Binance ha lanciato l’allarme riguardo una grave vulnerabilità di sicurezza a livello di sistema operativo su iOS di Apple, presente sui dispositivi iPhone.
Il 20 marzo, il più grande exchange di criptovalute al mondo per volume di scambi ha dichiarato che un exploit altamente sofisticato potrebbe compromettere i wallet digitali senza neanche un tap.
Una vulnerabilità di iOS di Apple potrebbe permettere agli hacker di svuotare i wallet crypto senza un click
Secondo l’exchange, la vulnerabilità riguarda principalmente i dispositivi che eseguono le versioni iOS dalla 18.4 alla 18.7.
“Questo problema non è legato ad alcun exchange o applicazione wallet, ma si tratta di una vulnerabilità a livello di sistema su iOS”, ha spiegato Binance nel suo avviso pubblico.
L’exchange ha avvertito che l’exploit zero-click si attiva automaticamente quando gli utenti visitano siti compromessi ma apparentemente legittimi. Una volta attivato, il malware estrae silenziosamente dati sensibili, incluse le credenziali dei wallet crypto, senza che la vittima debba compiere alcuna azione.
L’avviso di Binance arriva dopo la recente scoperta della catena di exploit “DarkSword” da parte del Google Threat Intelligence Group.
I ricercatori Google hanno identificato che DarkSword installa tre distinti payload malevoli. Mentre “GhostKnife” e “GhostSaber” stabiliscono backdoor e conducono un’ampia sorveglianza—intercettando messaggi, cronologia delle posizioni e registrazioni audio—la componente più dannosa dal punto di vista finanziario è “GhostBlade”.
GhostBlade è stato sviluppato su misura per colpire gli asset crypto. Estrarre sistematicamente seed phrase, file dei database wallet e credenziali di sessione dalle principali piattaforme wallet mobili.
“GHOSTBLADE è un dataminer scritto in JavaScript che raccoglie ed esfiltra una vasta gamma di dati da un dispositivo compromesso. I dati raccolti da GHOSTBLADE vengono inviati a un server controllato dall’attaccante tramite HTTP(S),” hanno spiegato in dettaglio i ricercatori di sicurezza Google.
A differenza degli spyware tradizionali sponsorizzati da stati che permangono a lungo sul dispositivo per raccogliere informazioni, GhostBlade agisce come un attacco lampo digitale.
Dopo aver sottratto i dati sensibili dei wallet, il malware esegue uno script di cancellazione per nascondere le proprie tracce, lasciando le vittime ignare del furto finché gli hacker non effettuano il trasferimento degli asset.
Il Google Threat Intelligence Group ha osservato attori sospettati di essere sponsorizzati da stati e vendor di sorveglianza commerciale utilizzare DarkSword almeno dal novembre 2025.
Gli attacchi si sono concentrati soprattutto contro obiettivi in Arabia Saudita, Turchia, Malaysia e Ucraina.
Google ha dichiarato di aver comunicato le vulnerabilità ad Apple, che le ha successivamente corrette con la versione iOS 18.7.3.
Gli esperti di cybersecurity invitano gli investitori crypto ad adottare misure difensive immediate, aggiornando i dispositivi all’ultima versione di iOS, evitando link non verificati e controllando periodicamente i permessi delle applicazioni.
Inoltre, è consigliato abilitare l’autenticazione a due fattori e le whitelist per i prelievi su tutte le piattaforme finanziarie da iPhone.
