I wallet multisignature (multisig) sono uno strumento potente per aumentare la sicurezza crypto. Richiedendo più approvazioni per ogni transazione, proteggono i fondi di DAO, team e famiglie. Tuttavia, questa stessa caratteristica viene sfruttata dai truffatori in modi astuti.
Comprendere come funzionano queste truffe è il primo passo per proteggere i tuoi asset.
Un wallet crypto standard è controllato da una singola chiave privata. Un wallet multisig, invece, richiede firme da più chiavi per autorizzare una transazione.
Per esempio, un wallet potrebbe essere configurato come un "2-of-3" multisig. Questo significa che ci sono tre firmatari autorizzati, ma qualsiasi due di essi devono approvare una transazione prima che i fondi possano essere spostati. Questo design elimina un singolo punto di fallimento; se una chiave viene compromessa, i fondi restano al sicuro. Per questo motivo i multisig sono lo standard per gestire fondi di gruppo e cassaforti aziendali.
I truffatori usano diversi approcci per ingannare gli utenti riguardo ai wallet multisig. Alcuni si basano su impersonificazioni o phishing per persuadere le vittime ad aggiungere gli aggressori come co-firmatari. Altri usano esche più semplici che spingono utenti benintenzionati a inviare fondi per commissioni di transazione. Le truffe possono essere particolarmente diffuse su chain dove la struttura degli account e i modelli di permessi facilitano certi attacchi.
Uno schema comune inizia quando un attaccante condivide pubblicamente una seed phrase o una chiave privata, lasciando intendere che il wallet sia liberamente accessibile. Quando qualcuno importa quell'account può vedere un bilancio di token ma scoprire che il wallet non ha il token nativo necessario per il gas. Lo scammer quindi incoraggia gli osservatori a inviare token nativi per coprire le commissioni. Le vittime che inviano fondi per pagare il gas perdono rapidamente ciò che trasferiscono, perché il wallet è in realtà controllato da una configurazione multisig o mantiene altre restrizioni che impediscono i prelievi.
In attacchi più elaborati, i truffatori persuadono gli utenti a partecipare a una configurazione multisig che appare legittima ma concede all'attaccante privilegi di controllo dietro le quinte. Una volta aggiunto come co-firmatario, l'attaccante può bloccare transazioni, congelare fondi o coordinare un trasferimento che lascia le vittime impossibilitate a recuperare gli asset.
Prevenire le truffe multisig richiede un mix di comportamento prudente e igiene tecnica. Le misure seguenti riducono la probabilità di essere vittima.
Nessun servizio legittimo ti chiederà di condividere la seed phrase o la chiave privata completa. Conserva questi elementi offline in un luogo sicuro e non rivelarli mai a terzi.
Installa wallet ed estensioni solo da fonti verificate e fidate. Controlla due volte le pagine degli app store, i nomi degli editori e gli URL per evitare applicazioni contraffatte o siti di phishing.
Controlla chi ha diritti di firma su qualsiasi wallet multisig che usi. Rimuovi firmatari sconosciuti e revoca i permessi concessi a dApp che non usi più.
I dispositivi hardware mantengono le chiavi private offline e richiedono una conferma fisica per firmare le transazioni. Aggiungono un forte livello di protezione anche se altre parti della tua configurazione sono compromesse.
La two-factor authentication (2FA) sugli account e servizi associati aggiunge una barriera in più contro accessi non autorizzati.
Le tattiche di frode evolvono rapidamente. Segui aggiornamenti di sicurezza affidabili e informati sui nuovi pattern di attacco così da riconoscere richieste o comportamenti sospetti.
Alcune app wallet ora mostrano avvisi quando i fondi sembrano bloccati o quando un indirizzo è soggetto a regole di permesso insolite. Prendi sul serio questi avvisi e indaga prima di inviare token.
I wallet multisig offrono un grande miglioramento di sicurezza se usati correttamente. Tuttavia, non sono immuni all'ingegneria sociale e a truffe sofisticate.
Verifica sempre con chi transazioni, mantieni un controllo rigoroso sulle tue chiavi e diffida profondamente di qualsiasi offerta che coinvolga un wallet condiviso pubblicamente. Restando informato e prudente, puoi sfruttare la potenza della tecnologia multisig senza cadere nelle trappole più comuni.