Create2 sfruttato per rubare 60 mln di dollari in criptovalute

La società di sicurezza blockchain Scam Sniffer ha rilevato un abuso della funzione "Create2" di Ethereum da parte di hacker, con lo scopo bypassare gli avvisi di sicurezza dei wallet e avvelenare gli indirizzi di criptovaluta. Ciò ha portato, in soli sei mesi, al furto di 60 milioni di dollari in criptovaluta ai danni di 99.000 persone. Gli specialisti anti-scam Web3 della società hanno infatti osservato diversi casi di sfruttamento in-the-wild della funzione, con perdite subite che hanno raggiunto fino a 1,6 milioni di dollari per individuo. Create2 è un opcode di Ethereum, introdotto nell’update "Constantinople", che consente la creazione di smart contract sulla blockchain. A differenza dell'opcode “Create” originale, che generava nuovi indirizzi in base all'indirizzo e al nonce del creatore, Create2 permette di calcolare gli indirizzi prima della distribuzione del contratto. Create2 ha introdotto vantaggi, ma anche diversi problemi di sicurezza e nuovi vettori di attacco.

Create2: come funziona l’attacco rilevato da Scam Sniffer

Il rapporto di Scam Sniffer spiega che Create2 può essere abusato per generare nuovi indirizzi di contratto senza cronologia di transazioni dannose o segnalate, aggirando quindi gli avvisi di sicurezza del wallet. Quando una vittima firma una transazione dannosa, l’hacker distribuisce un contratto all'indirizzo pre-calcolato e vi trasferisce le risorse della vittima. Si tratta un processo irreversibile. Recentemente una vittima ha perso 927.000 dollari in GMX dopo essere stata indotta a firmare un contratto di trasferimento che ha inviato le risorse a un indirizzo pre-calcolato. Il secondo tipo di abuso di Create2 consiste nel generare indirizzi simili a quelli legittimi di proprietà del destinatario, inducendo gli utenti a inviare risorse agli hacker, pensando di inviarle a un indirizzo noto. Lo schema, rinominato "address poisoning", consiste nel generare un gran numero di indirizzi e poi scegliere ogni volta quelli che corrispondono alle proprie esigenze di phishing per ingannare obiettivi specifici.

Dall'agosto 2023, Scam Sniffer ha rivelato che sole 11 vittime hanno perso quasi 3 milioni di dollari in criptovalute, con una di esse che ha trasferito 1,6 milioni di dollari a un indirizzo simile a uno a cui aveva inviato denaro di recente. La maggior parte di questi attacchi è passata inosservata, sottraendo silenziosamente milioni di dollari, ma alcuni hanno attirato l'attenzione della comunità. L’agenzia di sicurezza consiglia agli utenti di fare sempre attenzione quando si effettuano transazioni in criptovaluta. Prima di approvare una transazione, è sempre utile controllare attentamente l'indirizzo del destinatario, e non solo i primi e gli ultimi tre o quattro caratteri.