Le truffe "zero transfer" stanno diventando sempre più diffuse nell'ecosistema delle criptovalute: nel 2023 sono stati rubati oltre 40 milioni di dollari.
Un truffatore che ha utilizzato un attacco di phishing a trasferimento zero è riuscito a rubare 20 milioni di dollari in Tether USDT il 1° agosto prima di essere inserito nella blacklist dell'emittente della stablecoin Tether.
Secondo un aggiornamento della società di analisi on-chain PeckShield, un truffatore con zero trasferimenti ha rubato 20 milioni di USDT dall'indirizzo della vittima 0x4071...9Cbc. L'indirizzo previsto a cui la vittima aveva pianificato di inviare denaro era 0xa7B4BAC8f0f9692e56750aEFB5f6cB5516E90570; tuttavia, è stato inviato a un indirizzo di phishing: 0xa7Bf48749D2E4aA29e3209879956b9bAa9E90570.
L'indirizzo del portafoglio della vittima ha ricevuto prima 10 milioni di $ da un account Binance. La vittima li ha quindi inviati a un altro indirizzo prima che il truffatore intervenisse. Il truffatore ha quindi inviato un falso trasferimento di token Zero USDT dall'account della vittima all'indirizzo di phishing. Poche ore dopo, la vittima ha inviato 20 milioni di USDT al truffatore, pensando di trasferirli all'indirizzo desiderato.
Il portafoglio è stato immediatamente congelato dall'emittente USDT Tether, il che ha suscitato perplessità per la rapidità dell'azione.
Gli utenti in genere controllano le prime o le ultime cinque cifre di un indirizzo di portafoglio, non l'intero indirizzo, il che li porta a inviare gli asset a un indirizzo di phishing. La vittima viene ingannata e inviata con l'inganno a inviare una transazione per zero token dal proprio portafoglio a un indirizzo che assomiglia a uno a cui ha già inviato token in precedenza.
Ad esempio, se la vittima ha inviato 100 monete a un indirizzo per un deposito di cambio, l'attaccante potrebbe inviare 0 monete dal portafoglio della vittima a un indirizzo che sembra simile ma è controllato dall'attaccante. Dopo aver visualizzato questa transazione nella cronologia delle transazioni, la vittima potrebbe supporre che l'indirizzo visualizzato sia l'indirizzo di deposito corretto e inviare le proprie monete all'indirizzo di phishing.
Le truffe di phishing a trasferimento zero sono diventate piuttosto importanti nell'ecosistema delle criptovalute nell'ultimo anno, con molteplici casi venuti alla luce. Uno dei primi casi di truffa a trasferimento zero si è verificato a dicembre 2022, con oltre 40 milioni di $ di perdite dovute a tali attacchi da allora.