$3,047 milioni di USDC sottratti in un attacco con contratto falso di Request Finance su Safe

Un recente attacco di phishing ha portato alla perdita di 3,047 milioni di USDC. L’exploit ha preso di mira un portafoglio multisignature Safe, utilizzando un contratto falso di Request Finance. Gli investigatori affermano che gli aggressori hanno pianificato lo schema nei minimi dettagli, eseguendolo in modo da sembrare quasi autorizzato. La vittima utilizzava un portafoglio multisig Safe 2-of-4. Secondo Scam Sniffer, la transazione appariva elaborata tramite l’interfaccia dell’app Request Finance, ma all’interno della richiesta batch era nascosta l’approvazione di un contratto malevolo.

L’indirizzo del contratto falso era quasi identico a quello legittimo, con differenze minime nei caratteri centrali. Entrambi iniziavano e terminavano con gli stessi caratteri, rendendo difficile notare la differenza a colpo d’occhio. Per aumentarne la credibilità, gli aggressori hanno persino verificato il contratto malevolo su Etherscan. Questo passaggio extra lo faceva sembrare autentico a chiunque lo esaminasse superficialmente. Una volta concessa l’approvazione, gli attaccanti hanno immediatamente prosciugato 3,047 milioni di USDC. I fondi rubati sono stati poi convertiti in ETH e trasferiti rapidamente su Tornado Cash, rendendone complessa la tracciabilità.

Una tempistica attentamente pianificata

La sequenza dell’attacco mostra una preparazione accurata. Tredici giorni prima del furto, gli aggressori hanno distribuito il contratto falso di Request Finance, effettuando più transazioni “batchPayments” per far sembrare il contratto attivo e affidabile. Quando la vittima vi ha interagito, il contratto appariva già con una cronologia d’uso normale. Durante l’utilizzo dell’app Request Finance, gli aggressori hanno inserito l’approvazione nascosta all’interno della transazione batch. Una volta firmata la transazione, l’exploit è stato completato.

La risposta di Request Finance

Request Finance ha riconosciuto l’incidente e diffuso un comunicato per avvisare gli utenti. La società ha confermato che un attore malevolo aveva distribuito un clone del suo contratto Batch Payment. Secondo la dichiarazione, è stato colpito un solo cliente. La vulnerabilità è stata corretta, ma il metodo esatto utilizzato per inserire l’approvazione malevola resta poco chiaro. Gli analisti ipotizzano diversi possibili vettori d’attacco: una vulnerabilità nell’app stessa, malware o estensioni del browser che modificano le transazioni, oppure un frontend compromesso o un DNS hijack. Non si possono escludere altre forme di injection del codice.

Preoccupazioni per la sicurezza

Il caso evidenzia la crescente sofisticazione delle truffe nel settore crypto. Gli attaccanti non si affidano più a semplici link di phishing o a trucchi evidenti. Distribuiscono invece contratti verificati, imitano servizi reali e nascondono azioni malevole all’interno di transazioni complesse. Le transazioni batch, pensate per semplificare i pagamenti, possono creare opportunità per gli aggressori. Raggruppando più azioni, infatti, diventa più difficile per gli utenti verificare ogni singola approvazione o trasferimento. Questa opacità consente agli attaccanti di inserire operazioni fraudolente senza essere scoperti fino a quando è troppo tardi.

Lezioni per la comunità

Gli esperti sottolineano la necessità di estrema cautela nell’utilizzo del multi-send o delle funzioni di pagamento batch. Ogni approvazione di contratto dovrebbe essere controllata carattere per carattere per evitare confusioni con indirizzi simili. Anche un dettaglio trascurato può causare perdite enormi, come dimostra questo caso. Le società di sicurezza raccomandano inoltre di ridurre al minimo l’uso di estensioni del browser e di verificare le app non certificate collegate ai wallet.

Mantenere il software aggiornato, utilizzare hardware wallet per le approvazioni e controllare gli indirizzi dei contratti tramite fonti affidabili sono misure che possono ridurre il rischio di exploit. L’incidente ricorda l’importanza di rafforzare le protezioni per gli utenti delle piattaforme: avvisi più chiari, segnalazioni automatiche di contratti sospetti e maggiore trasparenza nelle transazioni potrebbero prevenire attacchi simili.

Un costoso promemoria

La perdita di 3,047 milioni di USD Coin è un ulteriore promemoria dell’elevata posta in gioco nella finanza decentralizzata. Sebbene Safe e Request Finance restino strumenti popolari, gli attaccanti stanno sfruttando sempre più la loro complessità. Per gli utenti, la cautela resta l’unica vera difesa. In questo caso, gli aggressori hanno puntato su sottigliezza, preparazione e un convincente falso. Purtroppo, tanto è bastato per ingannare persino una configurazione multisig e ottenere accesso ai fondi. L’incidente dimostra che, nel mondo crypto, ogni click e ogni approvazione contano.