Secondo l’evidenza dei fatti, gli account del Team di Bee Token potrebbero essere stati compromessi e la piattaforma per la ICO hackerata.
Come fare uno Scam prima che la ICO sia iniziata. Un nuovo traguardo.
Il contesto sarebbe molto grave in quanto non si tratterebbe di persone terze che tentano di impersonare i fondatori della ICO, facendo circolare false notizie o falsi indirizzi di Wallet sul quale poter contribuire, bensì sembrerebbe che l’intera ICO sia attualmente sotto controllo di coloro che avrebbero hackerato la piattaforma.
Anche il gruppo Telegram ufficiale sembra sia stato compromesso ed in pieno controllo degli hacker, i quali dunque avrebbero vita facile nel poter sottomettere false comunicazioni ed inviti nel contribuire mediante indirizzi Ethereum di loro proprietà.
Cos’è Bee Token ?
The Bee Token è una ICO (o sarebbe dovuta essere ?) la cui visione può essere sintetizzata come l’ingresso dello house sharing nel mondo della blockchain. Insomma un’ AirBnb con un proprio token.
L’obiettivo del Team sarebbe infatti quello di costruire una piattaforma, denominata Beenest, mediante la quale far incontrare la domanda con l’offerta e dunque mettere in contatto le persone in cerca di un alloggio con chi quell’alloggio lo fornisce.
Il pagamento della prestazione, ovviamente, avverrebbe mediante il Token ERC20 e l’intera piattaforma sarebbe basata mediante specifici Smart Contract denominati Bee Protocols.
I fatti
I primi segnali sono emersi quando diversi utenti che si erano nei giorni scorsi iscritti alla mailing list di Bee Token hanno visto recapitarsi nella propria casella delle email che invitavano a contribuire alla ICO in quanto la fase di Crowdsale era appena iniziata.
Il problema, tuttavia, è che tale email (FALSA) è stata ricevuta anche da persone che non avevano superato la fase di KYC (Know Your Customers, ovverosia l’identificazione tramite documenti di riconoscimento al fine di accertare l’identità del contribuente) e soprattutto conteneva indicazioni completamente contrastanti rispetto quelle fornite in varie occasioni nei giorni precedenti.
Considerato l’elevato numero di persone che aveva sottomesso la richiesta di partecipazione, il team di Bee Token aveva deciso nei giorni scorsi di applicare infatti per tutti un tetto massimo pari a 0.1 ETH oppure a 0.2 ETH, a seconda se in fasi di iscrizione si era associato il proprio profilo AirBnb o meno.
Inutile dire che tale email invitata a contribuire via ETH indicando un Wallet che non era per nulla correlato allo smart contract della ICO (e che pertanto NON deve essere utilizzato per parteciparvi).
Per rendere il tutto ancora più invitante agli occhi degli inesperti la comunicazione prometteva un bel bonus del 100%. Come farsi scappare uno sconto del genere, no ?
Nella fattispecie gli indirizzi fraudolenti comunicati risultano essere, per ora, i seguenti:
0x2A6D8021861f27aB992572D8689017b7A83C989D0xe336327426b8f95A5F5eB1f74144fD9065069C28
Si ripete che tali indirizzi risultano essere indirizzi Phishing e non risultano essere correlati allo smart contract della ICO e che pertanto NON devono essere utilizzati per contribuirvi e parteciparvi, a meno che non si voglia essere derubati. (ognuno ha le proprie passioni).
Eseguendo una rapida ricerca mediante Etherscan è possibile osservare come in realtà risultino diverse transazioni in ingresso nei due indirizzi per contributo complessivo attualmente pari ad 540 ETH, corrispondenti ad un controvalore di circa 600000$, segno che qualcuno ha abbocato allo Scam.
Twitter sembra essere l’unico social di Bee Token a non essere stato compromesso, valutato che il profilo stesso informa di tentativi di Phishing ed invita alla prudenza.
Please do not fund ETH to addresses that have the following warning: “Warning! There are reports that this address was used in a (BeeToken) Phishing scam.” pic.twitter.com/cKmpZPa5gT
— The Bee Token (@thebeetoken) 31 gennaio 2018
Suscita tuttavia molta perplessità il fatto che il Team non utilizzi allora il profilo Twitter per dare comunicazioni ed aggiornamenti sul controllo del canale Telegram, il quale conta ben oltre 50 mila iscritti.
È in dubbio se il canale Telegram sia stato hackerato o meno, tuttavia da un rapido sguardo risulta ineccepibile che attualmente il canale non veda la presenza attiva di alcun Admin e tanto meno di un moderatore per il controllo dello spam.
Ricostruendo meglio i fatti pare che in realtà il team di Bee Token abbia subito agli inizi di gennaio una precedente violazione dei propri account della piattaforma e dei social, con cui gli hacker sarebbero riusciti dunque ad accedere e rubare l’elenco degli iscritti alla mailing list, i loro dati personali e plausibilmente, e purtroppo, anche le informazioni sensibili del KYC.
@hotelroom237 Looks like you were right about the Beetoken data being stolen and sold to scammers when their Social media was hacked on January 6th/7th/8th. Everyone who subscribed to their newsletters are getting phishing emails now for the Beetoken ICO. https://t.co/1r5KOtkzpn pic.twitter.com/jDkYHnWHOk
— Michael Neu (@ScamCoinWhale) 31 gennaio 2018
Qualcuno pertanto ipotizza che tali dati sottratti possano essere stati venduti al miglior offerente che poi li ha utilizzati per mettere in piedi il piano di Phishing attuato oggi al lancio della fase di Crowdsale.
Proprio nei giorni scorsi Experty, un’altra ICO, ha subito una violazione dei propri database nella quale sono state trafugate le informazioni riguardanti i futuri partecipanti, informazioni sia anagrafiche che in merito al proprio indirizzo Ethereum che si sarebbe stato usato poi per contribuire.
In tale circostanza, tuttavia, le copie dei documenti sottomessi in fase di KYC sembrerebbero non essere state sottratte in quanto la verifica è avvenuta mediante la piattaforma svizzera Bitcoin Suisse la quale non sarebbe stata coinvolta nella falla usata per la violazione.
Lasciare che i propri documenti circolino senza problemi e vengano usati chissà in quale modo non deve essere un bell’affare, e forse tale rischio deve iniziare ad essere preso in considerazione nella scelta e valutazione qualora si decida di partecipare ad una ICO che richiede obbligatoriamente una fase di KYC.
