti che si sono fatti la monolitica domanda

    Chiaramente, viste le varie richieste degli utenti non poteva mancare la risposta dell’exchange che ha dichiarato pubblicamente di non voler collaborare con i federali

    eXch sotto attacco di phishing

    Il 16 Marzo lo stesso exchange afferma di aver pubblicato un sito relativo ad una complessa vicenda di phishing e scam di cui è stato vittima

    All’interno del sito, verosimilmente riconducibile all’exchange si parla dell’utente conosciuto con il nickname “anir0y” che, sfruttando la nota piattaforma dark.fail comunemente utilizzata come directory di siti .onion sarebbe riuscito a far indicizzare il sito swp.cx.

    Il sito in questione, stando al report di eXch viene usato dallo scammer per rubare criptovalute.

    Lo scammer ha creato anche alcuni repositories su github per diffondere i propri siti insieme ad altri indirizzi .onion legittimi.

    eXch: Chi sono?

    Pur essendo impossibile determinare chi ci sia effettivamente dietro all’exchange è ovviamente possibile fare delle piccole e veloci analisi con il materiale che abbiamo a disposizione.

    Andiamo quindi a fare una veloce e chiaramente non esaustiva analisi grazie al materiale che lo stesso exchange ci mette a disposizione.

    Tutti gli strumenti utilizzati sono liberamente accessibili ed opportunamente linkati, tuttavia, si raccomanda sempre di studiare ed approfondire prima di muoversi in questo affascinante mondo.

    App Android – Cosa ricaviamo?:

    Inanzitutto è bene sottolineare che l’exchange offre un apk caricato su f-droid

    Andando a leggere meglio il link possiamo vedere un repository su github:

    Qui possiamo vedere subito 2 cose interessanti:

    1. Il repository è stato creato da un utente che ha utilizzato il nickname pitonite
    2. L’utente raccoglie donazioni per lo sviluppo dell’app ed indica alcuni wallet dove donare

    La prima cosa da fare in questi casi è vedere il profilo dell’utente per vedere se ci sono altri repositories

    Attualmente sul profilo dell’utente risulta solo questo repository, non ci resta che concentrarci sui wallet di cui sopra ma, prima di vedere come farlo, è necessaria una piccola spiegazione:

    Per quanto riguarda l’analisi di un wallet XMR non è possibile farla completa a causa dell’architettura incentrata sulla privacy della criptovaluta stessa, tuttavia, ho voluto mettere lo stesso il wallet su xmrchain a titolo puramente didattico

    Analisi wallet

    Anche mettendo l’indirizzo su monerohash si ottiene lo stesso – deludente – risultato:

    Ora, dopo i risultati scadenti con Monero, non ci resta che passare ad Ethereum dove useremo un servizio già citato nell’articolo, ovvero Etherscan:

    Questo è il risultato che ci fornisce etherscan per il wallet in questione

    Il wallet attualmente ha 1.283337339524062 ETH corrispondenti a 4.399$ e, dalla sua nascita, sul wallet sono state effettuate 3 transazioni:

    1. La prima, risalente a 113 giorni fa, proviene da un indirizzo direttamente riconducibile a eXch riguardante l’accredito di 2.5 ETH
    2. La seconda, sempre di 113 giorni fa, è il trasferimento di 1 ETH verso questo wallet che attualmente risulta vuoto ma che ci regalerà una “sorpresa”…
    3. La terza, risalente a 101 giorni fa, è il trasferimento di 0.215 ETH verso questo wallet che ha la stessa “sorpresa”…

    Ovviamente la “sorpresa” ve la svelerò in seguito, andiamo ora ad analizzare il wallet Bitcoin usando Blockchair:

    A prima vista il wallet è vuoto ma noi sappiamo che l’assenza di fondi non significa assenza di transazioni e, quindi, andiamo ad approfondire…

    Approfondendo scopriamo che questo wallet tra il 29 Novembre 2023 ed il 17 Febbraio 2024 è stato coinvolto in 4 transazioni(le differenze valutarie tra le transazioni in entrata e quelle in uscita sono ovviamente relative al prezzo dei Bitcoin):

    1. La prima transazione proviene in larga parte da questo indirizzo dove attualmente ci sono 34.45313409 BTC pari a 2,256,861.16 dollari e che, in seguito, scopriremo essere l’indirizzo “aggregated pool” di eXch
    2. La seconda transazione proviene in larga parte da questo indirizzo che attualmente risulta vuoto

    Le transazioni in uscita vi sfido ad approfondirle da soli…

    La “sorpresa” Ethereum

    Come abbiamo visto quando abbiamo analizzato su etherscan il wallet ETH è emersa una “sorpresa”…

    Nelle transazioni Ethereum erano presenti una transazione in entrata dall’exchange eXch e due transazioni in uscita, che andiamo a vedere meglio di seguito:

    La prima transazione in uscita ha riguardato un wallet ETH che, come possiamo vedere dall’immagine, appena ricevuti i fondi li ha immediatamente girati nuovamente ad un wallet controllato da eXch:

    Attualmente all’interno del wallet controllato da eXch sono presenti 1,101.858927428801797081 ETH per un totale di $3,794,308.37

    Anche la seconda transazione in uscita ha riguardato un wallet che ha immediatamente girato gli ETH ricevuti al medesimo wallet riconducibile ad eXch

    eXch – Dopo le criptovalute, studiamo meglio il sito

    Come spesso accade il sito ha sostanzialmente due domini perfettamente identici:

    Il primo in clearnet, raggiungibile da chiunque con qualsiasi browser

    Il secondo nel mondo Tor, anch’esso facilmente raggiungibile utilizzando un comunissimo Tor Browser

    Sul loro sito dichiarano di avere i seguenti account social:

    1. Twitter aperto a dicembre 2014 che attualmente conta 9305 followers
    2. Linkedin dove dichiarano di occuparsi di servizi finanziari, di avere 11-50 dipendenti e di essere in attività dal 2014
    3. Nostr dove si sono registrati il 10 Dicembre 2023

    Inoltre, indicano un interessante link all’explorer di “arkhamintelligence” che li riguarda e da cui si evince che, basandosi sui portafogli noti, attualmente avrebbero sui propri wallet 6,056,122.37$

    Nella nostra breve analisi ora andiamo a leggere la loro pagina delle FAQ(Frequently Asked Questions) dove troviamo alcuni spunti interessanti:

    Dagli screen pubblicati possiamo dedurre quanto segue:

    1. Sono un’exchange totalmente no-KYC(non richiederanno mai documenti o altre certificazioni relative all’identità degli utilizzatori), inoltre seguono una politica no-SoF(Source of Funds, cioè non richiederanno mai prove circa l’origine dei fondi scambiati)
    2. Sono una compagnia registrata in Belize, come si può verificare dal sito della Belize Companies & Corporate Affairs Registry
    3. Per quanto riguarda i Bitcoin offrono due opzioni: Mixed pool(i Bitcoin provengono da vari portafogli senza nessun controllo) ed Aggregated Pool(i Bitcoin provengono da un portafoglio preimpostato, riconducibile all’exchange in esame)
    4. Utilizzano un programma di affiliazione nel quale promettono di condividere il 30% dei loro profitti con gli affiliati

    Conclusioni

    Come abbiamo visto è possibile effettuare, utilizzando degli strumenti pubblicamente disponibili, delle analisi delle transazioni relative a diverse criptovalute e questo pone le eterne domande di coloro che si avvicinano per la prima volta a questo mondo:

    Ma le criptovalute sono anonime? Che cosa significa pseudoanonimato? Sembra tutto così complicato, come faccio a muovere i primi passi in questo mondo?

    A queste ed a molte altre domande risponderemo in seguito parlando in maniera più dettagliata delle varie criptovalute, del loro funzionamento e di come, parafrasando Andrew Hunt ed il suo capolavoro “Pragmatic Programmer – Guida per artigiani del software che vogliono diventare maestri”, da semplici artigiani delle criptovalute possiamo, passo passo, diventare maestri.

    Davide Santoro
    Da sempre patito di sicurezza informatica e geopolitica cerca da sempre di unire queste due passioni, ultimamente ho trovato soddisfazione nell’analisi dei gruppi ransomware, si occupa principalmente di crittografia ed è un sostenitore del software libero.