Davide Santoro : 11 Aprile 2024 08:00
Il 18 Febbraio è uscita la notizia di un attacco informatico – che sarebbe avvenuto all’inizio di febbraio – alla nota piattaforma di scambio di criptovalute “FixedFloat” e che sarebbe costato circa 26 milioni di dollari riguardando un totale di 409 Bitcoin ed oltre 1.700 Ethereum, notizia in seguito confermata da FixedFloat su X:
Come spesso accade nei grossi furti di criptovalute in molti si sono subito interrogati sull’identità degli autori e sull’affidabilità della piattaforma stessa.
Ovviamente, qualora qualcuna delle aziende, delle società o dei siti tirati in ballo in questo articolo avesse qualcosa da dire, può tranquillamente contattarci anche in forma più privata in modo da aggiornare l’articolo dando risalto alla questione.
FINO AL 31 DICEMBRE, sconti estremi sui corsi Red Hot Cyber
Affrettati!
Fino al 31 dicembre potrai acquistare a prezzi scontati i nostri corsi cliccando sui seguenti coupon:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Come se non bastasse, proprio il 18 Febbraio un altro exchange molto noto ha pubblicato un messaggio inequivocabile sul noto forum bitcointalk dove, tra le altre cose, si riporta lo screen di un’email – inoltrata per conoscenza anche ad un contatto dell’FBI ed ad un certo Palumbo – che sembrerebbe provenire da un certo Justin Allen dell’IRS(Internal Revenue Service) del governo federale degli Stati Uniti per richiedere il supporto della piattaforma nelle indagini.
Nello stesso messaggio l’exchange fornisce un link etherscan ad un wallet Ethereum che risulterebbe coinvolto nell’hack.
Inoltre, sempre nel medesimo post l’utente eXch direttamente riconducibile all’omonimo exchange il 20 Febbraio ha pubblicato il seguente strano update:
In questo aggiornamento da un lato dicono di essere stati contattati dagli hackers autori dell’attacco a FixedFloat, i quali gli avrebbero offerto di fornire informazioni riservate permettendogli così di agire come whistleblower nei confronti di FixedFloat.
Tuttavia, stando all’aggiornamento, i gestori di eXch avrebbero rifiutato l’offerta pur però mantenendo la possibilità di fornire informazioni a non meglio precisati “utenti interessati”.
Ovviamente dopo la pubblicazione del messaggio ci sono stati utenti che si sono fatti la monolitica domanda
Chiaramente, viste le varie richieste degli utenti non poteva mancare la risposta dell’exchange che ha dichiarato pubblicamente di non voler collaborare con i federali
Il 16 Marzo lo stesso exchange afferma di aver pubblicato un sito relativo ad una complessa vicenda di phishing e scam di cui è stato vittima
All’interno del sito, verosimilmente riconducibile all’exchange si parla dell’utente conosciuto con il nickname “anir0y” che, sfruttando la nota piattaforma dark.fail comunemente utilizzata come directory di siti .onion sarebbe riuscito a far indicizzare il sito swp.cx.
Il sito in questione, stando al report di eXch viene usato dallo scammer per rubare criptovalute.
Lo scammer ha creato anche alcuni repositories su github per diffondere i propri siti insieme ad altri indirizzi .onion legittimi.
Pur essendo impossibile determinare chi ci sia effettivamente dietro all’exchange è ovviamente possibile fare delle piccole e veloci analisi con il materiale che abbiamo a disposizione.
Andiamo quindi a fare una veloce e chiaramente non esaustiva analisi grazie al materiale che lo stesso exchange ci mette a disposizione.
Tutti gli strumenti utilizzati sono liberamente accessibili ed opportunamente linkati, tuttavia, si raccomanda sempre di studiare ed approfondire prima di muoversi in questo affascinante mondo.
Inanzitutto è bene sottolineare che l’exchange offre un apk caricato su f-droid
Andando a leggere meglio il link possiamo vedere un repository su github:
Qui possiamo vedere subito 2 cose interessanti:
La prima cosa da fare in questi casi è vedere il profilo dell’utente per vedere se ci sono altri repositories
Attualmente sul profilo dell’utente risulta solo questo repository, non ci resta che concentrarci sui wallet di cui sopra ma, prima di vedere come farlo, è necessaria una piccola spiegazione:
Per quanto riguarda l’analisi di un wallet XMR non è possibile farla completa a causa dell’architettura incentrata sulla privacy della criptovaluta stessa, tuttavia, ho voluto mettere lo stesso il wallet su xmrchain a titolo puramente didattico
Anche mettendo l’indirizzo su monerohash si ottiene lo stesso – deludente – risultato:
Ora, dopo i risultati scadenti con Monero, non ci resta che passare ad Ethereum dove useremo un servizio già citato nell’articolo, ovvero Etherscan:
Questo è il risultato che ci fornisce etherscan per il wallet in questione
Il wallet attualmente ha 1.283337339524062 ETH corrispondenti a 4.399$ e, dalla sua nascita, sul wallet sono state effettuate 3 transazioni:
Ovviamente la “sorpresa” ve la svelerò in seguito, andiamo ora ad analizzare il wallet Bitcoin usando Blockchair:
A prima vista il wallet è vuoto ma noi sappiamo che l’assenza di fondi non significa assenza di transazioni e, quindi, andiamo ad approfondire…
Approfondendo scopriamo che questo wallet tra il 29 Novembre 2023 ed il 17 Febbraio 2024 è stato coinvolto in 4 transazioni(le differenze valutarie tra le transazioni in entrata e quelle in uscita sono ovviamente relative al prezzo dei Bitcoin):
Le transazioni in uscita vi sfido ad approfondirle da soli…
Come abbiamo visto quando abbiamo analizzato su etherscan il wallet ETH è emersa una “sorpresa”…
Nelle transazioni Ethereum erano presenti una transazione in entrata dall’exchange eXch e due transazioni in uscita, che andiamo a vedere meglio di seguito:
La prima transazione in uscita ha riguardato un wallet ETH che, come possiamo vedere dall’immagine, appena ricevuti i fondi li ha immediatamente girati nuovamente ad un wallet controllato da eXch:
Attualmente all’interno del wallet controllato da eXch sono presenti 1,101.858927428801797081 ETH per un totale di $3,794,308.37
Anche la seconda transazione in uscita ha riguardato un wallet che ha immediatamente girato gli ETH ricevuti al medesimo wallet riconducibile ad eXch
Come spesso accade il sito ha sostanzialmente due domini perfettamente identici:
Il primo in clearnet, raggiungibile da chiunque con qualsiasi browser
Il secondo nel mondo Tor, anch’esso facilmente raggiungibile utilizzando un comunissimo Tor Browser
Sul loro sito dichiarano di avere i seguenti account social:
Inoltre, indicano un interessante link all’explorer di “arkhamintelligence” che li riguarda e da cui si evince che, basandosi sui portafogli noti, attualmente avrebbero sui propri wallet 6,056,122.37$
Nella nostra breve analisi ora andiamo a leggere la loro pagina delle FAQ(Frequently Asked Questions) dove troviamo alcuni spunti interessanti:
Dagli screen pubblicati possiamo dedurre quanto segue:
Come abbiamo visto è possibile effettuare, utilizzando degli strumenti pubblicamente disponibili, delle analisi delle transazioni relative a diverse criptovalute e questo pone le eterne domande di coloro che si avvicinano per la prima volta a questo mondo:
Ma le criptovalute sono anonime? Che cosa significa pseudoanonimato? Sembra tutto così complicato, come faccio a muovere i primi passi in questo mondo?
A queste ed a molte altre domande risponderemo in seguito parlando in maniera più dettagliata delle varie criptovalute, del loro funzionamento e di come, parafrasando Andrew Hunt ed il suo capolavoro “Pragmatic Programmer – Guida per artigiani del software che vogliono diventare maestri”, da semplici artigiani delle criptovalute possiamo, passo passo, diventare maestri.
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009