Aggiornamento del portafoglio MetaMask contro le truffe NFT

L’aggiornamento 10.18.0 di Metamask

MetaMask ha rilasciato la scorsa settimana un nuovo aggiornamento denominato 10.18.0, che include una modifica al modo in cui il software presenta l’autorizzazione “setApprovalForAll” richiesta. La concessione di tale autorizzazione consente infatti al contratto intelligente, ossia al codice che alimenta NFT ed app decentralizzat , la possibilità di accedere e trasferire tutti gli NFT ed i token di un portafoglio.

A seguito dell’aggiornamento a Metamask, come ha notato la società si sicurezza Wallet Guard su Twitter, uno smart contract richiede permessi ben più ampi, incluso l’accesso specifico a tutti i fondi detenuti all’interno del portafoglio, una funzione che diviene indispensabile per effettuare il cosiddetto fenomeno dello “svuotamento dei portafogli”.

Gli screenshot pubblicati nel repository di sviluppo del software GitHub di MetaMask mostrano un nuovo prompt che utilizza un carattere più grande rispetto al resto dell’interfaccia. Il testo di esempio riportato recita: “Concedi il permesso di accedere a tutti i tuoi BAYC?” (ossia gli NFT di Bored Ape Yacht Club), con un’ulteriore e successiva lettura di avvertimento: “Concedendo l’autorizzazione, consentirai al seguente account di accedere ai tuoi fondi“. Decisamente esplicita come richiesta.

L’ingegnere software di MetaMask Alex Donesky ha scritto su GitHub il 22 giugno che “c’è una certa urgenza di ottenere qualcosa che contrasti tali metodi, in quanto sono usati molto frequentemente“. Avrebbe anche aggiunto che “la sequenza temporale è molto ravvicinata” ammettendo che quello non era il modo in cui si sarebbe raggiunto un vero aggiornamento qualora ci fosse stato più tempo per svilupparlo.

Il contesto di sviluppo

In effetti, l’aggiornamento a Metamask arriva a seguito di un’ondata di truffe diffuse principalmente tramite account di social media compromessi. In primavera, gli account verificati di numerosi utenti Twitter sono stati hackerati ed utilizzati per condividere link truffaldini ispirati ad importanti progetti NFT come Azuki e Otherside, e rubare NFT ed altri token degli ignari utenti che inconsapevolmente collegavano i propri portafogli agli smart contract.

Più recentemente, gli account Twitter di vari progetti NFT ed importanti utenti collezionisti sono stati violati per condividere tipi simili di collegamenti fraudolenti, cercando di spacciarli come NFT o token drop gratuiti. Tali truffe hanno avuto luogo anche mediante l’utilizzo di diversi account Discord e Instagram anch’essi compromessi. Il fenomeno ha immediatamente portato ad un dibattito interno alla community sul fatto che i creatori di token digitali ed i relativi progetti dovrebbero essere in grado di risarcire gli utenti che perdono risorse a causa di simili truffe.

L’hack di Premint

All’inizio di questo mese, la piattaforma di registrazione per drop NFT “Premint è stata colpita da un hack al proprio sito Web che utilizzava la già citata funzione “setApprovalForAll” allo scopo di rubare tutta una serie di NFT e token preziosi dagli utenti presi di mira. Alla fine, l’azienda ha tuttavia rimborsato gli utenti colpiti per un valore di oltre 500.000 dollari in ETH ed ha riacquistato e restituito anche un paio di costosi oggetti da collezione NFT.

“L’interfaccia utente per i portafogli più popolari deve essere drasticamente migliorata per rendere quasi impossibile a qualcuno di connettersi ad un prosciugatore di portafogli seriale“, ha dichiarato in seguito il fondatore di Premint Brenden Mulligan la scorsa settimana. “Questo è un problema risolvibile, ma è pazzesco che ad oggi sia così facile prosciugare un portafoglio e non ci siano un maggior numero di avvisi in atto finalizzati a proteggere le persone“.

Considerazioni finali sull’aggiornamento di Metamask

Per essere maggiormente chiari sul tema, l’aggiornamento di MetaMask non esprime alcun giudizio sul contratto a cui gli utenti stanno tentando di connettersi e non richiama specificamente le truffe identificate per tali. Inoltre, ci sono anche molti usi potenzialmente legittimi per la funzione “setApprovalForAll” in alcune dApp, come per quanto concerne i mercati NFT: aspetto che finisce per confonde ulteriormente la decisione dell’utente.

Ad ogni modo, l’aggiornamento di MetaMask potrebbe aiutare a ridurre al minimo l’impatto delle citate truffe. Alcuni collezionisti di NFT che si sono innamorati di tali truffe sui social media sono stati accusati di aver approvato incautamente tali transazioni a causa della FOMO (Fear Of Missing Out, paura di perdersi un affare) e della frenesia speculativa che gravita attorno al mondo degli NFT al giorno d’oggi, ed il passaggio in più previsto dal celebre wallet web potrebbe dare agli utenti una pausa di riflessione in più che rappresenti anche un’opportunità per riconsiderare la potenziale dannosità delle loro azioni.

Vedremo se MetaMask migliorerà ulteriormente questa nuova funzionalità negli aggiornamenti futuri, nonché se i portafogli concorrenti adotteranno tecniche simili per evitare una truffa davvero odiosa. Dopotutto, le truffe non sono certamente limitate ai soli utenti di MetaMask, e nemmeno ai soli token che girano sulla blockchain di Ethereum. Solana, ad esempio, ha una vulnerabilità simile (la funzione signAllTransactions) ed un noto collezionista di NFT ne è infatti caduto vittima in una truffa del tutto identica a quella narrata, utilizzando il portafoglio “Phantom”.

Lo pseudonimo e co-fondatore di MonkeDAO, “Nom”, nei giorni scorsi ha twittato di come il proprio portafoglio sia stato prosciugato in un attacco hacker quando stava interagendo con uno smart contract che inizialmente sembrava del tutto sicuro da usare. Nom ha scritto di aver perso circa 500 gettoni SOL (circa ventimila dollari al momento del furto) ed altri token NFT, incluso uno da Solana Monkey Business, che l’hacker ha poi rivenduto per 197 SOL (quasi ottomila dollari).