NFT, perde oltre 600mila dollari: colpa di una truffa sofisticata e della scarsa trasparenza di Metamask

Un collezionista di NFT ha perso oltre 600.000 dollari, grazie ad un ingegnoso attacco di phishing e ad una vulnerabilità della versione iOS di MetaMask poco conosciuta. La storia la racconta Cnet: un grosso investitore nel campo dei cryptocollezionabili è stato più volte contattato da niente poco di meno che Apple.

Il registro delle chiamate in entrata non lascia spazio a dubbi: è proprio l’azienda di Cupertino a chiamare più volte. Tuttavia, insospettito, il collezionista decide comunque di provare a chiamare il numero di telefono e, sorpresa, dall’altra parte della cornetta risponde un centralinista di Apple. Gli spiega che deve verificare la sua identità fornendogli un codice che è stato inviato al suo numero. Insomma, la classica autenticazione a due fattori. Il collezionista obbedisce diligentemente, la chiamata viene interrotta e puff… come per magia il suo intero wallet per la rete Ethereum viene svuotato.

Non c’è più nulla: spariti i suoi tre Mutan Ape Yacht Club, due Gutter Cat e, infine, prosciugati anche i 100.000 dollari in ApeCoin, il nuovo token di YugaLab. Per la cronaca: un solo MAYC vale più o meno come un garage in una zona centrale di una città di medie-grandi dimensioni. Parliamo di un bottino di oltre 600mila dollari.

Ora, le dinamiche sono almeno in parte chiarissime: Apple non c’entra nulla, i criminali probabilmente hanno rubato un vero numero di telefono dell’azienda attraverso una tecnica nota con il nome di spoofing. Il codice inviato al numero della vittima era l’autenticazione a due fattori per entrare nel suo account iCloud. Resta(va) da capire che c’entri iCloud con MetaMask, il wallet non-custodial più utilizzato all’interno dell’ecosistema di Ethereum (e quindi anche degli NFT più in voga).

Come è possibile che dalla compromissione di iCloud si sia passati alla compromissione del wallet? Lo rivelano gli stessi account social di Metamask: la seed phrase – le chiavi del regno che consentono di accedere ad un wallet ed esportarlo su un altro dispositivo – viene salvata di default su iCloud. MetaMask non lo aveva mai detto, eppure è un’informazione fondamentale.

È come se l’app della vostra banca salvasse, in chiaro, il vostro codice cliente e il PIN del vostro conto corrente su iCloud, lasciando queste informazioni alla merce di qualsiasi malintenzionato. Con la differenza che le banche sono assicurate e in caso di frode bancaria possono, in alcuni casi, risarcire la vittima. Ma questo nel mondo delle criptovalute e degli asset decentralizzati non succede: tutti gli NFT rubati al collezionista sono già stati venduti e le transazioni – proprio per design della blockchain di Ethereum – non sono reversibili. Tuttavia MetaMak non è un prodotto ‘senza padroni’, ma è stato creato da un’azienda, la ConsenSys Software Inc. Resta da capire se – in ragione di questa importante omissione -, MetaMask dovrà rispondere o meno del furto.