Truffe hi-tech: come i pirati rubano milioni a chi vuole comprare dei token

3' di lettura

La tecnologia corre molto veloce in questi anni e le novità si susseguono a ritmi serrati, tanto da rendere molto difficile per gli utenti tenersi adeguatamente aggiornati sui rischi che le accompagnano, fornendo terreno fertile per i cybercriminali. Non è un caso che un recente rapporto stilato da Check Point Reasearch, azienda israeliana specializzata in sicurezza, abbia evidenziato una crescita nelle truffe diretta a chi cerca di comprare dei token.

La definizione di token è un po' sfuggente, in quanto è una entità virtuale che può essere usata per moltissimi scopi. Al momento, il suo utilizzo più comune è quello di fungere da “pagherò” per chi vuole sviluppare un servizio, creandoli tramite blockchain. Facendo un esempio pratico, se un'azienda vuole sviluppare un videogioco, può mettere in vendita i token relativi (creati tramite blockchain) e, quando il gioco sarà completato, gli utenti che hanno acquistato i token potranno usarli per pagare servizi, armi, skin e così via. Il rapporto di Check Point Research svela che sono sempre di più le truffe che mirano a vendere i token e far sparire i soldi versati, lasciando ai compratori un pugno di mosche. Un esempio di questo tipo di truffa si è visto alla fine dello scorso anno, quando un'azienda ha dichiarato la sua intenzione di sviluppare un videogioco basato sulla serie di successo “The Squid Game”.

Dal momento che il marchio a cui era teoricamente legata era molto forte, in molti sono corsi a comprare i token da usare nel gioco facendone lievitare il prezzo, ma una volta arrivati a un massimo di oltre 2.000 dollari, gli “sviluppatori” (che in questo caso altro non erano che truffatori) hanno spento tutto e hanno fatto perdere le tracce loro e dei soldi versati con i token, che alla fine avevano un valore nominale di meno di 3 millesimi di dollaro l'uno. Un guadagno netto di milioni di dollari. Una cosa simile è accaduta poche settimane fa con un server Minecraft “privato”.Il motivo per cui è facile che gli utenti cadano in queste trappole dipende dal fatto che nell'immaginario collettivo le blockchain, usate per generare i token, sono associate ad alti livelli di sicurezza, ma questo non è valido a tutto tondo.

I token, infatti, sono generati da quelli che vengono chiamati smart contract, ovvero dei programmi che vengono lanciati automaticamente quando si verificano delle condizioni (nel caso della maggior parte delle truffe, un utente effettua un pagamento e viene inviata una conferma a procedere). Questo attiva la blockchain per la stipula del contratto senza che, però, ne vengano verificate le condizioni. Ai truffatori basta inserire le condizioni “giuste” e la truffa è servita.Secondo il rapporto, le condizioni “capestro” più comuni che consentono di far sparire il denaro sono: istituire una commissione sul venduto pari al 99 o 100%; impedire al compratore di rivendere il token e permettere di farlo solo a chi lo ha generato; piazzare commissione in caso di vendita del 99% in modo che la maggior parte dei ricavi vada a chi genera il token; generare dei token tramite le criptovalute contenute nei wallet di chi vende.

Innanzitutto, il truffatore crea uno smart contract in grado di produrre token fraudolenti, oppure, nel caso non sia capace, usa un servizio disponibile su Internet (sì, i criminali si sono organizzati anche per questo) o modifica uno già disponibile e che si sa essere fraudolento, semplicemente cambiandogli il nome. Poi ne manipola le funzioni per decidere come ruberà i soldi: di solito usa una delle tecniche che abbiamo elencato sopra. A questo punto, lancia una campagna pubblicitaria sui social media generando attesa ed entusiasmo per il prodotto a cui il token viene legato e inizia a venderli. Infine aggiunge un time lock, una funzione che ritarda le attività di acquisto e vendita che vengono usati per evitare alcuni tipi di speculazione e quindi danno una parvenza di serietà all'operazione. Quando il valore dei fondi raccolti raggiunge l'obiettivo che il truffatore si era fissato, elimina il time lock e fugge con i soldi.

Purtroppo non è facile evitare di cadere in queste truffe perché è molto complesso risalire all'operato di uno smart contract. Gli unici accorgimenti da adoperare sono quelli di tenere due wallet separati per le criptovalute e per i token o Nft, e fare ricerche approfondite sulle attività che andiamo a sponsorizzare tramite token. Spesso, infatti, i criminali piazzano dei link fasulli ai primi posti delle pagine dei motori di ricerca e se si usano solo quelli per informarsi, si finisce proprio dove i truffatori vogliono.