Ecco un altro classico della cybersecurity: pacchetti software che sembrano legittimi ma che, in realtà, sono più affamati di un hacker di 15 anni a una pizza party. Questa volta la vittima è dYdX, l’exchange di criptovalute che, per la terza volta, ha visto i suoi utenti perdere denaro a causa di codice malevolo.
La notizia arriva dritta dritta dal futuro (2026, per la precisione), e ci racconta di pacchetti npm (Node Package Manager) che, una volta installati, svuotano le wallet degli utenti. Insomma, è come se qualcuno avesse messo del veleno nel tuo pacchetto preferito di snack: lo apri, lo mangi, e poi… sorpresa! Hai perso tutto.
Per chi non lo sapesse, dYdX è una piattaforma di trading decentralizzata, il che significa che non c’è un’unica autorità che controlla le transazioni. Ecco perché, quando qualcosa va storto, è un bel casino da sistemare. Gli hacker hanno approfittato di questa mancanza di centralizzazione per infiltrare pacchetti malevoli nel sistema, facendo sì che gli utenti installassero codice dannoso senza rendersene conto.
Da smanettone, so quanto sia facile cadere nella trappola di un pacchetto sospetto. Quante volte abbiamo installato qualcosa “sulla fiducia” solo per scoprire poi che era un buco di sicurezza? La soluzione? Sempre la stessa: diffidare, verificare, e se possibile, usare strumenti di analisi automatica del codice. Ma soprattutto, ricordatevi che nel mondo delle criptovalute, la sicurezza è come un castello di sabbia: se non la costruisci bene, una semplice onda può spazzarlo via.
Per noi maker e hacker, questo incidente è un altro promemoria che la sicurezza software è fondamentale. Anche se stiamo solo sperimentando con Arduino o Raspberry Pi, è sempre meglio adottare buone pratiche fin dall’inizio. Usare repository affidabili, leggere il codice prima di eseguirlo, e fare backup regolari sono solo alcuni dei passi che possiamo prendere per evitare di diventare le prossime vittime di un attacco simile.
E poi, ammettiamolo: nessuno di noi vuole finire su un forum di crypto a scrivere “Mi hanno svuotato il portafoglio” con un emoji piangente. Meglio prevenire che piangere, no?
In conclusione, dYdX ha avuto un altro brutto giorno, ma possiamo imparare da questo incidente. La prossima volta che installate un pacchetto sospetto, ricordatevi: potrebbe essere il vostro portafoglio a pagarne il prezzo.
Source: Malicious packages for dYdX cryptocurrency exchange empties user wallets