C’è un momento preciso in cui la fiducia digitale si trasforma in vulnerabilità. È quel momento in cui clicchi su un’estensione del browser che vanta migliaia di utenti e persino un badge di riconoscimento da Google. QuickLens sembrava proprio una di quelle estensioni innocue, utili, certificate. Invece, per settimane ha operato come una macchina silenziosa di furto, svuotando portafogli di criptovalute sotto gli occhi di circa 7.000 utenti ignari. La storia inizia il primo febbraio, quando QuickLens cambia proprietà. L’estensione viene venduta su un marketplace a una nuova entità che si presenta come LLC Quick Lens, con un indirizzo email di supporto sospetto: [email protected]. Niente campanelli d’allarme immediati per gli utenti, che continuano a usare l’applicazione come sempre. Ma sedici giorni dopo, il 17 febbraio, arriva l’aggiornamento che cambia tutto.
La versione 5.8 non è un normale update. È un cavallo di Troia mascherato da manutenzione di routine. Gli script introdotti nell’estensione rimuovono le intestazioni di sicurezza critiche del browser e stabiliscono una connessione diretta con un server di comando e controllo, il famoso C2 nel gergo della cybersecurity. Da quel momento, ogni dispositivo con QuickLens installato diventa una porta spalancata verso i dati più sensibili dell’utente. Il vettore d’attacco si chiama ClickFix, una campagna di social engineering che sta colpendo migliaia di dispositivi ogni giorno a livello globale. Il meccanismo è semplice nella sua perfidia: pagine che imitano captcha legittimi o richieste di aggiornamento che sembrano provenire da brand fidati. L’utente pensa di risolvere un problema tecnico minore, magari di verificare di non essere un robot, e invece esegue comandi malevoli che aprono le porte del sistema.
Secondo l’analisi di Okta Threat Intelligence, ClickFix fa parte di un ecosistema più ampio chiamato Crime-As-A-Service. È un modello di business criminale dove gli attaccanti pagano per distribuire varie famiglie di malware, proprio come si sottoscriverebbe un abbonamento software. L’obiettivo principale è raccogliere dati sensibili, e in cima alla lista ci sono le credenziali e le chiavi private dei portafogli di criptovalute salvate sui dispositivi. Nel caso di QuickLens, l’attacco non si ferma alla compromissione iniziale. L’estensione modificata stabilisce un ciclo di polling ogni cinque minuti con il server C2. Questo significa che gli aggressori possono inviare nuove istruzioni, aggiornare il malware in tempo reale ed estrarre dati rubati continuamente. È un flusso bidirezionale perfetto per un furto sostenuto e difficile da intercettare.
La tecnica sfrutta qualcosa di profondamente umano: la fiducia. Un’estensione che aveva guadagnato il badge featured di Google sembrava un porto sicuro. Chi avrebbe dubitato di qualcosa certificato dal gigante tecnologico più influente al mondo. Eppure, quella certificazione era basata su una versione precedente, pulita, dell’estensione. Una volta venduta e aggiornata, nessun controllo automatico ha fermato il payload malevolo. Le conseguenze finanziarie sono immediate e tangibili. Gli attaccanti prendono di mira specificamente i portafogli crypto, spingendo gli utenti a trasferire fondi verso nuovi indirizzi controllati dai criminali. Non si tratta di un attacco passivo che raccoglie dati per un uso futuro: è un furto diretto, in tempo reale, con conversione immediata degli asset rubati in denaro o in altri token difficili da tracciare.
Sul mercato delle criptovalute, il token LENS mostra segnali di questa tempesta. Nonostante un rialzo del 2,83 percento in un singolo giorno, la performance a trenta giorni racconta una storia ben diversa: un crollo del 20,41 percento. Questa divergenza è sintomatica: il piccolo rimbalzo giornaliero viene travolto da una pressione di vendita più ampia, alimentata dalla paura e dalla sfiducia degli holder colpiti o preoccupati. La vulnerabilità estrema di LENS è scritta nei numeri della sua capitalizzazione di mercato: appena 11.540 dollari. In un contesto così ristretto, anche un furto modesto può rappresentare una percentuale materiale dell’offerta circolante totale. Non parliamo di un attacco che scalfisce un gigante, ma di un colpo che può destabilizzare completamente l’equilibrio di un asset di piccole dimensioni, amplificando il danno economico ben oltre le perdite individuali.
Cosa dovrebbero monitorare investitori e osservatori. Il primo indicatore è l’attività di trading su LENS. Quando i fondi rubati vengono spostati o liquidati, ci si aspetta un picco nel volume degli scambi e una volatilità dei prezzi significativa. Con una capitalizzazione così ridotta, anche vendite modeste possono causare oscillazioni sproporzionate. Il volume diventa quindi un segnale chiave per capire se gli attaccanti stanno convertendo gli asset o se li stanno trattenendo. Ma la minaccia non si ferma qui. ClickFix non è una campagna statica: è in continua evoluzione, con nuove varianti di malware e capacità cross-platform. Il pattern dell’attacco, che utilizza repository falsi e ingegneria sociale per distribuire infostealer, può essere replicato facilmente. È plausibile che altri token di piccole dimensioni o protocolli DeFi diventino bersagli, ampliando la superficie d’attacco e aumentando il rischio sistemico per l’intero ecosistema delle criptovalute.
Il rischio finanziario principale, però, non è solo la perdita diretta di fondi. È la perdita permanente di fiducia. Se un ecosistema viene percepito come compromesso, la liquidità può evaporare nel giro di ore, con utenti e trader che escono in massa. Questo crea una pressione al ribasso sostenuta sui prezzi, indipendentemente dai fondamentali del token. Il deficit di fiducia diventa la vera vulnerabilità, trasformando un hack tecnico in una svalutazione di mercato duratura. La vicenda di QuickLens solleva interrogativi più ampi sulla sicurezza delle estensioni browser e sul modello di certificazione delle piattaforme. Un badge featured offre una patina di legittimità che può essere sfruttata dopo un cambio di proprietà. I controlli automatici non sono sufficienti quando un’entità malevola acquisisce un prodotto già approvato e lo trasforma in un’arma.
Per gli utenti, la lezione è chiara: la vigilanza non può mai abbassarsi. Anche strumenti apparentemente sicuri possono diventare pericolosi dopo un aggiornamento o un cambio di mano. Verificare le autorizzazioni delle estensioni, limitare l’accesso ai dati sensibili e usare portafogli hardware per asset di valore sono misure che possono fare la differenza tra la sicurezza e il disastro finanziario. La campagna Crime-As-A-Service dietro ClickFix rappresenta una minaccia strutturale. Non si tratta di attaccanti isolati, ma di un modello criminale scalabile, dove chiunque può affittare capacità di attacco. Questo abbassa le barriere d’ingresso per i cybercriminali e aumenta la frequenza e la varietà degli attacchi. La democratizzazione del crimine informatico è una realtà con cui utenti, sviluppatori e piattaforme devono fare i conti.
Per il mercato delle criptovalute, questa vicenda è un promemoria brutale: la tecnologia può essere decentralizzata, ma i punti di vulnerabilità restano umani e centralizzati. Un’estensione browser, un click su un captcha falso, una chiave privata salvata in locale. Ogni anello debole della catena può compromettere l’intera sicurezza di un portafoglio, vanificando la promessa di sovranità finanziaria che le crypto dovrebbero garantire. QuickLens è stata rimossa, ma il danno è fatto e il modello di attacco resta operativo. Altri strumenti, altre estensioni, altri token potrebbero essere i prossimi bersagli. La guerra tra sicurezza e minaccia è continua, e in questo caso la fiducia tradita porta un prezzo altissimo, misurato non solo in dollari rubati ma in credibilità perduta.
