Anatomia dell'hack della balena del Venus Protocol

All'inizio di questa settimana, il crypto whale Kuan Sun ha condiviso sul suo account X la sua esperienza dettagliata di essere stato preso di mira da un sofisticato attacco di phishing.

Questa storia rappresenta un severo avvertimento per tutti gli investitori, poiché ha perso e poi recuperato 13,5 milioni di dollari. Man mano che l'ecosistema degli asset digitali si espande, aumenta anche il rischio di hacking. Come possono gli investitori prevenire perdite ingenti?

Un incontro apparentemente innocuo che si è trasformato in un incubo

Un attacco di phishing avvenuto martedì ha derubato Kuan Sun, un utente della piattaforma di lending decentralizzata Venus Protocol, delle sue criptovalute. Tuttavia, grazie alla rapida risposta e collaborazione del team di Venus Protocol, è riuscito a recuperare i fondi rubati.

L'attacco elaborato è iniziato nell'aprile 2025 alla Hong Kong Wanxiang Conference. Lì, un amico comune ha presentato Sun a una persona che affermava di essere un rappresentante per lo sviluppo business di Stack in Asia. Questo tipo di networking è comune nel settore crypto, e si sono aggiunti reciprocamente su Telegram.

Il 29 agosto, il cosiddetto “BD” ha richiesto una semplice riunione su Zoom. Sun si è collegato in ritardo e ha notato che nella stanza non c'era audio.

Un messaggio pop-up sulla sua pagina web diceva: “Il tuo microfono necessita di un aggiornamento.” Confuso, Sun ha cliccato sul pulsante di aggiornamento—un errore fatale che ha fatto scattare la trappola.

Successivamente, Sun si è reso conto che gli hacker non stavano agendo d'impulso. Ha dichiarato che l'attacco, altamente personalizzato, era in corso dal lunedì e lo prendeva di mira specificamente.

Dopo “l’aggiornamento”, ha iniziato a vedere strani messaggi sul suo computer. Il browser Chrome si chiudeva in modo anomalo e compariva il messaggio “Ripristinare le schede?”

Non sospettando nulla, Sun ha continuato la sua routine e ha effettuato l’accesso a Venus Protocol tramite il browser. Lì ha proceduto con un prelievo, un’operazione che aveva già eseguito innumerevoli volte.

Poco dopo, il suo computer ha iniziato a rallentare, il suo account Google è stato disconnesso da Chrome e sono apparse transazioni strane e sconosciute nel suo wallet. Ha capito immediatamente che qualcosa non andava.

L’analisi suggerisce che gli hacker abbiano sostituito la sua estensione Rabby wallet, usata frequentemente, con un programma malevolo. Questa tattica è spesso utilizzata da Lazarus, il famigerato gruppo di hacker nordcoreano.

Dopo aver ottenuto l’autorizzazione al wallet, hanno rapidamente trasferito vari token, tra cui vUSDC, vETH, vWBETH e vBNB.

Un rapido recupero e lezioni chiave

Sun ha agito rapidamente contattando le società di sicurezza blockchain Peckshield e Slowmist per ricevere indicazioni. Si è anche rivolto al team di Venus Protocol per chiedere aiuto.

Di conseguenza, Venus Protocol ha immediatamente sospeso la piattaforma come misura preventiva e ha avviato un’indagine.

Successivamente, hanno avviato una votazione di governance d’emergenza per forzare la liquidazione del wallet dell’attaccante, consentendo a Sun di recuperare con successo i suoi 13,5 milioni di dollari.

Giovedì, Sun ha condiviso la sua storia e le sue principali lezioni apprese. Ha avvertito che gli hacker nordcoreani stanno utilizzando sempre più una combinazione di ingegneria sociale, deepfake e trojan.

Di conseguenza, ciò che sembra una videoconferenza legittima o un normale account Twitter potrebbe essere completamente falso.

Ha consigliato specificamente agli utenti di evitare link Zoom provenienti da altri e di scaricare plugin solo da canali ufficiali. Ha inoltre esortato a non cliccare mai su link di “aggiornamento” che appaiono in finestre pop-up.

Sun ha espresso la sua gratitudine al team di Venus per la rapidità nell’evitare ulteriori danni. Ha invitato tutti a “diffidare sempre di qualsiasi richiesta ricevuta nella vita quotidiana e a rispondere sempre con calma.”