L'utente perde 1,08 milioni di dollari in Aave Ethereum LBTC a causa di una firma malevola
In una significativa violazione della sicurezza il 2 gennaio 2026, un investitore in criptovalute ha perso 1,08 milioni di dollari dopo essere caduto vittima di un attacco di phishing che coinvolgeva Aave Ethereum LBTC (Lombard Staked Bitcoin). Il furto è avvenuto quando l'utente ha firmato senza saperlo una firma di permesso malevola su un sito web fraudolento che imitava perfettamente l'interfaccia di Lombard Finance o Aave. Fornendo questa firma off-chain, la vittima ha concesso a un contratto "drainer" piena autorizzazione per ritirare le proprie partecipazioni in LBTC, che l'attaccante ha poi immediatamente liquidato e spostato attraverso mixer decentralizzati. Questo incidente mette in evidenza la crescente sofisticazione delle truffe "basate su firme", in cui gli utenti vengono ingannati nel autorizzare trasferimenti di fondi senza mai rivelare le proprie chiavi private o frasi seed.
Punti chiave dall'incidente
L'Asset: La vittima deteneva LBTC, un token di staking liquido per Bitcoin che ha visto una crescita massiccia nel TVL (Valore Totale Bloccato) su Aave dalla fine del 2025.
Il Metodo: Gli attaccanti hanno utilizzato firme EIP-712, che spesso appaiono come caselle di testo "innocue" in un wallet come MetaMask, rendendole più difficili da identificare come approvazioni ad alto rischio per gli utenti normali.
La Velocità: Una volta catturata la firma, il drenaggio è stato automatizzato; 1,08 milioni di dollari sono scomparsi in un singolo blocco di transazione.