Questa rapina in casa da 4,3 milioni di dollari in crypto mostra come una singola fuga di dati possa mettere a rischio il portafoglio — e la sicurezza — di chiunque

Il piano era abbastanza semplice da funzionare una volta: travestirsi da corrieri, bussare alla porta, entrare con la forza sotto la minaccia di un’arma da fuoco ed estorcere le chiavi private sotto minaccia.

Nel giugno 2024, tre uomini hanno messo in atto questo copione presso un’abitazione nel Regno Unito e sono fuggiti con oltre 4,3 milioni di dollari in criptovalute.

Cinque mesi dopo, la Sheffield Crown Court ha condannato Faris Ali e due complici dopo che la Metropolitan Police aveva recuperato quasi l’intero bottino.

Il caso, documentato dall’investigatore blockchain ZachXBT, ora rappresenta un punto di riferimento per una domanda che il settore ha evitato: come appare la sicurezza operativa quando il tuo patrimonio netto vive in un’estensione del browser e il tuo indirizzo di casa è di pubblico dominio?

La rapina si è svolta nella breve finestra tra una violazione dei dati e la consapevolezza della vittima.

I log delle chat ottenuti da ZachXBT mostrano i responsabili discutere il loro approccio poche ore prima dell’attacco, condividendo fotografie dell’edificio della vittima, confermando di essere posizionati fuori dalla porta e coordinando la loro copertura.

Un’immagine ritrae tutti e tre vestiti con uniformi da corriere. Pochi minuti dopo, hanno bussato. La vittima, aspettandosi un pacco, ha aperto la porta.

Ciò che è seguito è stato un trasferimento forzato verso due indirizzi Ethereum, eseguito sotto costrizione con la presenza di un’arma da fuoco. La maggior parte delle crypto rubate è rimasta inattiva in quei wallet fino all’intervento delle forze dell’ordine.

ZachXBT ha ricostruito l’operazione tramite analisi on-chain e conversazioni Telegram trapelate.

I log delle chat hanno rivelato la pianificazione operativa e un precedente penale: settimane prima della rapina, Faris Ali aveva pubblicato una foto dei suoi documenti di cauzione agli amici su Telegram, rivelando il suo nome legale completo.

Dopo il furto, una parte sconosciuta ha registrato il dominio ENS farisali.eth e inviato un messaggio on-chain, un’accusa pubblica incorporata nel registro di Ethereum.

ZachXBT ha condiviso le sue scoperte con la vittima, che le ha trasmesse alle autorità. Il 10 ottobre 2024, ZachXBT ha pubblicato l’intera indagine e il 18 novembre la Sheffield Crown Court ha emesso le sentenze.

Il caso si inserisce in un modello più ampio segnalato da ZachXBT: un aumento delle invasioni domestiche che prendono di mira possessori di crypto nell’Europa occidentale negli ultimi mesi, a tassi superiori rispetto ad altre regioni.

I vettori variano: SIM swap che fanno trapelare frasi di recupero, attacchi di phishing che espongono i saldi dei wallet e ingegneria sociale che collega i patrimoni alle posizioni fisiche, ma il risultato è sempre lo stesso.

Una volta che un aggressore conferma che un obiettivo detiene un valore significativo e può localizzare la sua residenza, il calcolo si sposta verso la coercizione fisica.

Cosa sfrutta la tattica del “corriere”

Il travestimento da corriere funziona perché sfrutta la fiducia nell’infrastruttura logistica. Aprire la porta a un corriere è un comportamento di routine, non una falla di sicurezza.

I responsabili hanno capito che la parte più difficile di un’invasione domestica è entrare senza far scattare un allarme o provocare la fuga.

Un’uniforme e un pacco forniscono una ragione plausibile per avvicinarsi e aspettare sulla soglia. Quando la porta si apre, l’elemento sorpresa è già in gioco.

Questa tattica non è facilmente scalabile perché richiede presenza fisica, lascia tracce forensi e fallisce se la vittima si rifiuta di aprire la porta, ma aggira ogni livello di sicurezza digitale.

Wallet multi-firma, dispositivi hardware e cold storage non significano nulla quando un aggressore può costringerti a firmare transazioni in tempo reale.

L’anello debole non è la crittografia, ma la persona che detiene le chiavi e vive a un indirizzo fisso che può essere scoperto tramite una violazione dei dati o una ricerca nei registri pubblici.

L’indagine di ZachXBT ha ricondotto l’attacco a una “violazione di dati crypto”, una fuga di informazioni che ha dato ai responsabili l’accesso a dati che collegavano i patrimoni dei wallet a una posizione fisica.

La fonte esatta rimane non specificata, ma la cronologia forense suggerisce che gli aggressori conoscevano sia l’indirizzo della vittima sia il valore approssimativo dei suoi patrimoni prima di arrivare.

La tassa dell’opsec e cosa cambia

Se questo caso diventa un modello, i possessori di crypto ad alto patrimonio dovranno ripensare le loro pratiche di custodia e divulgazione.

La lezione immediata è difensiva: compartimentare i patrimoni, eliminare le informazioni personali dai database pubblici, evitare di discutere i saldi dei wallet sui social media e trattare ogni visita non richiesta come una potenziale minaccia.

Ma queste misure impongono una tassa sulla comodità, sulla trasparenza e sulla possibilità di partecipare al discorso pubblico sulle crypto senza diventare un bersaglio.

La domanda a lungo termine è se il mercato assicurativo interverrà. I fornitori di custodia tradizionali offrono copertura di responsabilità e garanzie di sicurezza fisica, ma l’auto-custodia no, che è uno dei suoi pochi svantaggi.

Se le invasioni domestiche diventano un vettore di attacco prevedibile, ci si può aspettare una domanda per prodotti che esternalizzano la custodia a terze parti assicurate o forniscono servizi di sicurezza privata per chi detiene patrimoni sopra una certa soglia.

Nessuna delle due soluzioni è economica, e entrambe sacrificano la sovranità che l’auto-custodia dovrebbe garantire.

Le violazioni dei dati sono il rischio a monte. Exchange centralizzati, società di analisi blockchain, piattaforme di dichiarazione fiscale e servizi Web3 che richiedono KYC archiviano tutti dati che collegano identità e patrimoni.

Quando questi database vengono violati, e succede regolarmente, creano una lista della spesa per i criminali che possono incrociare i saldi dei wallet con gli indirizzi pubblici.

Il consiglio di ZachXBT di “monitorare le proprie informazioni personali quando sono esposte online” è sensato, ma presuppone che le vittime abbiano gli strumenti e la vigilanza per tracciare le violazioni in tempo reale. La maggior parte non li ha.

L’altro vincolo è la capacità di enforcement. L’indagine di ZachXBT è stata fondamentale in questo caso, ma lui è un attore privato che lavora pro bono.

Le forze dell’ordine nella maggior parte delle giurisdizioni non hanno la capacità forense on-chain per tracciare crypto rubate senza aiuto esterno. La Metropolitan Police ha avuto successo qui in parte perché il lavoro investigativo era già stato svolto.

Cosa c’è in gioco

La domanda più ampia che questo caso solleva è se l’auto-custodia possa rimanere la raccomandazione predefinita per chi detiene un valore significativo.

L’industria crypto ha passato un decennio a sostenere che gli individui dovrebbero controllare le proprie chiavi e che la sovranità sugli asset vale il peso operativo.

Questo argomento regge quando il modello di minaccia è l’insolvenza di un exchange o il sequestro da parte del governo. Si indebolisce quando il modello di minaccia è un uomo in uniforme da corriere con un’arma da fuoco e una lista di indirizzi presi da un database trapelato.

Se i possessori ad alto patrimonio concludono che l’auto-custodia li espone a rischi fisici inaccettabili, sposteranno gli asset su piattaforme istituzionali assicurate e il settore avrà scambiato la decentralizzazione per la sicurezza.

Se restano in auto-custodia ma investono pesantemente in infrastrutture di privacy e sicurezza, la crypto diventa una sottocultura per paranoici e benestanti.

Le sentenze della Sheffield Crown Court chiudono un capitolo. Gli aggressori sono in custodia, la vittima ha riavuto i suoi fondi e ZachXBT ha un altro caso di studio per il suo archivio di crimini crypto.

Ma la vulnerabilità sistemica rimane: finché grandi somme possono essere estorte sotto la minaccia di un’arma in meno di un’ora, e finché le violazioni dei dati continuano a collegare i saldi dei wallet agli indirizzi di casa, nessuna robustezza crittografica potrà proteggere le persone che detengono le chiavi.

L’articolo This $4.3M crypto home invasion shows how a single data leak can put anyone’s wallet — and safety — at risk è apparso per la prima volta su CryptoSlate.