• Leonardo Trincia

Gli hacker stanno clonando portafogli Web3 come Metamask e Coinbase Wallet per rubare criptovalute

Hackers Are Cloning Web3 Wallets Like Metamask and Coinbase Wallet to Steal Crypto


Confiant, un'agenzia di sicurezza pubblicitaria, ha trovato un gruppo di attività dannose che coinvolgono app di portafoglio distribuite, consentendo agli hacker di rubare seed privati ​​e acquisire i fondi degli utenti tramite portafogli impostori backdoor. Le app vengono distribuite tramite la clonazione di siti legittimi, dando l'impressione che l'utente stia scaricando un'app originale.

Gli hacker stanno diventando sempre più creativi quando progettano attacchi per sfruttare gli utenti di criptovaluta. Confiant, un'azienda che si dedica all'esame della qualità degli annunci e delle minacce alla sicurezza che potrebbero rappresentare per gli utenti di Internet, ha avvertito di un nuovo tipo di attacco che colpisce gli utenti dei popolari portafogli Web3 come Metamask e Coinbase Wallet.


Il grappolo, identificato come "Seaflower", è stato qualificato da Confiant come uno degli attacchi più sofisticati del suo genere. Il rapporto afferma che gli utenti comuni non possono rilevare queste app, poiché sono praticamente identiche alle app originali, ma hanno una base di codice diversa che consente agli hacker di rubare le frasi iniziali dei portafogli, dando loro accesso ai fondi.


Il rapporto ha scoperto che queste app sono distribuite principalmente al di fuori dei normali app store, tramite collegamenti trovati dagli utenti nei motori di ricerca come Baidu. Gli investigatori affermano che il cluster deve essere di origine cinese a causa delle lingue in cui sono scritti i commenti del codice e di altri elementi come l'ubicazione dell'infrastruttura e i servizi utilizzati.


I collegamenti di queste app raggiungono posizioni popolari nei siti di ricerca grazie alla gestione intelligente delle ottimizzazioni SEO, consentendo loro di posizionarsi in alto e ingannando gli utenti facendogli credere di accedere al sito reale. La sofisticatezza in queste app si riduce al modo in cui il codice è nascosto, offuscando gran parte del funzionamento di questo sistema.


L'app backdoor invia frasi seed a una posizione remota nello stesso momento in cui viene costruita, e questo è il principale vettore di attacco per l'impostore Metamask. Per altri portafogli, Seaflower utilizza anche un vettore di attacco molto simile.


Gli esperti hanno inoltre formulato una serie di raccomandazioni quando si tratta di proteggere i portafogli nei dispositivi. Queste applicazioni backdoor vengono distribuite solo al di fuori degli app store, quindi Confiant consiglia agli utenti di provare sempre a installare queste app dagli store ufficiali su Android e iOS.

5 visualizzazioni