Dal luglio 2021 al luglio 2022 sono stati rubati token non fungibili (NFT) per un valore di oltre 100 milioni di dollari, con una media di 300 mila dollari per truffa. Lo dice un rapporto della società di analisi di criptovalute Elliptic, secondo cui i criminali hanno rubato preziosi NFT, asset crittografici che conferiscono la proprietà di un oggetto digitale unico, spesso un’opera d’arte virtuale, in vari modi.
“L’NFT più prezioso mai rubato è CryptoPunk #4324, che è stato venduto dai truffatori subito dopo il furto il 13 novembre 2021 per $ 490.000″, riferisce Elliptic. “Nel frattempo, il maggiore furto da parte di una singola vittima ha comportato la perdita di 16 NFT blue chip per un valore di 2,1 milioni di dollari il 28 dicembre 2021. Sottolineando il problema persistente delle truffe, le risorse n. 9650 e n. 5759 nella collezione CloneX sono state rubate due volte nell’arco di tre mesi, in due truffe non correlate, per un valore di circa $ 50.000 in entrambe le occasioni”.
Le truffe con gli NFT
Le truffe di phishing, il tipo più comune, inducono gli utenti a consegnare accidentalmente le credenziali ai loro portafogli di criptovaluta (wallet digitali), con cui un truffatore può avviare una transazione irreversibile e ottenere in questo modo il token non fungibile dell’utente adescato.
A volte ciò può essere fatto tramite un account di social media violato, come quando 3 milioni di dollari NFT dalla collezione Bored Ape Yacht Club di Yuga Labs sono stati rubati dopo un hackeraggio di Instagram , e talvolta può essere attraverso l’occupazione di dominio o la rappresentazione. “È anche noto che i truffatori pagano per pubblicizzare i loro siti sui motori di ricerca”, osserva il rapporto Elliptic, “il che significa che le persone inconsapevoli che cercano la piattaforma NFT impersonata vedranno una serie di link di phishing in cima ai loro risultati di ricerca”.
Tuttavia, ci sono altre truffe più esclusive all’interno dello spazio NFT. Un cavallo di Troia NFT, ad esempio, utilizza le caratteristiche uniche di uno smart contract per creare un token esplosivo: se l’utente lo accetta, può prosciugare immediatamente il proprio account.
Le truffe di scambio, nel frattempo, funzionano abusando del fatto che la contraffazione di un non-fungible token è banale. La semplice creazione di una nuova risorsa digitale con lo stesso nome e immagine di un NFT di alto valore significa che alcuni possono essere ingannati nell’accettare quello che sembra uno scambio “like-for-like”, solo per scoprire che non sono rimasti senza nulla.
Il totale di 100 milioni non include nemmeno il più grande furto relativo a NFT, del valore di 500 milioni, dal videogioco basato su NFT Axie Infinity. Gli hacker, presumibilmente operatori statali nordcoreani, hanno rubato i soldi che i giocatori avevano depositato nel sistema per alimentare l’economia del gioco. Gli hacker, così come il 52% dei truffatori monitorati da Elliptic, si sono rivolti al servizio Tornado Cash per riciclare i propri proventi.
Il servizio, inserito nell’elenco delle sanzioni statunitensi questo mese, “è stato la fonte di $ 137,6 milioni di criptovalute elaborati dai mercati NFT e lo strumento di riciclaggio preferito per il 52% dei proventi delle truffe NFT prima di essere sanzionato dall’Ofac (US Office of Foreign Assets Control) nell’agosto 2022”, afferma Elliptic. “Il suo uso prolifico da parte degli attori delle minacce che interagiscono con le NFT sottolinea ulteriormente la necessità di un efficace monitoraggio delle sanzioni da parte delle piattaforme di NFT”.