I dirigenti di MoonPay sarebbero stati ingannati in una frode crittografica da 250.000 dollari

Secondo quanto riportato da un recente documento depositato presso il Dipartimento di Giustizia degli Stati Uniti (DOJ), due alti dirigenti di MoonPay, un'importante società di pagamenti in criptovaluta, sarebbero rimasti vittime di una complessa frode online che li avrebbe portati a perdere 250.300 dollari.

La richiesta, presentata per recuperare 40.350 USDT (una stablecoin ancorata al valore del dollaro statunitense) che la società di criptovalute Tether detiene attualmente in conti congelati, si riferisce alle vittime solo come "Ivan" e "Mouna". Tuttavia, un articolo del sito specializzato in criptovalute NOTUS suggerisce che si tratti di Ivan Soto-Wright, co-fondatore e amministratore delegato di MoonPay, e di Mouna Ammari Siala, direttrice finanziaria della società.

Il Dipartimento di Giustizia afferma che i due dirigenti sono stati truffati e hanno trasferito fondi su un conto controllato da un individuo che credevano fosse Steve Witkoff, un importante sviluppatore immobiliare statunitense e co-presidente del comitato per l'insediamento deldent Donald Trump nel 2017.

L'analisi dei dati blockchain indica che gli USDT sono stati trasferiti a un portafoglio associato a Binance. Il portafoglio è associato a Ehiremen Aigbokhan, un cittadino nigeriano residente a Lagos.

L'episodio rappresenta un insolito caso pubblico in cui i principali esponenti del settore, che avevano accesso a strumenti crittografici e protocolli di sicurezza avanzati, si sono dimostrati vulnerabili a quella che gli investigatori definiscono una forma piuttosto semplice di ingegneria sociale, tanto quanto un comune utente di posta elettronica.

Il truffatore ha utilizzato un "errore di battitura offensivo" per imitare una figura pubblica

A differenza di altri crimini informatici che si basano sull'hacking o sullo sfruttamento delle vulnerabilità della blockchain (e forse solo per questo motivo), questa truffa è stata messa in atto tramite l'inganno tramite una discreta manipolazione delle e-mail.

I truffatori hanno utilizzato indirizzi email falsi quasidenta quelli corretti, sostituendo la "l" minuscola con la "I" maiuscola nei nomi di dominio, per ingannare le loro vittime. In questo caso, le email sono state inviate da [email protected] e [email protected] , indirizzi che imitavano i nomi di personaggi ed eventi noti.

Questa pratica, chiamata typosquatting, è utilizzata frequentemente nelle truffe di phishing e si è dimostrata efficace nel truffare anche i professionisti più attenti alla sicurezza.

"I dati di geolocalizzazione IP hanno costantemente mostrato che le email provenienti da questi account provenivano dalla Nigeria e non dagli Stati Uniti", si legge nel documento del Dipartimento di Giustizia. Secondo le autorità, Aigbokhan ha probabilmente ottenuto l'USDT a causa di una truffa che coinvolgeva un trasferimento di denaro internazionale negli Stati Uniti.

I truffatori non hanno dovuto hackerare o sfruttare la blockchain in alcun modo: avevano solo bisogno di uno stratagemma e di un'offerta convincente per rubare i fondi.

L'attività del portafoglio solleva ulteriori dubbi su MoonPay

Nella documentazione si legge che uno dei portafogli coinvolti nella truffa è un portafoglio MoonPay contrassegnato su Etherscan, il che suggerisce che gli individui interessati siano probabilmente Ivan Soto-Wright e Mouna Ammari Siala.

Al momento in cui andiamo in stampa, MoonPay non ha ancora risposto pubblicamente alle richieste di commento da parte di diverse testate, tra cui The Block e NOTUS.

La tempistica del caso è particolarmente delicata. E nell'ultima espansione, MoonPay, una popolare infrastruttura di pagamento per gli acquisti di criptovalute, ha reso i suoi servizi disponibili solo in alcuni stati degli Stati Uniti. Tuttavia, il mese scorso, il NYDFS le ha concesso una BitLicense, che le consente di operare in tutti i 50 Stati Uniti. Si tratta di una delle licenze di regolamentazione delle criptovalute più difficili da ottenere negli Stati Uniti ed è fondamentale per fare affari nella capitale finanziaria.

L'dent di MoonPay controlli di sicurezza interni, sui processi di verifica e sulla supervisione da parte dei dirigenti, soprattutto se le vittime in questo caso avessero effettivamente utilizzato i portafogli digitali ufficiali dell'azienda per effettuare transazioni che sembrano essere personali o non adeguatamente verificate.

Nel contesto del boom dell'adozione delle criptovalute, il caso è un serio promemoria del fatto che nessuno è immune alle frodi digitali, nemmeno i dirigenti delle aziende che contribuiscono a costruire l'infrastruttura dell'economia delle criptovalute.