Caos Web3 Colpisce Duro: Milioni Prosciugati in Sole Due Settimane del 2026 – Report

Extropy riporta importanti attacchi crypto a gennaio 2026. Truebit perde 26 milioni di dollari, violazione dei dati Ledger espone gli utenti e gli attacchi di phishing aumentano.

Le prime due settimane del 2026 hanno portato un'ondata di incidenti di sicurezza sulle piattaforme Web3. 

Extropy ha pubblicato il suo rapporto Security Bytes che documenta questi eventi. I risultati dipingono un quadro preoccupante dell'attuale panorama delle minacce.

Secondo il rapporto, gli aggressori hanno continuato le loro operazioni durante le festività. I danni sono variati da exploit multimilionari a sofisticate campagne di phishing.

Truebit Protocol Perde 26 Milioni di Dollari a Causa di un Difetto nel Codice Legacy

Il primo grande incidente dell'anno ha colpito Truebit Protocol l'8 gennaio. Un aggressore ha drenato circa 26 milioni di dollari in quello che Extropy definisce un exploit di "codice zombie".

La vulnerabilità derivava da un overflow di interi negli smart contract legacy. Questi contratti più vecchi mancavano delle protezioni native contro l'overflow di Solidity moderno. L'aggressore ha coniato milioni di token TRU praticamente senza costi.

Una volta creati, i token sono rifluiti nel protocollo. Tutta la liquidità disponibile è scomparsa nel giro di ore. Il prezzo del token TRU è crollato di quasi il 100% in sole 24 ore.

Extropy nota che l'aggressore ha spostato immediatamente 8.535 ETH attraverso Tornado Cash. Le società di sicurezza hanno successivamente collegato il wallet a un precedente exploit di Sparkle Protocol. Questo suggerisce un recidivo che prende di mira specificamente contratti abbandonati.

Il rapporto avverte che i contratti legacy rimangono una vulnerabilità critica. I progetti devono monitorare attivamente o deprecare il vecchio codice.

TMXTribe Assiste al Drenaggio di 1,4 Milioni di Dollari in 36 Ore

Tra il 5 e il 7 gennaio, TMXTribe ha subito un attacco più lento ma altrettanto devastante. Il fork GMX su Arbitrum ha perso 1,4 milioni di dollari in 36 ore continue.

Extropy descrive l'exploit come meccanicamente semplice. Un ciclo coniava token LP, li scambiava con stablecoin, poi eseguiva ripetutamente lo unstaking. I contratti non verificati hanno impedito l'analisi pubblica del difetto esatto.

Ciò che ha preoccupato maggiormente i ricercatori è stata la risposta del team. Secondo il rapporto, gli sviluppatori sono rimasti attivi on-chain durante tutto l'attacco. Hanno distribuito nuovi contratti ed eseguito aggiornamenti durante il drenaggio.

Tuttavia, non hanno mai attivato una funzione di pausa di emergenza. Il team ha invece inviato un messaggio di ricompensa on-chain all'aggressore. Il ladro lo ha ignorato, ha trasferito i fondi su Ethereum e li ha riciclati attraverso Tornado Cash.

Extropy si chiede se questo rappresenti negligenza o qualcosa di peggio. Il rapporto sottolinea che i contratti non verificati servono come segnali di allarme per gli utenti.

I Clienti Ledger Affrontano Rischi per la Sicurezza Fisica

Il 5 gennaio, Ledger ha confermato una violazione dei dati che ha interessato la sua base clienti. La violazione è originata dal processore di pagamento Global-e, non dall'hardware di Ledger.

Nomi dei clienti, indirizzi di spedizione e informazioni di contatto sono stati compromessi. Extropy avverte che questo crea quelli che gli esperti di sicurezza chiamano scenari di "attacco con chiave inglese". Gli aggressori ora possiedono un elenco di proprietari di hardware wallet crypto e le loro posizioni.

Il rapporto nota un'amara ironia. Ledger aveva precedentemente affrontato critiche per aver fatto pagare funzionalità di sicurezza. Ora il loro processore di pagamento ha esposto gli utenti a pericoli fisici senza alcun costo.

Extropy consiglia agli utenti di aspettarsi sofisticati tentativi di phishing. I dati rubati consentono agli aggressori di stabilire una falsa fiducia attraverso comunicazioni personalizzate.

Lettura correlata: Una Panoramica degli Incidenti di Sicurezza che Riguardano gli Hardware Wallet Ledger

La Campagna di Phishing MetaMask Drena 107.000 Dollari

Il ricercatore di sicurezza ZachXBT ha segnalato una sofisticata operazione di phishing rivolta agli utenti MetaMask. La campagna ha drenato oltre 107.000 dollari da centinaia di wallet.

Le vittime hanno ricevuto email professionali che affermavano un aggiornamento obbligatorio per il 2026. I messaggi utilizzavano modelli di marketing legittimi e presentavano un logo MetaMask modificato. Extropy descrive il design della volpe con "cappello da festa" come disarmantemente festoso.

La truffa evitava di chiedere seed phrase. Invece, richiedeva agli utenti di firmare approvazioni di contratti. Questo permetteva agli aggressori di spostare token illimitati dai wallet delle vittime.

Mantenendo i singoli furti sotto i 2.000 dollari, l'operazione ha evitato importanti allerte. Extropy sottolinea che le firme possono essere pericolose quanto le chiavi trapelate.

Il post Caos Web3 Colpisce Duramente: Milioni Drenati in Solo Due Settimane del 2026 – Rapporto è apparso per primo su Live Bitcoin News.