Superfortune: la compromissione riguarda la perdita della chiave privata del firmatario legato all'attacco, non una contaminazione dell'indirizzo, e non è opera di personale interno

Secondo ChainCatcher, Superfortune, incubato da Manta, ha pubblicato un aggiornamento sulla piattaforma X riguardo al recente incidente di sicurezza, dichiarando che l’attacco non è stato opera di personale interno e che nessun membro del team è stato coinvolto. L’affermazione secondo cui il team avrebbe venduto segretamente dei token è errata. Inoltre, il team non ha avuto contatti con Web3Port. L’indagine conferma che: l’attacco non è stato dovuto a poisoning degli indirizzi, ma alla compromissione della chiave privata di un firmatario. L’attaccante possedeva autonomamente la chiave privata e, 43 minuti dopo una transazione legittima, ha inviato una transazione da un indirizzo contraffatto. L’indirizzo contraffatto aveva gli stessi primi e ultimi quattro caratteri dell’indirizzo corretto (inizia con 0x70AE e termina con 5C15), per camuffarsi nell’anteprima su Safe. I fondi rubati sono stati tracciabili durante tutto il processo e attualmente sono conservati in tre cold wallet su Ethereum, per circa 2.784 ETH; altri 170.000 USDT circa sono stati trasferiti tramite cross-chain. L’attaccante ha anche creato numerosi indirizzi imitazione e inviato a questi indirizzi false transazioni con simboli token contraffatti tramite Unicode, tentando di confondere le attività di tracciamento. Questa tecnica di costruzione di indirizzi falsi è identica a quella utilizzata nell’attacco al progetto. L’attaccante aveva predisposto un’infrastruttura su larga scala in anticipo, segno che si tratta di un’operazione industriale e non di un’attacco opportunistico.