Un exploit di phishing ruba 3 milioni di dollari in USDC da un wallet multi-firma

• Un investitore perde 3 milioni di dollari in un attacco di phishing
• L’exploit ha utilizzato un contratto malevolo mascherato e verificato
• Request Finance conferma l’uso di una versione falsa del contratto

Un investitore in criptovalute ha perso oltre 3 milioni di dollari in stablecoin dopo essere stato vittima di un attacco di phishing altamente sofisticato che ha sfruttato un wallet multisignature. Il caso è stato rivelato l’11 settembre dal ricercatore onchain ZachXBT, che ha osservato come il wallet della vittima sia stato svuotato di 3,047 milioni di USDC.

L’attaccante ha rapidamente convertito i fondi in Ethereum e li ha trasferiti su Tornado Cash, un protocollo di privacy spesso utilizzato per nascondere il movimento di fondi illeciti.

Secondo Yu Xian, fondatore di SlowMist, l’indirizzo compromesso era un Safe multisignature 2-di-4. L’attacco è avvenuto dopo che la vittima ha autorizzato due transazioni consecutive verso un indirizzo fraudolento che imitava quello legittimo. Per aumentare l’efficacia della truffa, l’hacker ha sviluppato un contratto malevolo in cui il primo e l’ultimo carattere dell’indirizzo rispecchiavano quello corretto, rendendo difficile individuare la frode.

Xian ha spiegato che la truffa ha utilizzato la funzione Safe Multi Send, mascherando l’approvazione malevola all’interno di un’autorizzazione apparentemente di routine. “Questa autorizzazione anomala era difficile da rilevare perché non era un’approvazione standard,” ha dichiarato.

Ho analizzato il caso di furto pubblicato da @zachxbt, è interessante, l’indirizzo compromesso è un Safe multisignature 2/4:
0xE7c15D929cdf8c283258daeBF04Fb2D9E403d139

I 3.047.700 USDC rubati sono queste due transazioni, una dopo l’altra:
3M USD
47.700 USDC

Si tratta di un furto tramite autorizzazione, la USDC della vittima… pic.twitter.com/KQPYxGvugP

— Cos(余弦)😶‍🌫️ (@evilcos) 12 settembre 2025

L’indagine di Scam Sniffer ha rivelato che il contratto falso era stato distribuito quasi due settimane prima, già verificato su Etherscan e configurato con funzioni di “pagamento batch” per apparire legittimo. Il giorno dell’attacco, l’autorizzazione è stata eseguita tramite l’interfaccia di Request Finance, dando così all’attaccante accesso ai fondi.

In risposta, Request Finance ha confermato che un attore malevolo aveva distribuito una versione contraffatta del proprio contratto di pagamento. L’azienda ha sottolineato che solo un cliente è stato colpito e che la vulnerabilità è stata corretta.

🚨 Una vittima ha perso 3,047M USDC ieri attraverso un attacco sofisticato che coinvolgeva un falso contratto Request Finance su Safe wallet.

Risultati chiave:
• Il wallet multi-sig Safe 2/4 della vittima mostra transazioni batch tramite l’interfaccia dell’app Request Finance
• Nascosto all’interno: approvazione a un contratto malevolo… pic.twitter.com/U9UNfYNZhv

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 12 settembre 2025

Tuttavia, Scam Sniffer ha avvertito che attacchi di phishing simili possono essere orchestrati attraverso una varietà di vettori, inclusi malware, estensioni compromesse del browser, vulnerabilità nei front-end delle applicazioni o persino attacchi di hijacking DNS. L’uso di contratti apparentemente verificati e indirizzi quasi identici rafforza come gli attaccanti stiano affinando le proprie tattiche per eludere l’attenzione degli utenti di criptovalute.