Axie Infinity, rubati 600 milioni di dollari (veri) al videogioco


ENGLISH VERSION

Axie Infinity, rubati 600 milioni di dollari (veri) al videogioco

di Carlo Terzano

Ronin, la blockchain alla base di Axie Infinity, il popolare videogioco basato su Nft, ha annunciato ieri di avere subito un attacco informatico nel quale sono stati rubati 600 milioni di dollari in criptovalute
L’ultimo videogioco a essere vittima di un serio attacco hacker era stato, all’inizio di quest’anno, Fifa 2022, sviluppato da Ea Sport, ramo di Electronics Arts, colosso statunitense che produce e distribuisce alcuni dei più noti blockbuster del mondo dei videogames, tra cui appunto la trasposizione virtuale del campionato calcistico. La truffa, corsa lungo codici binari, era però vecchio stile: gli hacker avevano contattato via chat il servizio assistenza per convincere gli operatori a cambiare le email associate agli account, semplicemente fornendo il gamer tag o il psn id, gli identificativi online degli utenti. Sorprendentemente le loro richieste erano state esaudite senza che venissero chieste loro altre informazioni di verifica: inutile dire che, una volta ottenuto l’accesso ai profili di ignari internauti, i cybercriminali avevano svuotato i conti digitali delle vittime.
Non è invece ancora chiara la dinamica del maxi furto digitale ai danni del videogioco basato sugli NFT Axie Infinity, che ha permesso a ignoti cybercriminali di impadronirsi di un bottino di tutto rispetto: 173.600 Ethereum pari a, centesimo più, centesimo meno, 623 milioni di dollari.
Potrebbe essere un record, nella storia delle cyber truffe.
COS’È ACCADUTO
Laconico il comunicato della piattaforma di blockchain collegata a Ethereum per il videogioco Axie Infinity, Ronin Network: “Abbiamo scoperto, il 23 Marzo, che i nodi di convalida Ronin gi Sky Mavis ed Axie DAO sono stati compromessi, e sono stati rubati 173.600 Ethereum e 25,5 milioni di USDC in due diverse transazioni”.
Nonostante la blockchain e i sistemi di sicurezza, la società ha scoperto l’attacco solo nel momento in cui un utente ha lamentato di non essere in grado di prelevare Ethereum dal suo conto. E, aspetto ancora più incredibile, non è detto che il denaro abbia lasciato tracce.
COS’È AXIE INFINITY
L’idea alla base di Axie Infinity, sviluppato da Sky Mavis di Trung Nguyen, è tanto semplice quanto geniale e spiega da sé perché sui server di quel videogame vi siano quotidianamente 2,5 milioni di utenti. Di fatto, il concept strizza l’occhio al famosissimo Pokémon di Nintendo: si accudiscono e si potenziano mostriciattoli, molto meno ispirati rispetto a quelli ideati da Satoshi Tajiri, al fine di farli combattere.
Ma il gioco si concentra soprattutto sull’aspetto dell’allevamento, dal momento che, oltre a prendersi cura di loro, è anche possibile incrociarli: ogni mostriciattolo è un NFT, un esemplare unico, che il giocatore può rivendere, in Ethereum, per guadagnarci, almeno nel momento in cui converte il frutto della compravendita in valuta legale.
Di fatto è una speculazione: si prende un mostriciattolo debole a un prezzo basso, si investono ore e soldi sulla sua crescita e si spera di rivenderlo a un prezzo maggiore. E così via.
VIDEOGAMER NEL MIRINO DEGLI HACKER
Secondo un report pubblicato dall’Osservatorio Cyber di Crif, nei primi 6 mesi del 2021, gli alert inviati agli italiani vittime di attacchi informatici sono stati oltre un milione, il 56,3% rispetto al medesimo periodo nel 2020, dove già si era registrato un boom. Ma il dato più preoccupante è che nel 46% del totale si trattava di violazioni ad account per videogiochi.
Secondo uno studio di Akamai che ha come periodo di riferimento il 2020, le violazioni che hanno riguardato applicazioni Web sono risultate in crescita del 340% rispetto al 2019: nel settore del gaming gli attacchi più diffusi e diretti alle applicazioni Web sono i Sql Injection (SQLi) che, con quasi 150 milioni di violazioni, rappresentano il 59,10% del totale.
Un’altra tecnica assai diffusa è la Local file Inclusion (Lfi), con cui si mira a raccogliere informazioni come i file di configurazione per compromettere il server o gli account. Gli hacker prediligono le applicazioni e i servizi basati su linguaggi Asp, Jsp e Php: nel 2020 sono stati effettuati oltre 50 milioni di attacchi di questo tipo, il 23,78% del totale. Sfruttato anche il Cross-site scripting (Xss), che prevede l’inserimento di script dannosi per rubare informazioni riservate o installare malware sui browser.
Ma come mai sempre più gamer finiscono nel mirino degli hacker?
Il perché è presto detto: talvolta scelgono password banali, molto spesso la vittima è un ragazzino o un adulto che gioca su smartphone e non ha l’accortezza di prestare attenzione, anche alle mail e agli sms truffaldini che possono installare sul dispositivo malware e cavalli di Troia. Gli hacker lo sanno bene e, per questo, sempre più cybercriminali vanno all’assalto di prede tutto sommato piccole, ma facili da raggirare, rispetto alla possibilità di penetrare conti in banca e altri sistemi che presentano livelli di protezione maggiore.
Ha fatto storia l’attacco subito dall’asiatico Codashop, portale che consente ai giocatori di acquistare valute virtuali per i loro videogiochi: gli hacker hanno usato lo stratagemma del phishing per rubare indirizzi mail, password, e le informazioni di geolocalizzazione dei giocatori.
COMMENTO: il sistema crittografico RSA, chiave pubblica e chiave privata, è in braghe di tela. E’ alla base della block-chain. Per risolvere il problema degli enormi costi energetici della validazione della block-chain tradizionale, quella di bitcoin per intendersi, detto proof of work, è stato fatto un sistema semplificato in cui solo un ristretto numero di validatori esegue la operazione, il cosiddetto proof of stake. Tale sistema non è sicuro, come dimostra questo articolo.
La block-chain può avere indubbia validità in situazioni particolari, ma quando si parla di finanza non mantiene le promesse. Guarda su questo sito come con la nostra inviolabile crittografia riusciamo a fare una moneta digitale che rispetta i canoni CBDC senza minimamente usare il sistema block-chain.

dollari