Identità rubate e truffe: se il co-fondatore di Ethereum non è al sicuro, chi lo è?

LaneAxis ha scoperto e rivelato un sofisticato tentativo di frode mirato al fondatore del ConsenSys, Joseph Lubin

Quando la violazione dei dati di Equifax si è verificata nel settembre 2017, il cripto guru e co-fondatore di Ethereum Joseph Lubin ha criticato rapidamente la mala gestione societaria e la monetizzazione dei dati degli utenti, incrementando la sua richiesta di maggiore sicurezza digitale attraverso reti decentralizzate.

Lubin ha sottolineato l’importanza di proteggere le nostre identità online ed ha affermato in “There is another way: The Equifax Hack and the Road to Decentralization”:

“Nonostante tutti gli attacchi, il tempo e le risorse utilizzate dalle agenzie governative per salvaguardare le identità, come è possibile che i regolatori non siano ancora entusiasti della blockchain di Ethereum? Un protocollo immutabile e trasparente con prodotti in cui ogni individuo possiede tutti gli aspetti della propria identità. Niente più attacchi hacker diffusi.”

Un anno dopo queste dichiarazioni, però, l’identità e il brand di Lubin sono stati attaccati su internet. Il 13 settembre Rick Burnett, CEO e fondatore di LaneAxis, ha ricevuto un messaggio da Lubin via Telegram, nel quale il co-fondatore di Ethereum chiedeva informazioni aggiuntive sulla sua società.


Burnett, che sta attualmente lanciando LaneAxis Virtual Freight Management, non sapeva bene chi fosse Lubin ma si è offerto di parlare con lui e di condividere maggiori informazioni su Laneaxis, sulla sua blockchain e sulla vendita di token.

Dopo una breve chiacchierata, Lubin ha affermato che avrebbe rielaborato tutte le informazioni e si sarebbe preso un paio di giorni per esaminare la piattaforma.

Burnett, curioso del misterioso potenziale investitore, ha deciso di cercarlo su Google ed ha scoperto alcune delle sue attività: Co-fondatore di Ethereum. Fondatore di ConsenSys. Miliardario. Imprenditore.

Le notizie di Google su Lubin sono un flusso quasi costante di storie che lo vedono investire in startup basate su blockchain o offrire consigli saggi sul futuro delle criptovalute.

Burnett è rimasto stordito all’idea di fare affari con lui. Le aziende partner di ConsenSys spesso vendono i propri token entro pochi minuti dal ricevimento del sostegno di Lubin.

Il team LaneAxis è andato subito alla ricerca di Lubin e ConsenSys. La prima mossa è stata verificare che i messaggi di Telegram provenissero effettivamente dal co-fondatore di Ethereum.

Telegram è la piattaforma di comunicazione preferita della comunità criptovalutaria grazie alla sua capacità di crittografare i messaggi e alle sue solide funzionalità di chat di gruppo. L’app consente la creazione di nomi utente pubblici, e permette agli utenti della piattaforma di contattare chiunque abbia creato uno username.

Come qualsiasi altra rete, i nomi utente devono essere unici e i nomi personali sono raramente disponibili. Tuttavia, Telegram offre agli utenti una «identità online» per proteggere il nome utente se lo stesso viene utilizzato per almeno altri due account social (Facebook, Twitter, Instagram).

Il nome Telegram di Lubin è @ethereumJoseph. Il suo handle Twitter verificato è anche @ethereumJoseph. Sulla base del suo Twitter, Burnett e il team hanno concluso che quello di Telegram era davvero il vero Lubin.

Nel corso della settimana successiva, Burnett ha inviato messaggi a Lubin ricevendo però risposte brusche quasi stereotipate. Alla fine, il 15 settembre è arrivata un’offerta.

Lubin: “Come posso essere d’aiuto?”

Burnett: “Mi piacerebbe che tu fossi coinvolto a qualsiasi livello tu voglia essere coinvolto. Investitore? ConsenSys? Membro del team, lasciaci fare un comunicato stampa in cui sei coinvolto. Dimmi e io ci sono.”

Lubin: “Che ne dici di una partnership con ConsenSys?”

Burnett: “Sì. come procediamo?”

Lubin: “Ti manderò maggiori informazioni lunedì.”

Il team LaneAxis ha trascorso il resto della settimana a prepararsi per l’accordo e a coordinarsi con Lubin. Quest’ultimo ha inviato un testo tramite la sua email personale, (un indirizzo email non ConsenSys), cosa che ha insospettito Burnett, desideroso però di non perdere l’opportunità di fare affari con Lubin.

Il contratto

Il contratto era incentrato su uno scambio di token. Una volta approvata la due diligence e una volta aver soddisfatto i termini e le condizioni della vendita di token LaneAxis, quest’ultima avrebbe dovuto ricevere il supporto ConsenSys e $2,2 milioni in Ether per $2 milioni dei token AXIS di LaneAxis. Entrambe le società sarebbero state tenute a mantenere il 60% dei token ricevuti come riserve aziendali e il 40% per l’utilizzo.

Burnett ha ricevuto il contratto firmato su carta intestata di ConsenSys con la firma di Lubin. Il team LaneAxis ha celebrato quello che pensava fosse una partnership rivoluzionaria con ConsenSys.

Lubin ha messo in contatto Burnett con James Slazas, responsabile dei mercati dei capitali di ConsenSys, (via Telegram) per eseguire il contratto. Dopo aver ricevuto un testo firmato da Lubin con filigrane, indirizzi e informazioni, Slazas ha fornito i dettagli del trasferimento e ha inviato a Burnett due indirizzi cripto-wallet per lo scambio.

In quel momento è suonata la campanella d’allarme.

“Non abbiamo ancora ricevuto alcun messaggio diretto dagli account ConsenSys. Slazas è stato identificato come l’uomo giusto in ConsenSys per gestire questo tipo di scambio ma tutto è stato realizzato su Telegram e sulla e-mail personale. Le attività di Lubin sono state pioniere dei contratti intelligenti. Comprenderanno la necessità di una conferma ufficiale prima di inviare token a indirizzi di portafoglio sconosciuti”,

ha raccontato Burnett.

Il team LaneAxis ha iniziato a cercare di stabilire un contatto con Lubin su canali verificati. Nessuna risposta dall’e-mail aziendale di Lubin, che era stata copiata via e-mail dall’acquisto a metà settimana. Nessuna risposta da Twitter. Burnett ha successivamente inviato messaggi a Lubin su LinkedIn. Poche ore dopo i rappresentanti del ConsenSys hanno risposto.

Non c’era alcun accordo. LaneAxis non aveva parlato con il vero Joseph Lubin.

Il team era scioccato e frustrato; due settimane sprecate cercando di assicurarsi quello che si è rivelato essere un affare fraudolento. Uno schema da svariati milioni di dollari, che si estendeva fino all’identità di Lubin per impersonare sia lui che la sua compagnia, e forgiava abilmente documenti in esecuzione per suo conto. Burnett aveva identificato la truffa all’ultimo momento e voleva impedire ad altri di cadere vittima di simili stratagemmi.

LaneAxis ha contattato il vero Joseph Lubin e ConsenSys e, una volta messi al corrente, li ha incoraggiati a riprendere il controllo della propria identità online.

ConsenSys ha rilasciato una breve dichiarazione, ma una settimana dopo @ethereumJoseph stava ancora scrivendo a Burnett sul falso accordo e @ethereumJoseph è apparso ancora accanto al vero Twitter di Joseph Lubin sulla prima pagina di una ricerca su Google.

I truffatori avevano quasi tutto ciò di cui avevano bisogno per fingersi Lubin: nome utente, indirizzi, loghi, immagini, orari, telegrammi dei colleghi, firme e documenti legali di Telegram. L’unico omaggio è stato una e-mail «personale».

“Fornire ripetutamente le nostre informazioni personalmente identificabili alle organizzazioni (che di solito traggono profitto da esse) con i data center centralizzati è una definizione di follia. Il modello attuale è malfunzionante e hackerabile. È tempo di riprendere le nostre identità”,

aveva affermato lo stesso Lubin dopo il caso Equifax del 2017.

A qualche settimana dall’accaduto, Lubin deve ancora reclamare il suo Telegram. La sua identità.

ConsenSys non ha intrapreso alcuna azione per rispondere ai tentativi reali, sofisticati e di successo di impersonare sia il loro fondatore che la società. Se uno dei più grandi nomi della sicurezza digitale, in prima linea nella tecnologia emergente di decentralizzazione, può essere soggetto a furto di identità, allora chi è veramente al sicuro?

Decentramento e crittografia non valgono molto se le informazioni vengono gestite con noncuranza in primo luogo.

Burnett ha attribuito principalmente la colpa a Telegram:

“Alla fine, questo è davvero un problema di Telegram. Si tratta di esporre una grande truffa e di impedire ad altri di cadervi in futuro. Ci deve essere un miglior processo di verifica se vogliono mantenere intatta la loro reputazione di leader nella sicurezza della messaggistica e se vogliono mantenere la fiducia della comunità crypto.”

I problemi di Telegram

Telegram non ha risposto alle richieste di LaneAxis relative all’account falso e alle attività fraudolente sulla sua piattaforma. Non sono in realtà mesi particolarmente positivi per la reputazione dei protocolli di sicurezza della piattaforma.

Alla fine di agosto, quest’ultima ha riscontrato un bug che faceva trapelare gli indirizzi IP «privati» dei propri utenti durante le chiamate vocali desktop, sottoponendo gli stessi utenti a potenziali hack. Alla fine di luglio, un altro bug di Telegram ha portato ad un nuovo rilascio degli indirizzi IP privati ​​degli utenti. Nel mese di aprile è stato riferito che potevano essere finiti nel ciclone fino a 70 milioni di account di Telegram.

Le promesse della rivoluzione blockchain

L’attuale rivoluzione blockchain ha grandi promesse da mantenere: distruggere le strutture di potere in tutto il mondo, democratizzare internet spezzando le tenute di società gigantesche sui dati degli utenti e fornire una nuova era nella sicurezza online. I sostenitori della blockchain, come Lubin, hanno annunciato la fine dei furti di identità e degli hack su larga scala, promettendo un’efficacia mai vista prima nel commercio e nella collaborazione globale.

Sulla scia della truffa, Burnett sta chiedendo all’intero settore di rafforzare la sicurezza:

“Spero che tutti i coinvolti prendano seriamente delle misure per migliorare la loro sicurezza online. Joseph e ConsenSys stanno inaugurando nuove epoche di innovazione ed è allarmante vedere qualcuno accedere a molte delle loro informazioni e assumere la loro identità.
È ancora più allarmante quando, dopo essere stati messi al corrente della situazione, non c’è una risposta rapida per rivendicare la propria identità. Come comunità, dobbiamo prendere attivamente il controllo della nostra presenza online e chiedere che le piattaforme come Telegram facciano di meglio”.

Con l’alba dell’internet «trustless» su di noi, non possiamo affidarci esclusivamente alla tecnologia per proteggere le nostre informazioni, come dimostrano gli imitatori di ConsenSys e i sistemi di verifica difettosi di Telegram. Poiché le reti diventano sempre più sicure grazie al decentramento, una verifica corretta e diligente, un attento monitoraggio dei conti e una gestione cosciente delle informazioni da parte degli esseri umani è più importante che mai.

LaneAxis ha scoperto l’attività fraudolenta portando il processo di verifica nelle proprie mani e identificando le vulnerabilità principali nei sistemi affidabili. Dopo aver esaminato attentamente tutte le interazioni con i truffatori, il team di LaneAxis ha scoperto il nome di un sospetto sepolto nei metadati di uno dei contratti.

Burnett ha consegnato segnò l’informazione al Federal Bureau of Investigation (FBI), che ha informato il vero Joseph Lubin. La speranza di Burnett? Che i suoi sforzi impediranno ad altre startup di cadere vittima di truffe simili e incoraggeranno aziende come ConsenSys e Telegram a migliorare i protocolli di sicurezza.

Iscriviti alla newsletter per ricevere le news su Blockchain

Argomenti:

Truffa ICO Blockchain

Condividi questo post:

Commenti:

Identità rubate e truffe: se il co-fondatore di Ethereum non è al sicuro, chi lo è?

Trading online
in
Demo

Fai Trading Online senza rischi con un conto demo gratuito: puoi operare su Forex, Borsa, Indici, Materie prime e Criptovalute.