Un delegato alla governance di MakerDAO è caduto preda di un sofisticato attacco di phishing, che ha portato al furto di token Aave Ethereum Maker (aEthMKR) e Pendle USDe per un valore di 11 milioni di dollari. L'incidente è stato segnalato da Sniffer di truffe nelle prime ore del 23 giugno 2024. La compromissione del delegato prevedeva la firma di più firme fraudolente, che alla fine hanno portato al trasferimento non autorizzato di risorse digitali.
Sfruttamento chiave di MakerDAO Delegate
Gli asset compromessi sono stati rapidamente trasferiti dall'indirizzo del delegato, "0xfb94d3404c1d3d9d6f08f79e58041d5ea95accfa", all'indirizzo del truffatore, "0x739772254924a57428272f429bd55f30eb36bb96", con la transazione confermata in soli 11 secondi. Questo delegato alla governance ha svolto un ruolo cruciale in MakerDAO, una piattaforma di finanza decentralizzata (DeFi) responsabile di importanti processi decisionali.
I delegati alla governance all'interno di MakerDAO sono fondamentali, votando su varie proposte che influenzano lo sviluppo e le operazioni del protocollo. Partecipano a sondaggi e votazioni esecutive che alla fine decidono l’implementazione di nuove misure nel protocollo Maker. In genere, i titolari di token e i delegati MakerDAO avanzano le proposte dai sondaggi iniziali ai voti esecutivi finali, seguiti da un periodo di attesa di sicurezza noto come Governance Security Module (GSM) per garantire stabilità e prevenire cambiamenti improvvisi.
Crescente minaccia di truffe di phishing
Le truffe di phishing sono in aumento: nel dicembre 2023 Cointelegraph ha riferito che i truffatori utilizzano sempre più spesso tattiche di "phishing di approvazione". Queste truffe inducono gli utenti ad autorizzare transazioni che consentono agli aggressori di accedere ai loro portafogli, consentendo loro di rubare fondi. Chainalysis ha notato che tali metodi, spesso utilizzati dai truffatori “macellatori di maiali”, stanno diventando sempre più diffusi.
Le truffe di phishing in genere coinvolgono ingannatori che si atteggiano a entità affidabili per estrarre informazioni sensibili dalle vittime. In questo caso, il delegato alla governance è stato ingannato firmando più firme di phishing, facilitando il furto di beni.
Un rapporto di Scam Sniffer all’inizio del 2024 ha evidenziato che le truffe di phishing hanno comportato la perdita di 300 milioni di dollari da 320,000 utenti solo nel 2023. Uno degli incidenti più gravi documentati ha coinvolto una singola vittima che ha perso 24.05 milioni di dollari a causa di varie tecniche di phishing, tra cui autorizzazione, autorizzazione 2, approvazione e aumento dell'indennità.
Sommario
Questo incidente sottolinea la necessità fondamentale di misure di sicurezza e vigilanza rafforzate all’interno dello spazio DeFi, poiché le tattiche di phishing continuano ad evolversi e comportano rischi significativi per i detentori di risorse digitali.