Truffe dei portafogli DeFi e come evitarle

La finanza decentralizzata (DeFi) offre molte opportunità, ma comporta anche dei rischi. Ecco le truffe più comuni che colpiscono gli utenti dei portafogli DeFi:

Rug Pull

Un rug pull è quando gli sviluppatori lanciano un progetto, attirano investimenti e poi rubano rapidamente il denaro. Alla fine, gli investitori si ritrovano con token privi di valore.

Ad esempio, Meerkat Finance aveva promesso alti rendimenti sulla Smart Chain di Binance. Dopo aver raccolto molto denaro, gli sviluppatori hanno prosciugato il pool di liquidità. Alla fine, il valore del token è crollato e gli investitori hanno perso i loro fondi.

Truffe per imitazione

I truffatori fingono di essere figure fidate o team ufficiali di progetto per ingannare gli utenti.

Ad esempio, i truffatori hanno creato falsi account X simili a quelli di Binance o Uniswap. Hanno inviato messaggi su bonus speciali o nuove funzionalità. I messaggi portavano gli utenti a siti falsi che rubavano le informazioni del loro portafoglio. I truffatori ne approfittavano per rubare i loro fondi.

Gettoni truffa

Ogni quattro minuti circa compare un nuovo token truffa nei portafogli DeFi. I token truffa rendono difficile per i progetti reali distinguersi e aumentano il rischio di investire accidentalmente in un token falso.

Contratti intelligenti dannosi e prosciugatori di portafogli

Gli smart contract dannosi e i wallet drainer sono programmi progettati per rubare fondi dai portafogli degli utenti.

Questi programmi hanno funzioni nascoste. Consentono al creatore di prelevare denaro in qualsiasi momento o di utilizzare trucchi, come gli attacchi di rientranza, per prosciugare i portafogli. Ad esempio, alcuni token della Smart Chain di Binance sono progettati per svuotare automaticamente i portafogli degli utenti quando vi interagiscono, mascherati da opportunità di coltivazione ad alte prestazioni.

I truffatori della comunità DeFi utilizzano spesso il phishing e l'ingegneria sociale per indurre gli utenti a cedere i propri fondi.

Le truffe di phishing riguardano siti web, e-mail o messaggi falsi che rubano le credenziali di accesso o le chiavi private degli utenti. I truffatori spesso inviano e-mail o messaggi diretti fingendo di provenire da un fornitore di portafogli o da un exchange affidabile. I messaggi includono link a siti web falsi che sembrano quasi identici a quelli reali.

Una volta inseriti i vostri dati, i truffatori li utilizzano per accedere al vostro portafoglio e rubare i vostri fondi. Verificate sempre gli URL ed evitate di cliccare su link provenienti da fonti sconosciute per evitare di diventare vittima di una truffa di phishing,

Nel frattempo, le truffe di ingegneria sociale manipolano gli utenti affinché prendano decisioni a vantaggio del truffatore. Ad esempio, i truffatori spesso si spacciano per agenti dell'assistenza clienti sui social media o sui forum, offrendo aiuto e chiedendo chiavi private o frasi seed.

Un altro trucco comune è la truffa del giveaway, in cui i truffatori affermano che avete vinto delle criptovalute ma vi chiedono di inviare prima una piccola somma per “verificare” il vostro portafoglio.

I truffatori spesso utilizzano i social media per ingannare le persone. Creano account falsi fingendo di essere aziende fidate o influencer e gestiscono falsi omaggi o promuovono falsi investimenti. Aggiungono commenti e like falsi per far sembrare reali i loro post. Molte persone perdono denaro cadendo nelle truffe.

Ad esempio, nel 2023, i truffatori si sono spacciati per il popolare protocollo DeFi Curve Finance creando un account X falso. Hanno promosso un falso concorso a premi, chiedendo agli utenti di collegare i loro portafogli per richiedere il premio. Molti utenti hanno perso fondi dopo aver interagito con il falso link.

Per proteggervi, controllate sempre due volte gli URL, evitate di condividere informazioni sensibili e siate cauti con le offerte che sembrano troppo belle per essere vere quando utilizzate un portafoglio DeFi.

Le truffe di estrazione e di uscita sfruttano la natura decentralizzata e, spesso, non regolamentata della DeFi. I truffatori creano un progetto con un token o un pool di liquidità in rug pull o creano contratti intelligenti con caratteristiche segrete.

Ad esempio, i truffatori usano i rug pull per coniugare token illimitati o ritirare fondi. Prima promuovono il progetto per attirare gli investitori. Poi sferrano il loro attacco, prosciugando i fondi e lasciando gli investitori con beni privi di valore.

Le truffe in uscita sono più semplici. I truffatori raccolgono denaro attraverso le ICO (Initial Coin Offerings), le vendite di NFT o i pool di scommesse, promettendo rendimenti elevati. Una volta raccolti abbastanza fondi, abbandonano completamente il progetto. Poiché le transazioni della DeFi sono irreversibili e i truffatori spesso utilizzano identità anonime, recuperare i fondi è quasi impossibile.

Entrambe le truffe si basano sulla creazione di un senso di urgenza e di fiducia. Falso marketing, false partnership e lanci accattivanti aiutano a raccogliere rapidamente i fondi prima che la truffa venga scoperta.

I truffatori spesso utilizzano tattiche intelligenti per realizzare le truffe “rug pull” e “exit”. I truffatori scrivono contratti che consentono loro di controllare la liquidità o di cambiare le regole del progetto. Promozioni ingannevoli, come siti web appariscenti, false partnership o approvazioni di celebrità, attirano investitori ignari. Una volta raccolti fondi sufficienti, i truffatori spariscono, senza lasciare traccia.

Un esempio recente è la truffa del portafoglio DeFi di Frosties NFT. All'inizio del 2022, i creatori del progetto Frosties NFT hanno venduto oggetti digitali da collezione e hanno raccolto circa 1,1 milioni di dollari. Poco dopo la vendita, gli sviluppatori hanno abbandonato il progetto, hanno cancellato la loro presenza online e sono spariti con i fondi. È stato un colpo di mano da manuale. Tuttavia, alla fine le forze dell'ordine hanno rintracciato i colpevoli, che sono stati accusati di frode telematica e altri reati.

Un'altra è la truffa dello Squid Game Token. Lo Squid Game Token è stato lanciato alla fine del 2021, sfruttando la popolarità della serie Netflix Squid Game. Il progetto affermava falsamente di essere legato alla serie di tendenza e il prezzo del token è salito alle stelle a causa del clamore mediatico e della FOMO (Fear Of Missing Out). Tuttavia, gli sviluppatori hanno applicato una “restrizione di vendita”, impedendo agli investitori di vendere i loro token. Una volta raggiunto l'apice del valore del token, gli sviluppatori hanno prosciugato la liquidità, rubando oltre 3 milioni di dollari prima di scomparire.

È necessario agire rapidamente se si è vittime di una truffa della DeFi. Ecco una semplice guida per aiutarvi a compiere il passo successivo.

1. Raccogliete tutte le informazioni rilevanti, compresi i dettagli delle transazioni, gli indirizzi dei portafogli, i messaggi e gli screenshot.
2. Segnalate la truffa alle autorità.
   • Presentate una denuncia alla polizia locale o alla divisione criminalità informatica. Fornite tutte le prove raccolte.
   • Segnalate la truffa all'autorità di regolamentazione finanziaria o all'agenzia antifrode del vostro Paese. Ad esempio, negli Stati Uniti esiste la Federal Trade Commission (FTC) o la Securities and Exchange Commission (SEC).
3. Se avete utilizzato un exchange o un fornitore di portafogli, informateli della truffa. Potranno bloccare ulteriori transazioni o fornire ulteriori indicazioni.
4. Condividete la vostra esperienza sui forum o sui social media per mettere in guardia gli altri dalle truffe nella comunità della DeFi.

Le vittime delle truffe della DeFi possono intraprendere un'azione legale contro i responsabili. Consultate un avvocato specializzato in criptovalute o frodi finanziarie per discutere il vostro caso.

Un esempio di azione legale riuscita è il caso del 2021 di una truffa DeFi che ha coinvolto la piattaforma di criptovalute BitConnect.

Le vittime di BitConnect hanno denunciato le loro perdite dopo che la piattaforma è crollata e i suoi fondatori sono spariti con oltre 2 miliardi di dollari. In seguito alle denunce, le autorità statunitensi hanno indagato e arrestato i principali truffatori.

Nel 2022, hanno accusato il fondatore Satish Kumbhani di aver gestito lo schema Ponzi e hanno prelevato milioni legati alla truffa, restituendoli alle vittime.

Inoltre, essere truffati comporta conseguenze finanziarie che vanno oltre la perdita di fondi. A volte è necessario denunciare la perdita alle autorità fiscali, in quanto ha un impatto sugli obblighi fiscali. Consultate un professionista fiscale per capire come segnalare correttamente la perdita e ridurre ulteriori rischi finanziari.

La scelta di un portafoglio DeFi sicuro è necessaria per proteggere i vostri beni in criptovaluta.

Autodeposito e chiavi private

L'autodeposito significa che avete il controllo completo delle vostre attività in criptovalute. A differenza dei portafogli gestiti da terzi, i portafogli autocustoditi conservano le chiavi private direttamente presso di voi. Questo è importante perché le chiavi private sono l'unico modo per accedere e gestire i vostri fondi. Se qualcun altro controlla le vostre chiavi, controlla i vostri beni. Scegliete sempre il portafoglio DeFi più sicuro e migliore che vi permetta di possedere e gestire le vostre chiavi private per mantenere il controllo.

Portafogli hardware

I portafogli hardware offrono una maggiore sicurezza mantenendo le chiavi private offline. Sono dispositivi fisici che conservano le chiavi in modo sicuro, proteggendole da hacker o malware. Un portafoglio hardware è un modo affidabile per ridurre i rischi per chiunque detenga una quantità notevole di criptovalute. Le chiavi private rimangono al sicuro anche se il computer o il telefono sono in pericolo.

Alcuni dei portafogli hardware più popolari sono:

• Ledger Nano X
• Trezor Modello T
• KeepKey

Portafogli open-source e closed-source

I portafogli open-source consentono a chiunque di visualizzare e verificare il codice. La trasparenza dei portafogli open-source aumenta la fiducia, in quanto è più facile individuare e correggere i difetti di sicurezza. Tuttavia, i portafogli open-source richiedono anche maggiori conoscenze tecniche.

D'altro canto, i portafogli closed-source mantengono il codice privato, offrendo un'esperienza più facile da usare ma richiedendo agli utenti di fidarsi degli sviluppatori. Se da un lato i portafogli closed-source sono più facili da usare, dall'altro dipendono molto dalla reputazione dell'azienda in termini di sicurezza.

I truffatori spesso usano trucchi per creare urgenza e manipolare la fiducia. Fate attenzione a questi segnali comuni:

• Offerte troppo belle per essere vere, come promesse di criptovalute gratuite o rendimenti elevati garantiti.
• Applicazioni o siti web falsi. Osservate attentamente le recensioni delle app, gli URL e il marchio per verificare se le app o i siti web sono legittimi.
• Messaggi non richiesti. Siate cauti se qualcuno vi contatta con delle offerte, soprattutto sui social media o sulle app di messaggistica.
• Pressione ad agire in fretta. I truffatori vi spingono a prendere decisioni rapide senza il tempo necessario per verificare le informazioni.

I truffatori utilizzano anche metodi tecnici come il wallet dusting, ovvero l'invio di piccole quantità di criptovaluta per tracciare la vostra attività. Utilizzano questa connessione per manipolare il vostro portafoglio se interagite con questi fondi.

Un'altra truffa comune riguarda i falsi airdrop, in cui i truffatori inducono gli utenti a condividere le loro chiavi private o a collegare i portafogli a siti dannosi, sollevando dubbi sulla sicurezza del portafoglio DeFi. Ricordate che gli airdrop legittimi non chiedono mai le chiavi private.

Per ridurre i rischi, mantenete sempre aggiornato il software del vostro portafoglio. Gli aggiornamenti regolari risolvono le vulnerabilità di sicurezza e migliorano la protezione. Inoltre, utilizzate più portafogli invece di tenere tutte le vostre risorse in uno solo. In questo modo, la perdita di un portafoglio non si ripercuoterà su tutto il resto.

Proteggere il vostro portafoglio DeFi è necessario per proteggere i vostri beni in criptovaluta. Alcune delle migliori pratiche per mantenere il vostro portafoglio al sicuro dalle minacce sono:

Abilitazione della 2FA (Autenticazione a due fattori)

La 2FA aggiunge un'ulteriore sicurezza richiedendo un secondo passaggio di verifica quando si accede o si effettuano transazioni. Per abilitare la 2FA, andate nelle impostazioni di sicurezza del vostro portafoglio, scegliete 2FA e collegatelo a un'app di autenticazione come Google Authenticator o Authy. Una volta impostata, sarà necessario un codice dall'app ogni volta che si accede al portafoglio, rendendo molto più difficile l'intrusione da parte degli hacker.

Utilizzare password forti e uniche

Scegliete una password lunga e casuale che non sia utilizzata altrove. Evitate parole comuni, frasi o schemi prevedibili. Se necessario, potete utilizzare un password manager per creare e memorizzare password sicure. Una password forte e unica garantisce che il vostro portafoglio rimanga al sicuro anche se un altro account è vulnerabile.

Evitare fonti non affidabili

Scaricate il software del portafoglio solo da siti web o app store ufficiali. Fate attenzione ai link contenuti nelle e-mail, nei messaggi o nei post dei social media, poiché i truffatori spesso utilizzano siti web falsi per rubare informazioni. Controllate gli errori di ortografia negli URL e assicuratevi che il sito web utilizzi il protocollo HTTPS. Se qualcosa non quadra, ricontrollate la sua legittimità prima di procedere.

I portafogli DeFi sono vantaggiosi ma comportano dei rischi, in quanto truffe come il “rug pulling”, il phishing e i contratti dannosi sono comuni.

Ricordatevi di attivare la 2FA, di usare password forti e uniche e di tenere aggiornato il software del vostro portafoglio. Evitate di condividere informazioni sensibili come le chiavi private e diffidate delle offerte che sembrano troppo belle per essere vere. I truffatori spesso si basano sull'urgenza e sulla fiducia, quindi prendetevi il tempo necessario per verificare i dettagli.

Essere attenti e informati è la migliore difesa quando ci si chiede se il portafoglio DeFi è legale o si ha a che fare con le truffe.