Criptomonete,  defi,  How To,  nft

Messaggio di scam per rubare un NFT Crazy Fury

La classica frase che potremmo dire è: “Non subirò mai uno scam per rubare un NFT”. Era quello che pensavo anche io, fino a ieri sera!

Partiamo dall’inizio

Se frequenti questo blog, saprai che un mese fa abbiamo comprato un NFT Crazy Fury di Montemagno.

Oltre ad una serie di benefit aggiuntivi (non molti per chi ha solo un CF come me), la cosa bella è la possibilità di accedere al server Discord dei Crazy Fury.

All’interno, chiaramente, ci sono solo possessori di questo NFT. Attualmente non lo frequento molto, ma ho l’obiettivo di iniziare a bazzicarlo sempre di più per conoscere qualche persona interessante e/o trovare materiale utile per la mia crescita.

Attualmente sto passando molto tempo su Twitter, che è molto più semplice e meno dispersivo.

Tornando a noi, per non essere disturbato da notifiche continue, ho silenziato tutto tranne i messaggi che vengono mandati sul canale “Announcements”, ovvero il luogo dove vengono annunciate tutte le iniziative ufficiali e la roadmap del progetto.

Avevo così (erroneamente) la certezze che qualsiasi notifica avessi ricevuto da Discord sarebbe stata importante e degna di nota.

Lo scam per rubare un NFT delle 19:13

Ore 19:13, ricevo una notifica sul cellulare. Vedo il mittente e l’icona che erano chiaramente quelli del canale Discord e la apro incuriosito, anche perché il testo accennava ad una “promo speciale“.

Il mittente del messaggio provato su Discord
Il mittente del messaggio provato su Discord

Possiamo vedere qui sotto il testo iniziale del messaggio e come fosse davvero allettante.

Ecco il messaggio di scam per rubare un NFT dei Crazy Fury.
Ecco il messaggio di Scam per rubare il mio Crazy Fury

La cosa bella, procedendo nella lettura, è che garantiva un NFT Crazy Fury in omaggio se ne avessi acquistato uno entro un’ora.

Non avevo intenzione di fare acquisti, anzi, spendere soldi non era una cosa che mi passava per la mente.

Però…

Questa non era una spesa. Era un super investimento. Difatti, leggendo possiamo vedere come anche lui (o loro) ce lo facessero capire.

Il giveaway fa parte dello scam per rubare il mio NFT Crazy Fury
Giveaway interessante
Parte del messaggio di scam ricevuto su Discord
Il prezzo è assurdo e giustifica l’investimento

Immediatamente mi sono messo a pensare ai benefici di questa transazione. Spendo 0.08 ETH e ho 0.4 ETH di valore.

Senza fare troppi conti complessi, era chiaro che questa cosa avesse assolutamente senso.

Inizia la fase di acquisto

Così mi butto subito alla ricerca mentale di fondi da poter utilizzare per l’acquisto.

Nel mentre vado sul sito per vedere come sia strutturato e vengo accolto da questa pagina:

La home page dello scam per rubare l'NFT di Crazy Fury
La Home Page dello scam. E’ fatta benissimo.

Sfido chiunque a trovare un difetto a questa pagina, a partire dell’url che è crazyfurynft.com (non lo linko per non rischiare che ci andiate!).

Iniziano i problemi

A questo punto, appena entro mi si apre MetaMask chiedendomi la password di sblocco per poi collegare il wallet al sito.

Come faccio solitamente, lo chiudo per dare un occhio alla pagina e al contenuto.

Ma non avevo dubbi sul fatto che avrei portato a termine la transazione. Leggo un po’, continuo a vedere il contatore che si muove sempre più velocemente verso i 250 e per non rimanere fuori decido di agire.

Apro MetaMask e metto la password di sblocco.

La inserisco sbagliata.

La rimetto, ma per la fretta la inserisco nuovamente sbagliata.

La terza volta la digito con attenzione, sicuro di averla scritta correttamente. D’improvviso, mentre vedo i pallini comparire nella barra di input della password, un dubbio fa breccia in me.

E mi riporta ad un avviso che viene sempre sottolineato, in tutti i progetti: “Utilizzare solo i link ufficiali del progetto”.

Io, onestamente, crazyfurynft.com non lo avevo mai sentito. Così, ad un click dal connettere il wallet (come potete vedere qui sotto), rinsavisco.

Ad un click dallo scam per rubare il mio NFT Crazy Fury, rinsavisco
Ad un click dal disastro

Analizziamo lo scam per rubare un NFT

Vado così nella sezione “Official Links” del Discord di Monty e con mio sommo stupore noto che quel sito proprio non c’è.

A questo punto, andando a ritroso, possiamo vedere tutte le scelte errate che ho fatto e che mi sono (quasi) costate la compromissione dell’account sul wallet MetaMask.

La regola d’oro, in questo caso, è di disabilitare i messaggi diretti da coloro che sono su un mio stesso server.

Togliamo la possibilità di ricevere messaggi da chi è sul nostro server Discord
Togliamo la possibilità di ricevere messaggi da chi è sul nostro server Discord

Difatti il messaggio che avevo ricevuto era proprio un DM da qualcuno, che ovviamente mi aveva targettizzato alla perfezione sapendo che ero dentro quel serve e che possedevo per forza un Crazy Fury.

Questo è stato fatto anche con molti altri utenti, che si sono subito riversati nel canale “scam-alert” per avvisare tutti.

Oltre a spegnere i messaggi diretti, quindi, bisogna sempre frequentare i canali appositi per vedere si ci sono avvisi di scam in corso (cosa che preso dalla fretta e dall’inesperienza non ho fatto).

Un’altra cosa da fare è l’incrocio di dati, ovvero andare su due o più profili social del progetto per vedere se i link e le iniziative coincidono.

In caso positivo, bene, altrimenti c’è qualcosa di strano in corso ed è meglio attendere.

E il linea di massima, come consiglio finale, dubitare sempre di promo strane comunicate in maniera diretta.

Infatti i progetti sani e ben fatti, vogliono ricevere più visibilità possibile, quindi lo pubblicizzano a destra e a manca.

Che risultato ha avuto questo attacco scam ai possessori di Crazy Fury?

Il bello della blockchain è che è tutto pubblico. Sapendo l’indirizzo del wallet di chi ha fatto l’attacco, si può vedere il flusso di transazioni.

Uno degli utenti lo ha fatto ed ha dichiarato:

Ho visionato il wallet, da ieri gli sono arrivati tipo già 10k

Direi un risultato niente male, considerato che è stato rivolto ad un gruppo relativamente ristretto.

Un altro utente ha dichiarato di esserci purtroppo cascato ma di aver collegato l’account dove non aveva il CF, così gli hanno prelevato “solo” il denaro presente.

Concludendo

Fortunatamente mi è andata bene, ma il rischio è stato davvero alto.

Per quanto la blockchain garantisca l’anonimato, ormai essere targettizzati con precisione è sempre più facile.

Se sei in un gruppo Discord di Crazy Fury, hai ovviamente un Crazy Fury e probabilmente sei interessato.

Così come se hai nel wallet un Crypto Punk o una Bored Ape (spiego qui cosa sono). Nessuno sa chi sei, ma tutti sanno quali wallet posseggono quegli NFT.

E gli attacchi di tutti i tipi sono incessanti, considerato il valore altissimo di questi beni digitali non fungibili.

Prima di addentrarsi con investimenti da capogiro, quindi, è fondamentale partire con dei piccolissimi capitali che siamo disposti anche a sacrificare sull’altare dell’esperienza e della formazione.

Perdere un Crazy Fury da 0.2 ETH è un conto, farsi sottrarre una Bored Ape da 100 ETH è tutt’altra storia.

Quindi la parola d’ordine è una sola: Attenzione e diffidenza (lo so, sono tre!).

E tu?

Hai un Crazy Fury o sei stato vittima di uno scam (tentato o riuscito)? Fammelo sapere nei commenti o via mail a info@diventeromilionario.it!

Leave a Reply

Il tuo indirizzo email non sarà pubblicato.