Nel mondo delle criptovalute, le notizie di utenti truffati sono praticamente all’ordine del giorno. Sebbene spesso si parli di “wallet hackerati”, in realtà non è in alcun modo possibile hackerare la. blockchain di Bitcoin e delle altre criptovalute. Quello che generalmente succede è che degli utenti inesperti danno il permesso agli hacker di accedere ai loro wallet, spesso senza rendersene conto. Per chi volesse approfondire il funzionamento della blockchain, nella Coinsider Academy abbiamo pubblicato un approfondimento sul perché Bitcoin non sia hackerabile.
Oggi parliamo di tutte le truffe in cui è possibile incappare, affinché tutti possano riconoscerle e non caderci.
Il finto supporto clienti
IoTrust, la società che produce il famoso hardware wallet D’CENT, ha comunicato a tutti i suoi clienti di fare estrema attenzione in quanto su Telegram è presente un gruppo che si spaccia per il supporto ufficiale D’CENT, nonostante sia totalmente falso.
In questo gruppo, chiamato D’CENT wallet support, sono presenti oltre 13mila utenti. Dalle verifiche effettuate da Coinsider.it, è stato segnalato un ulteriore gruppo di circa 23mila utenti, chiamato D’CENT official. Il fatto che ci siano tanti utenti potrebbe far pensare che i gruppi siano affidabili, invece sono spesso utenti falsi, oppure reali ma aggiunti a loro insaputa tramite dei bot.
Interpellato da Coinsider.it, IoTrust ha rilasciato la seguente dichiarazione:
Si prega di notare che D’CENT non ha e non avrà mai alcun canale Telegram ufficiale per comunicare o raccogliere informazioni e l’unico canale di comunicazione disponibile è l’e-mail ufficiale tramite il sito Web D’CENT. Per informazione, abbiamo già segnalato il problema tramite l’app mobile D’CENT, Twitter e Newsletter, ma vorremmo ribadire il concetto per proteggere le criptovalute dei nostri utenti da siti di phishing o truffa.
Comunicato D’CENT
Il funzionamento della truffa è presto spiegato: gli utenti entrano nel gruppo per cercare un supporto in quanto potrebbero avere qualche problema con il loro wallet. Immediatamente, un amministratore del gruppo invia loro un link chiedendo di risintonizzare il wallet. Nel mondo crypto non esiste alcuna operazione di risintonizzazione, ma un utente alle prime armi potrebbe cascarci. Nel link indicato gli verrà chiesto di inserire la propria seed phrase. Come già ripetuto varie volte, la propria seed phrase non deve mai essere comunicata a nessuno, per nessuna ragione e per nessuna eccezione. Comunicarla equivale a dare totale e illimitato accesso al proprio portafoglio. Una volta ottenuta la seed phrase, i truffatori trasferiscono le criptovalute valute ad un nuovo indirizzo di loro proprietà, e lasciano il truffato con un wallet completamente svuotato.
La copia dei portali DeFi
Esistono tante piattaforme DeFi legittime, come UniSwap e PancakeSwap. Per poterle utilizzare è necessario collegare il proprio wallet firmando una transazione. Nella transazione viene indicato chiaramente cosa potrà fare il portale. Tuttavia, la maggioranza degli utenti non ha le conoscenze necessarie per capire questi dettagli tecnici, e si limita ad approvare la connessione fidandosi del fatto che si sta utilizzando un portale famoso e affidabile.
La truffa in questo caso nasce a valle. Gli hacker creano una copia esatta dei siti DeFi più famosi e condividono i link ovunque possibile. Spesso questi link sono presenti persino su Google. Ricercando ad esempio Uniswap su Google, si rischia di trovare in prima posizione un link sponsorizzato che rimanda ad una copia contraffatta di Uniswap. L’utente che accede a questo portale e firma la transazione di connessione, in realtà sta firmando una transazione con la quale invia il proprio patrimonio ai truffatori.
Gli Airdrop truffa
Quando viene lanciato un nuovo progetto, spesso gli sviluppatori regalano dei token al fine di farsi pubblicità e far parlare del progetto stesso. Questa distribuzione di token viene chiamata airdrop. Nella maggior parte dei casi per potersi qualificare a ricevere l’airdrop è necessario compiere alcune azioni tipo condividere un post su Facebook, retwittare un tweet su Twitter e così via.
Quando si partecipa a questi airdrop bisogna sempre assicurarsi che il progetto sia affidabile e che alle spalle ci sia un team legittimo e non dei truffatori.
In questo tipo di truffa, gli utenti vengono derubati quando provano a vendere i token ricevuti. Nelle truffe più banali, per poter vendere i token è necessario collegarsi ad un sito sconosciuto. Una volta collegato il proprio wallet, si ricade nella stessa truffa descritta nel paragrafo precedente sulle copie dei portali DeFi.
In altri casi, il trading del token viene attivato anche su piattaforme legittime, ma sono le regole di trasferimento del token a truffare gli utenti. Immaginiamo ad esempio di ricevere 50 token di una moneta chiamata Token, del valore di 0,01 BNB l’uno. In questo esempio, assumiamo quindi che Token funzioni sulla BNB Smart Chain. Invogliati dalla possibilità di guadagnare 0,5 BNB, procediamo quindi a vendere i nostri 50 token. Nel contratto del token potrebbe essere stata impostata una tassa di 1 BNB per ogni trasferimento. In questo caso, nel momento in cui vendiamo i nostri 50 Token, non ci accorgiamo che stiamo pagando 1 BNB di commissione al creatore del token stesso.
Il risultato finale sarà che in seguito alla vendita dei token avremo incassato 0,5 BNB, ma avremo anche pagato una tassa di 1 BNB, ritrovandoci quindi in netta perdita.
