Analisi di un noto exchange partendo dal furto di 26 milioni di dollari in criptovalute

Davide Santoro : 11 Aprile 2024 08:00

Il 18 Febbraio è uscita la notizia di un attacco informatico – che sarebbe avvenuto all’inizio di febbraio – alla nota piattaforma di scambio di criptovalute “FixedFloat” e che sarebbe costato circa 26 milioni di dollari riguardando un totale di 409 Bitcoin ed oltre 1.700 Ethereum, notizia in seguito confermata da FixedFloat su X:

Come spesso accade nei grossi furti di criptovalute in molti si sono subito interrogati sull’identità degli autori e sull’affidabilità della piattaforma stessa.

Ovviamente, qualora qualcuna delle aziende, delle società o dei siti tirati in ballo in questo articolo avesse qualcosa da dire, può tranquillamente contattarci anche in forma più privata in modo da aggiornare l’articolo dando risalto alla questione.

eXch, bitcointalk e la strana email

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Come se non bastasse, proprio il 18 Febbraio un altro exchange molto noto ha pubblicato un messaggio inequivocabile sul noto forum bitcointalk dove, tra le altre cose, si riporta lo screen di un’email – inoltrata per conoscenza anche ad un contatto dell’FBI ed ad un certo Palumbo – che sembrerebbe provenire da un certo Justin Allen dell’IRS(Internal Revenue Service) del governo federale degli Stati Uniti per richiedere il supporto della piattaforma nelle indagini.

Nello stesso messaggio l’exchange fornisce un link etherscan ad un wallet Ethereum che risulterebbe coinvolto nell’hack.

Inoltre, sempre nel medesimo post l’utente eXch direttamente riconducibile all’omonimo exchange il 20 Febbraio ha pubblicato il seguente strano update:

In questo aggiornamento da un lato dicono di essere stati contattati dagli hackers autori dell’attacco a FixedFloat, i quali gli avrebbero offerto di fornire informazioni riservate permettendogli così di agire come whistleblower nei confronti di FixedFloat.

Tuttavia, stando all’aggiornamento, i gestori di eXch avrebbero rifiutato l’offerta pur però mantenendo la possibilità di fornire informazioni a non meglio precisati “utenti interessati”.

eXch collaborerà con le forze dell’ordine?

Ovviamente dopo la pubblicazione del messaggio ci sono stati utenti che si sono fatti la monolitica domanda

Chiaramente, viste le varie richieste degli utenti non poteva mancare la risposta dell’exchange che ha dichiarato pubblicamente di non voler collaborare con i federali

eXch sotto attacco di phishing

Il 16 Marzo lo stesso exchange afferma di aver pubblicato un sito relativo ad una complessa vicenda di phishing e scam di cui è stato vittima

All’interno del sito, verosimilmente riconducibile all’exchange si parla dell’utente conosciuto con il nickname “anir0y” che, sfruttando la nota piattaforma dark.fail comunemente utilizzata come directory di siti .onion sarebbe riuscito a far indicizzare il sito swp.cx.

Il sito in questione, stando al report di eXch viene usato dallo scammer per rubare criptovalute.

Lo scammer ha creato anche alcuni repositories su github per diffondere i propri siti insieme ad altri indirizzi .onion legittimi.

eXch: Chi sono?

Pur essendo impossibile determinare chi ci sia effettivamente dietro all’exchange è ovviamente possibile fare delle piccole e veloci analisi con il materiale che abbiamo a disposizione.

Andiamo quindi a fare una veloce e chiaramente non esaustiva analisi grazie al materiale che lo stesso exchange ci mette a disposizione.

Tutti gli strumenti utilizzati sono liberamente accessibili ed opportunamente linkati, tuttavia, si raccomanda sempre di studiare ed approfondire prima di muoversi in questo affascinante mondo.

App Android – Cosa ricaviamo?:

Inanzitutto è bene sottolineare che l’exchange offre un apk caricato su f-droid

Andando a leggere meglio il link possiamo vedere un repository su github:

Qui possiamo vedere subito 2 cose interessanti:

1. Il repository è stato creato da un utente che ha utilizzato il nickname pitonite
2. L’utente raccoglie donazioni per lo sviluppo dell’app ed indica alcuni wallet dove donare

La prima cosa da fare in questi casi è vedere il profilo dell’utente per vedere se ci sono altri repositories

Attualmente sul profilo dell’utente risulta solo questo repository, non ci resta che concentrarci sui wallet di cui sopra ma, prima di vedere come farlo, è necessaria una piccola spiegazione:

Per quanto riguarda l’analisi di un wallet XMR non è possibile farla completa a causa dell’architettura incentrata sulla privacy della criptovaluta stessa, tuttavia, ho voluto mettere lo stesso il wallet su xmrchain a titolo puramente didattico

Analisi wallet

Anche mettendo l’indirizzo su monerohash si ottiene lo stesso – deludente – risultato:

Ora, dopo i risultati scadenti con Monero, non ci resta che passare ad Ethereum dove useremo un servizio già citato nell’articolo, ovvero Etherscan:

Questo è il risultato che ci fornisce etherscan per il wallet in questione

Il wallet attualmente ha 1.283337339524062 ETH corrispondenti a 4.399$ e, dalla sua nascita, sul wallet sono state effettuate 3 transazioni:

1. La prima, risalente a 113 giorni fa, proviene da un indirizzo direttamente riconducibile a eXch riguardante l’accredito di 2.5 ETH
2. La seconda, sempre di 113 giorni fa, è il trasferimento di 1 ETH verso questo wallet che attualmente risulta vuoto ma che ci regalerà una “sorpresa”…
3. La terza, risalente a 101 giorni fa, è il trasferimento di 0.215 ETH verso questo wallet che ha la stessa “sorpresa”…

Ovviamente la “sorpresa” ve la svelerò in seguito, andiamo ora ad analizzare il wallet Bitcoin usando Blockchair:

A prima vista il wallet è vuoto ma noi sappiamo che l’assenza di fondi non significa assenza di transazioni e, quindi, andiamo ad approfondire…

Approfondendo scopriamo che questo wallet tra il 29 Novembre 2023 ed il 17 Febbraio 2024 è stato coinvolto in 4 transazioni(le differenze valutarie tra le transazioni in entrata e quelle in uscita sono ovviamente relative al prezzo dei Bitcoin):

1. La prima transazione proviene in larga parte da questo indirizzo dove attualmente ci sono 34.45313409 BTC pari a 2,256,861.16 dollari e che, in seguito, scopriremo essere l’indirizzo “aggregated pool” di eXch
2. La seconda transazione proviene in larga parte da questo indirizzo che attualmente risulta vuoto

Le transazioni in uscita vi sfido ad approfondirle da soli…

La “sorpresa” Ethereum

Come abbiamo visto quando abbiamo analizzato su etherscan il wallet ETH è emersa una “sorpresa”…

Nelle transazioni Ethereum erano presenti una transazione in entrata dall’exchange eXch e due transazioni in uscita, che andiamo a vedere meglio di seguito:

La prima transazione in uscita ha riguardato un wallet ETH che, come possiamo vedere dall’immagine, appena ricevuti i fondi li ha immediatamente girati nuovamente ad un wallet controllato da eXch:

Attualmente all’interno del wallet controllato da eXch sono presenti 1,101.858927428801797081 ETH per un totale di $3,794,308.37

Anche la seconda transazione in uscita ha riguardato un wallet che ha immediatamente girato gli ETH ricevuti al medesimo wallet riconducibile ad eXch

eXch – Dopo le criptovalute, studiamo meglio il sito

Come spesso accade il sito ha sostanzialmente due domini perfettamente identici:

Il primo in clearnet, raggiungibile da chiunque con qualsiasi browser

Il secondo nel mondo Tor, anch’esso facilmente raggiungibile utilizzando un comunissimo Tor Browser

Sul loro sito dichiarano di avere i seguenti account social:

1. Twitter aperto a dicembre 2014 che attualmente conta 9305 followers
2. Linkedin dove dichiarano di occuparsi di servizi finanziari, di avere 11-50 dipendenti e di essere in attività dal 2014
3. Nostr dove si sono registrati il 10 Dicembre 2023

Inoltre, indicano un interessante link all’explorer di “arkhamintelligence” che li riguarda e da cui si evince che, basandosi sui portafogli noti, attualmente avrebbero sui propri wallet 6,056,122.37$

Nella nostra breve analisi ora andiamo a leggere la loro pagina delle FAQ(Frequently Asked Questions) dove troviamo alcuni spunti interessanti:

Dagli screen pubblicati possiamo dedurre quanto segue:

1. Sono un’exchange totalmente no-KYC(non richiederanno mai documenti o altre certificazioni relative all’identità degli utilizzatori), inoltre seguono una politica no-SoF(Source of Funds, cioè non richiederanno mai prove circa l’origine dei fondi scambiati)
2. Sono una compagnia registrata in Belize, come si può verificare dal sito della Belize Companies & Corporate Affairs Registry
3. Per quanto riguarda i Bitcoin offrono due opzioni: Mixed pool(i Bitcoin provengono da vari portafogli senza nessun controllo) ed Aggregated Pool(i Bitcoin provengono da un portafoglio preimpostato, riconducibile all’exchange in esame)
4. Utilizzano un programma di affiliazione nel quale promettono di condividere il 30% dei loro profitti con gli affiliati

Conclusioni

Come abbiamo visto è possibile effettuare, utilizzando degli strumenti pubblicamente disponibili, delle analisi delle transazioni relative a diverse criptovalute e questo pone le eterne domande di coloro che si avvicinano per la prima volta a questo mondo:

Ma le criptovalute sono anonime? Che cosa significa pseudoanonimato? Sembra tutto così complicato, come faccio a muovere i primi passi in questo mondo?

A queste ed a molte altre domande risponderemo in seguito parlando in maniera più dettagliata delle varie criptovalute, del loro funzionamento e di come, parafrasando Andrew Hunt ed il suo capolavoro “Pragmatic Programmer – Guida per artigiani del software che vogliono diventare maestri”, da semplici artigiani delle criptovalute possiamo, passo passo, diventare maestri.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.