L'aggressore che ha avvelenato gli indirizzi e che presumibilmente ha indotto un utente a inviargli Wrapped Bitcoin (WBTC) per un valore di 68 milioni di dollari, ha rispedito alla vittima Ether (ETH) per un valore di 153.000 dollari in apparente dimostrazione di buona fede. Nella stessa transazione, l'aggressore ha inviato un messaggio accettando di negoziare e chiedendo alla vittima un nome utente Telegram dove poter essere contattato. L'importo restituito rappresenta solo lo 0,225% del totale dei fondi presumibilmente rubati.

I dati blockchain mostrano che il 5 maggio la vittima dell'attacco, il cui account termina con 8fD5, ha inviato tre messaggi a un account che termina con dA6D. Il destinatario del messaggio aveva ricevuto fondi dal conto dell'aggressore, etichettato "FakePhishing327990" su Etherscan, attraverso diversi conti intermedi. Ciò implica che è probabile che dA6D fosse controllato dall'aggressore.

I messaggi lasciavano intendere che la vittima era disposta a dare all'aggressore il 10% dei fondi come taglia e ad astenersi dal perseguire legalmente se avesse restituito il restante 90%. La vittima ha dichiarato:

“Sappiamo entrambi che non c'è modo di ripulire questi fondi. Verrai rintracciato. Entrambi comprendiamo anche che la frase "dormi bene" non riguardava le tue qualità morali ed etiche. Tuttavia, gestiamo ufficialmente il tuo diritto al 10%. Rimanda indietro il 90%. Hai 24 ore prima delle 10:00 UTC del 6 maggio 2024 per prendere una decisione che cambierà la tua vita, in ogni caso.

Alle 11:37 UTC del 9 maggio, un altro account che termina con 72F1 ha risposto inviando 51 Ether (ETH) (del valore di 153.000 dollari al prezzo di oggi) alla vittima. Anche 72F1 aveva ricevuto fondi da FakePhishing327990 attraverso diversi conti intermedi, il che indica che anche lui era sotto il controllo dell'aggressore.

Nella transazione che ha inviato i 51 ETH, l'aggressore ha anche pubblicato un messaggio con la scritta "Per favore, lascia il tuo telegramma e ti contatterò". Hanno quindi tentato di correggere la loro errata punteggiatura alle 11:43, pubblicando un messaggio aggiuntivo che diceva: "Per favore, lascia il tuo telegramma e ti contatterò [.]"

In risposta, la vittima ha pubblicato un nome utente di Telegram dove può essere contattata.

L'indirizzo della vittima dell'avvelenamento negozia con l'aggressore. Fonte: Etherscan.

La negoziazione è avvenuta dopo che l'aggressore avrebbe indotto la vittima a inviare per errore 1.155 Wrapped Bitcoin (WBTC) (del valore di 68 milioni di dollari all'epoca) sul suo conto, cosa che ha fatto attraverso una transazione di "avvelenamento dell'indirizzo".

I dati blockchain mostrano che alle 09:17 del 3 maggio, l'aggressore ha utilizzato uno smart contract per trasferire 0,05 token dall'account della vittima a quello dell'aggressore. Il token trasferito non aveva alcun nome elencato su Etherscan ed era semplicemente indicato come "ERC-20". In circostanze normali, un utente malintenzionato non può trasferire un token da un altro utente senza il suo consenso. Ma in questo caso, il token aveva un design personalizzato che ne consentiva il trasferimento da un account senza il consenso dell’utente.

Alle 10:31 dello stesso giorno, la vittima ha inviato, apparentemente per errore, 1.155 WBTC a questo indirizzo. L'indirizzo potrebbe sembrare simile a quello utilizzato dalla vittima per depositare fondi in un exchange centralizzato o per qualche altro motivo.

Inoltre, la vittima potrebbe aver visto di aver inviato 0,05 token a questo indirizzo in passato e quindi presumere che fosse sicuro. Tuttavia, i token da 0,05 sono stati inviati dall’aggressore e sembravano provenire solo dalla vittima.

Quando un utente malintenzionato tenta di confondere le vittime inviando loro spam con transazioni che sembrano provenire da loro, ma in realtà provengono dall'aggressore, gli esperti di sicurezza lo chiamano un "attacco di avvelenamento degli indirizzi". Gli esperti raccomandano agli utenti di controllare attentamente l'indirizzo di invio di una transazione prima di confermarla, in modo da evitare errori costosi derivanti da questo tipo di attacchi.

Correlato: Come evitare attacchi di avvelenamento da indirizzi di trasferimento con valore zero