Hacker rubano 145.000 dollari lanciando truffe DeFi non verificate tramite Merkl

Shweta Chakrawarty

about 11 hours ago

Una piattaforma di incentivi, Merkl, è stata sfruttata dagli hacker che hanno creato account falsi, manipolato un prezzo oracolare e prosciugato oltre 145.000 USDC.

Hacker rubano 145.000 dollari lanciando truffe DeFi non verificate tramite Merkl

Sintesi rapida

Il riassunto è generato dall'IA, rivisto dalla redazione.

Gli hacker hanno utilizzato la configurazione aperta di Merkl e il protocollo senza autorizzazione di Eulero per creare un mercato falso.
La truffa consisteva nel manipolare il prezzo di un oracolo per ottenere prestiti ingenti contro garanzie minime.
I depositi USDC delle vittime sono stati presi in prestito, scambiati con ETH e inviati al protocollo di privacy RAILGUN.
L'incidente spinge a chiedere maggiori misure di sicurezza per gli utenti, oltre a chiari avvisi di rischio sulle piattaforme DeFi.

Gli hacker hanno trovato un nuovo modo per colpire gli utenti della finanza decentralizzata (DeFi). Questa volta hanno utilizzato Merkl, una piattaforma all-in-one di incentivi DeFi, per creare campagne false e non verificate, svuotando così i depositi degli utenti. La truffa ha preso di mira gli utenti su Sonic attraverso il protocollo Euler e ha già causato perdite per oltre 145.000 dollari.

Hacker creano campagne fasulle con rendimenti elevati

Secondo l’utente DeFi noto come YAM, un attore malevolo ha sfruttato la struttura aperta di Merkl per creare campagne false che promettevano rendimenti a tripla cifra (APR). La truffa invitava gli utenti a depositare USDC in quella che sembrava una legittima vault di Euler su Sonic. Tuttavia, una volta effettuato il deposito, l’attaccante ha drenato completamente i fondi.

吴说获悉，据 DeFi 玩家 YAM，黑客正在利用一站式 DeFi 协议 Merkl 创建未验证的活动以欺诈用户存款，如近期黑客通过在 Sonic 上创建三位数 APR 激励以诱导用户将 USDC 存入 Euler Vault，然后再抽干所有存款。由于 Euler…
— 吴说区块链 (@wublockchain12) October 29, 2025

Poiché Euler Finance è un protocollo permissionless, chiunque può lanciare nuovi mercati senza necessità di approvazione. L’attaccante ha sfruttato questa caratteristica per creare un mercato falso, utilizzando un token chiamato scUSD come garanzia e USDC come debito. Ha poi manipolato il prezzo dell’oracolo — una fonte di dati chiave nel mondo DeFi — impostandolo a un assurdo valore di 1 milione di dollari per token. In questo modo ha potuto prendere in prestito 700.000 USDC contro un solo scUSD, ottenendo di fatto il pieno controllo dei fondi nella vault.

Come funzionava la truffa

Una volta lanciato il mercato falso, l’attaccante ha avviato su Merkl una campagna non verificata, promuovendo rendimenti estremamente alti per attrarre depositi. Gli utenti che depositavano USDC nella campagna vedevano i loro fondi presi in prestito, convertiti in ETH e successivamente trasferiti al progetto RAILGUN, un protocollo di privacy spesso utilizzato per nascondere le transazioni.

I dati on-chain mostrano che il portafoglio principale dell’operatore era 0x8ba913e…, con i fondi inviati in seguito a 0xa86399… prima di sparire all’interno di RAILGUN. Curiosamente, un utente identificato come 0xc0f8fe… è riuscito a ritirare il proprio deposito prima che l’attaccante lo prosciugasse, probabilmente perché l’hacker non stava monitorando attivamente la vault.

Le reazioni della comunità DeFi

Dopo la scoperta dell’attacco, YAM ha invitato gli utenti a prestare maggiore attenzione quando interagiscono con campagne non verificate su Merkl. Ha inoltre esortato il team di Merkl a rendere più difficile il deposito in queste campagne introducendo avvisi più visibili e stringenti.

Michael Bentley, cofondatore e CEO di Euler Labs, ha confermato che la vault in questione era chiaramente segnalata come non verificata e indicata come rischio di sicurezza. Ha spiegato che il sito web di Euler consente l’accesso alle vault non verificate solo dopo che l’utente attiva manualmente un’opzione che riconosce il rischio. “Stiamo ora bloccando in modo permanente tutti i link a questa specifica vault per impedirne ulteriori utilizzi”, ha aggiunto Bentley.

I membri della comunità hanno anche sollevato dubbi su come gli utenti DeFi possano verificare la legittimità dell’oracolo di un mercato. YAM ha spiegato che gli oracoli forniscono alle app DeFi dati sui prezzi reali e sono spesso gestiti dai curatori del mercato, motivo per cui devono essere configurati con grande attenzione. Anche un piccolo errore, come una cifra decimale sbagliata o un multisig non protetto, può aprire la porta a exploit gravi come questo.

Appelli per una maggiore sicurezza

L’incidente mette in evidenza un problema ricorrente nel mondo DeFi: l’equilibrio tra innovazione permissionless e sicurezza degli utenti. Piattaforme come Merkl ed Euler permettono a chiunque di creare o partecipare liberamente a nuovi mercati, ma questa apertura offre anche spazio d’azione agli attaccanti. Sebbene i progetti segnalino chiaramente le campagne non verificate, il crescente numero di truffe dimostra che gli avvisi da soli potrebbero non bastare.

Gli utenti chiedono ora più barriere di sicurezza, come controlli di verifica obbligatori o conferme aggiuntive, per proteggere i depositi. Attualmente, gli esperti consigliano di interagire solo con campagne verificate e di controllare attentamente i dettagli dei contratti prima di depositare fondi. L’exploit da 145.000 dollari rappresenta un ulteriore promemoria del fatto che, anche nel mondo aperto della DeFi, la cautela resta la migliore difesa.