Aprendo il mio wallet IOTA questa mattina ho scoperto di essere stato derubato di tutte le monete che conteneva: dei 104 MIOTA presenti in precedenza è rimasta solo l'amara dicitura Balance: 0
e la frustrazione di un grave errore da parte mia che ha consentito ad un anonimo truffatore di prelevare indisturbato tutti i valori. Vi racconto cosa è successo, e come mettervi al riparo
nota: questo articolo fa parte de La Guida Definitiva a Bitcoin. Per una trattazione strutturata del fenomeno "Bitcoin e criptovalute", con approfondimenti e guide pratiche adatte anche ai principianti, raccomandiamo di partire da lì:
Exchange? No, grazie, wallet locale
Come ho raccomandato più volte nelle mie guide, conservo solo una minima parte di monete digitali sugli exchange: quella con la quale faccio trading, ovvero che vendo quando le valute hanno raggiunto un valore molto elevato per poi reinvestire tutto in progetti promettenti che stanno vivendo una fase di bassa. Svolgo questa attività soprattutto come hobby e con poche centinaia di euro, tramite un semplice sistema di ordini limite che ho mostrato in questo articolo:
Il resto del portafoglio di criptovalute è salvato nei wallet locali sul mio PC, di modo che, in caso uno degli exchange che impiego venisse crackato, perderei solo le monete usate per il trading, e non tutti i miei valori
» Leggi anche: Guida completa ai wallet offline: come conservare le criptovalute sul PC e prevenire furti (portafogli Bitcoin, Ethereum, Litecoin)
La scoperta
Apro davvero di rado i wallet locali. Ad eccezione di NAV Coin, che conservo in esecuzione per ottenere gli "interessi" dello staking, consulto tutti gli altri borsellini al più una volta al bimestre
Quando dunque ho aperto il borsellino IOTA per verificare la segnalazione dell'amico Renato C., sono rimasto alquanto sgomento nel constatare che la voce Balance
riportava un valore "zero"
» Leggi anche: [guida] Come comprare IOTA (MIOTA), la criptovaluta del futuro: mercato, prezzo e procedura pratica
Colpa dello snapshot?
Ho dunque iniziato ad indagare, scoprendo che il progetto IOTA aveva eseguito uno snapshot della propria struttura dati (Tangle) qualche settimana prima. Si tratta di un'operazione di manutenzione periodica che azzera il credito visualizzato dai wallet fino a quando non si aggiorna il programma all'ultima versione disponibile per poi effettuare ripetutamente un ciclo di connessione e disconnessione alla rete IOTA
Ho dunque rassicurato Renato: "Non credo te li abbiano rubati, ma probabilmente che tu sia incappato in questo [snapshot]. Ho lo stesso problema anch'io".
Purtroppo, però, l'operazione di connessione/disconnessione che ho eseguito molteplici volte non portava al risultato sperato: il bilancio di IOTA rimaneva a zero.
La scoperta del trasferimento non-autorizzato
Ho allora utilizzato il servizio thetangle.org per esplorare lo stato del mio wallet. Ho così identificato una transazione non-autorizzata, tramite la quale 104.89 MIOTA (la moneta del progetto IOTA) erano stati inviati ad un indirizzo sconosciuto
Cosa fosse successo era chiaro: qualcuno aveva ottenuto il pieno controllo del mio wallet IOTA, ed aveva usato il privilegio per inviare tutti i denari verso un conto esterno e fuori dal mio controllo.
Ho comunque postato su /r/IOTASupport/ per chiedere una conferma che, dopo un attimo di false speranze, è arrivata puntuale: ero stato derubato.
Seed generator truffaldini
Ho dunque iniziato a cercare di capire come fosse stato possibile tutto ciò. È bastato poco per scoprire l'esistenza di una truffa su larga scala legata alla generazione del seed, ovvero la stringa alfanumerica segreta che permette l'accesso alle monete da parte del proprietario.
Detto seed deve essere inserito all'avvio del programma wallet, di modo che il software sia in grado di autenticare l'utente sulla rete IOTA e permettergli l'accesso ai valori.
Alla primissima esecuzione, però, l'utente è chiamato a scegliere il proprio seed tramite un programma esterno
Detto seed deve essere lungo 81 caratteri, e può contenere solo lettere maiuscole dalla A alla Z ed il numero.... 9 (??). Creare questa stringa su PC Windows non è esattamente "immediato": lo si può fare tramite KeePass, ma è comunque necessario un minimo di impegno
Sono così nati alcuni servizi web che consentono di generare per noi il seed in modo rapido e veloce. Uno di questi era iotaseed.io (oggi offline, ma ancora visualizzabile tramite la copia cache di archive.org)
Purtroppo, è emerso che questi generatori di seed archiviavano le stringhe generate, consentendo al loro controllore di accedere indisturbato come se fosse il proprietario. Scioccamente, anch'io l'avevo usato.
L'astuto criminale ha dunque atteso pazientemente per molte settimane che sulle centinaia di wallet generati venissero depositati MIOTA in quantità, per poi sferrare il proprio colpo multi-milionario e svuotare tutti i salvadanai in poche ore. Si stima che il bottino totale ammonti a 4 milioni di dollari.
Che fine hanno fatto i miei IOTA?
Similmente alla maggior parte delle criptovalute oggi in circolazione, anche la rete IOTA consente di ricostruire il flusso completo delle transazioni. In linea di massima sarebbe dunque possibile seguire passo per passo tutte le monete rubate mentre transitano da un wallet all'altro. Il problema è che i truffatori stanno già intorbidendo le acque, separando le monete in innumerevoli wallet diversi (una delle caratteristiche della rete IOTA è che non vi sono commissioni per le transazioni, quindi il tutto è possibile gratuitamente) per poi "mescolare" il contenuto di wallet derubati diversi a ripetizione.
Per far perdere le proprie tracce, il ladro dovrebbe scambiare gli IOTA rubati con una criptovaluta come Monero (XMR), che non permette il tracciamento dei pagamenti
A questo punto potrebbe muovere un po' gli XMR fra vari wallet, per poi riportarli su un'exchange, convertirli in Bitcoin e, infine, monetizzarli in euro o dollari.
L'operazione non è però esente da rischi: nella vendita da IOTA a Monero, in particolare, il ladro dovrebbe utilizzare un'account registrato su un exchange. Account che, come noto, deve essere legato ad un nome e cognome reale al momento della creazione. In questa circostanza, esiste tecnicamente l'occasione per scovarlo.... sempre a meno che non utilizzi un account rubato ed intestato ad un'altra vittima ignara.
Come recuperare gli IOTA rubati
Tutti gli utenti che sono stati derubati possono tentare un paio di operazioni. Prima di iniziare, però, sappiate che la Fondazione IOTA, ovvero il gruppo che supervisiona il progetto, non è materialmente in grado di fare nulla: è inutile riversare messaggi di odio come vedo fare da più parti. La tecnologia è volutamente studiata in modo da non permettere a nessuno di interferire con le transazioni.
Si può dunque tentare la strada legale, ma è improbabile che sortisca qualche risultato. Non che sia "tecnicamente" impossibile, ma agire d'autorità richiede un livello di coordinamento fra molteplici aziende e forze di polizia internazionali, tempo e investimenti che dubito molto qualcuno sarà in grado di attivare.
Ad ogni modo: gli utenti rapinati sono invitati a segnalare la propria situazione tramite il sito iotawalletloss.claims. Un modello potrebbe essere questo:
Hello, my name is [NOME] [COGNOME].
My wallet [INDIRIZZO WALLET] was robbed on [DATA FURTO]. [NUMERO IOTA RUBATI] MIOTA where stolen. Said MIOTA were bought on [NOME EXCHANGE SUL QUALE AVEVAMO ACQUISTATO].
Please keep me informed if there is a way to recover them. Thanks.
Ogni segnalazione verrà resa anonima ed aggiunta a questo registro di vittime.
La stessa segnalazione dovrebbe poi essere inserita sottoforma di post in questo topic sul forum ufficiale di IOTA.
Lezioni da imparare
Al momento in cui sono stato rapinato, un MIOTA valeva circa 1 €. A conti fatti, dunque, ho perso grossomodo un centinaio d'euro, potenzialmente di più se il valore futuro di IOTA tornerà a salire forte come era successo a fine 2017
» Leggi anche: [guida] Come comprare IOTA (MIOTA), la criptovaluta del futuro: mercato, prezzo e procedura pratica
Fa molto male, ma certamente non è la fine del mondo: rinuncerò a sostituire il paio di scarpe da atletica che, di solito, cambio ogni anno ed eccomi rientrato della perdita. A giudicare dai messaggi disponibili in rete, però, a molte persone è andata decisamente peggio, e alcuni hanno perso decine di migliaia di euro: a loro va tutta la mia solidarietà (e, di nuovo, la raccomandazione di investire con prudenza)
» Leggi: Quanto investire in Bitcoin? 100 €, 500 €, 1.000 €? (video)
Nel frattempo, cercherò di imparare una lezione importante: non utilizzerò mai più servizi online per la generazione di alcun tipo di password, ed ho prontamente avviato una scansione antivirus completa di tutto il PC per assicurarmi che non vi siano ospiti indesiderati.
» Leggi anche: Malwarebytes 3.0 messo alla prova da TurboLab.it
L'esito è stato negativo.
Altre truffe e pericoli
Quello dei generatori di seed online è solo una delle tante truffe che orbita attorno al mondo delle criptovalute. Per una trattazione esaustiva in merito e tutte le contromisure per rimanere al sicuro:
» Leggi: 10 truffe su Bitcoin e criptovalute che devi evitare per guadagnare in sicurezza (video)