Premessa

Il Dipartimento della Pubblica sicurezza - Direzione centrale della Polizia criminale - Servizio analisi criminale ha rilasciato recentemente il Report Trimestrale (terzo trimestre 2025) sui dati relativi agli omicidi volontari, con particolare attenzione ai delitti potenzialmente legati a liti familiari e violenza domestica (reperibile qui interno.gov.it/sites/default/f…), da cui emerge come nel periodo 1 gennaio 30 - settembre 2025, confrontato con periodo del 2024, il numero degli eventi sia in diminuzione (da 255 a 224 (-12%)), come è in calo pure il numero delle vittime di genere femminile, che da 91 scendono a 73 (-20%). Anche i delitti commessi in ambito familiare/affettivo, fanno rilevare un decremento sia nel numero di eventi da 122 a 98 (-20%), che nel numero delle vittime di genere femminile che da 79 passano a 60 (-24%).

Se in genere gli ultimi dati indicano un aumento della consapevolezza e della segnalazione di casi di violenza di genere, dall'altra parte si avverte una persistenza del fenomeno in diverse forme. Ci sono segnali positivi legati all'attivazione di centri antiviolenza e all'introduzione di nuove leggi, ma la strada per un cambiamento culturale e sociale significativo è ancora lunga.

Anche la conoscenza delle norme, da parte degli operatori che pure dovrebbero recepirle nel dettaglio, appare a volte lacunosa. Ci riferiamo all' Ordine di Protezione Europeo (OPE), uno strumento di cooperazione giudiziaria europea transfrontaliera che dalla sua comparsa sotto forma di Direttiva nel 2011 (e suo recepimento nella normativa nazionale italiana nel pacchetto legislativo noto come "Codice Rosso") è stato utilizzato pochissimo.

Introduzione: La Protezione che Viaggia con Te

Immaginiamo una persona che, in Italia, ha ottenuto un provvedimento di protezione da minacce, violenze o atti persecutori. Cosa accade se questa persona ha la necessità, per lavoro o per scelta personale, di trasferirsi o anche solo di soggiornare in un altro Paese dell'Unione Europea? Perde forse la tutela che le era stata garantita? Per rispondere a questa fondamentale esigenza di sicurezza, è stato creato uno strumento giuridico specifico: l'Ordine di Protezione Europeo (OPE). L'OPE è concepito per risolvere proprio questo problema, assicurando che le misure di protezione concesse in Italia possano "viaggiare" insieme alla vittima, mantenendo la loro validità ed efficacia oltre i confini nazionali.

Per comprendere appieno come funziona questo meccanismo transfrontaliero, è essenziale partire dalle fondamenta: le misure di protezione nazionali che costituiscono il presupposto per poterlo attivare.

Le Misure di Protezione Nazionali: Il Fondamento dell'OPE

Nel nostro ordinamento, l'Ordine di Protezione Europeo si basa su due specifiche misure cautelari previste dal codice di procedura penale. Queste non sono state pensate per reati generici, ma per fornire uno specifico strumento di tutela nelle fasi che precedono l'accertamento della responsabilità penale rispetto a fattispecie delittuose caratterizzate dalla reiterazione della condotta pregiudizievole, come i maltrattamenti contro familiari (art. 572 c.p.) e gli atti persecutori, meglio noti come stalking (art. 612-bis c.p.).

Articolo 282-bis c.p.p.: L'Allontanamento dalla Casa Familiare

Questa misura è uno strumento cruciale per la tutela delle vittime in contesti di violenza domestica. Il suo scopo primario è interrompere la convivenza forzata e pericolosa, allontanando fisicamente la persona che costituisce una minaccia dall'ambiente familiare.

Quando applica questa misura, il giudice può imporre una serie di provvedimenti molto concreti:

• Ordinare all'imputato di lasciare immediatamente la casa familiare.
• Vietare all'imputato di rientrare in casa o di accedervi senza una specifica autorizzazione del giudice, che può anche stabilire precise modalità di visita.
• Prescrivere di non avvicinarsi a luoghi specifici frequentati abitualmente dalla persona offesa (ad esempio, il luogo di lavoro, il domicilio dei familiari, la scuola dei figli).
• Ingiungere il pagamento di un assegno periodico a favore dei conviventi che, a causa dell'allontanamento, rimangono privi di mezzi economici adeguati.

Questa misura viene applicata in contesti delittuosi gravi, come i maltrattamenti contro familiari e conviventi (art. 572 del codice penale) o gli atti persecutori, meglio noti come stalking (art. 612-bis del codice penale).

Articolo 282-ter c.p.p.: Il Divieto di Avvicinamento

Mentre la misura precedente si concentra sul contesto domestico, il divieto di avvicinamento è uno strumento flessibile, finalizzato a proteggere la vittima nella sua vita quotidiana, sociale e lavorativa, al di fuori delle mura di casa. Il giudice ha un'ampia discrezionalità nel definire i contorni della misura, adattandola alle specifiche esigenze di protezione del caso concreto.

I divieti che il giudice può imporre includono:

1. Imporre all'imputato di non avvicinarsi a luoghi specifici abitualmente frequentati dalla persona offesa o dai suoi congiunti (parenti, partner, persone conviventi o legate da una relazione affettiva).
2. Ordinare di mantenere una determinata distanza da tali luoghi o, in modo ancora più incisivo e dinamico, direttamente dalla persona offesa, ovunque essa si trovi.
3. Vietare all'imputato di comunicare con la vittima o con persone a lei vicine attraverso qualsiasi mezzo, sia esso diretto (incontri) o indiretto (telefono, email, social media, messaggi tramite terzi).

Per garantire il rispetto di questa misura, il giudice può disporre l'utilizzo di strumenti di controllo tecnologico, come il cosiddetto "braccialetto elettronico", che segnala alle forze dell'ordine un'eventuale violazione delle distanze imposte.

Sono proprio questi provvedimenti, così centrali per la tutela delle vittime in Italia, a costituire il ponte verso una protezione estesa a livello europeo.

Il Ponte verso l'Europa: L'Ordine di Protezione Europeo (OPE)

Cos'è l'OPE e a Cosa Serve?

L'Ordine di Protezione Europeo (OPE), introdotto dalla Direttiva 2011/99/UE, è una decisione giudiziaria basata sul principio del reciproco riconoscimento tra gli Stati membri. Il suo obiettivo primario è semplice ma fondamentale: estendere l'efficacia di una "misura di protezione" nazionale al territorio di un altro Stato membro in cui la vittima decide di risiedere o soggiornare.

In questo meccanismo, si distinguono due ruoli:

• Stato di emissione: È il Paese che ha adottato la misura di protezione originaria (in questo caso, l'Italia).
• Stato di esecuzione: È il Paese dell'Unione Europea in cui la persona protetta si trasferisce e dove l'OPE dovrà essere riconosciuto e applicato.

Il Collegamento Indissolubile con le Misure Italiane

È fondamentale sottolineare un punto chiave: nell'ordinamento italiano, le uniche misure cautelari che costituiscono il presupposto per poter richiedere l'emissione di un OPE sono quelle previste dagli articoli 282-bis e 282-ter del codice di procedura penale.

Questo significa che l'esistenza di un provvedimento di allontanamento dalla casa familiare o di divieto di avvicinamento è la condizione necessaria e imprescindibile per attivare la tutela a livello europeo. Senza una di queste due misure attive in Italia, non è possibile richiedere un Ordine di Protezione Europeo.

Come Viene Informata la Vittima?

Per assicurare che la vittima sia pienamente consapevole di questa opportunità, la legge italiana (attraverso l'introduzione del comma 1-bis all'art. 282-quater c.p.p.) stabilisce un obbligo preciso. Quando il giudice emette una delle due misure cautelari (art. 282-bis o 282-ter), deve obbligatoriamente comunicare alla persona offesa la sua facoltà di richiedere l'emissione di un Ordine di Protezione Europeo. Questo obbligo di informazione garantisce che un diritto così importante non rimanga inascoltato, fornendo alla vittima uno strumento concreto per pianificare il proprio futuro in sicurezza, anche al di fuori dei confini nazionali.

Conclusione: Una Tutela Senza Frontiere

In sintesi, l'ordinamento italiano dispone di strumenti di protezione specifici ed efficaci (artt. 282-bis e 282-ter c.p.p.) per tutelare le vittime di reati gravi come la violenza domestica e lo stalking. L'Ordine di Protezione Europeo rappresenta l'evoluzione naturale di questa tutela, trasformandola da un provvedimento puramente nazionale a un diritto esigibile in tutta l'Unione Europea. Grazie a questo meccanismo di cooperazione giudiziaria, la protezione non si ferma più alla frontiera, ma viaggia insieme alla persona, rafforzando in modo concreto la sua sicurezza e la sua libertà di circolare e vivere all'interno dello spazio comune europeo.

Tuttavia, nonostante la sua importanza fondamentale, l'OPE rimane uno strumento ancora poco conosciuto e utilizzato. La piena consapevolezza di questo diritto da parte delle vittime e degli operatori legali è essenziale per trasformare la promessa di una tutela senza frontiere in una realtà concreta e diffusa, garantendo che la sicurezza non sia mai un ostacolo alla libertà di movimento.

#violenzadigenere #stalking #codicerosso #ordinediprotezioneeuropeo #OPE

@Notizie dall'Italia e dal mondo

When the microcomputer first landed in homes some forty years ago, it came with a simple freedom—you could run whatever software you could get your hands on. Floppy disk from a friend? Pop it in. Shareware demo downloaded from a BBS? Go ahead! Dodgy code you wrote yourself at 2 AM? Absolutely. The computer you bought was yours. It would run whatever you told it to run, and ask no questions.

Today, that freedom is dying. What’s worse, is it’s happening so gradually that most people haven’t noticed we’re already halfway into the coffin.

News? Pegged.

There are always security risks when running code from untrusted sources. The stakes are higher these days when our computers are the gateways to our personal and financial lives. Credit: Screenshot
The latest broadside fired in the war against platform freedom has been fired. Google recently announced new upcoming restrictions on APK installations. Starting in 2026, Google will tightening the screws on sideloading, making it increasingly difficult to install applications that haven’t been blessed by the Play Store’s approval process. It’s being sold as a security measure, but it will make it far more difficult for users to run apps outside the official ecosystem. There is a security argument to be made, of course, because suspect code can cause all kinds of havoc on a device loaded with a user’s personal data. At the same time, security concerns have a funny way of aligning perfectly with ulterior corporate motives.

It’s a change in tack for Google, which has always had the more permissive approach to its smartphone platform. Contrast it to Apple, which has sold the iPhone as a fully locked-down device since day one. The former company said that if you own your phone, you could do what you want with it. Now, it seems Google is changing its mind ever so slightly about that. There will still be workarounds, like signing up as an Android developer and giving all your personal ID to Google, but it’s a loss to freedom whichever way you look at it.

Beginnings

Sony put a great deal of engineering into the PlayStation to ensure it would only read Sony-approved discs. Modchips sprung up as a way to get around that problem, albeit primarily so owners could play cheaper pirated games. Credit: Libreleah, CC BY-SA 4.0,
The walled garden concept didn’t start with smartphones. Indeed, video game consoles were a bit of a trailblazer in this space, with manufacturers taking this approach decades ago. The moment gaming became genuinely profitable, console manufacturers realized they could control their entire ecosystem. Proprietary formats, region systems, and lockout chips were all valid ways to ensure companies could levy hefty licensing fees from developers. They locked down their hardware tighter than a bank vault, and they did it for one simple reason—money. As long as the manufacturer could ensure the console wouldn’t run unapproved games, developers would have to give them a kickback for every unit sold.

By and large, the market accepted this. Consoles were single-purpose entertainment machines. Nobody expected to run their own software on a Nintendo, after all. The deal was simple—you bought a console from whichever company, and it would only play whatever they said was okay. The vast majority of consumers didn’t care about the specifics. As long as the console in question had a decent library, few would complain.
Nintendo created the 10NES copy protection system to ensure its systems would only play games approved by the company itself, in an attempt to exert quality control after the 1983 North American video game crash. Credit: Evan-Amos, public domain
There was always an underground—adapters to work around region locks, and bootleg games that relied on various hacks—with varying popularity over the years. Often, it was high prices that drove this innovation—think of the many PlayStation mod chips sold to play games off burnt CDs to avoid paying retail.

At the time, this approach largely stayed within the console gaming world. It didn’t spread to actual computers because computers were tools. You didn’t buy a PC to consume content someone else curated for you. You bought it to do whatever you wanted—write a novel, make a spreadsheet, play games, create music, or waste time on weird hobby projects. The openness wasn’t a bug, or even something anybody really thought about. It was just how computers were. It wasn’t just a PC thing, either—every computer on the market let you run what you wanted! It wasn’t just desktops and laptops, either; the nascent tablets and PDAs of the 1990s operated in just the same way.

Then came the iPhone, and with it, the App Store. Apple took the locked-down model and applied it to a computer you carry in your pocket. The promise was that you’d only get apps that were approved by Apple, with the implicit guarantee of a certain level of quality and functionality.
Apple is credited with pioneering the modern smartphone, and in turn, the walled garden that is the App Store. Credit: Apple
It was a bold move, and one that raised eyebrows among developers and technology commentators. But it worked. Consumers loved having access to a library of clean and functional apps, built right into the device. Meanwhile, they didn’t really care that they couldn’t run whatever kooky app some random on the Internet had dreamed up.

Apple sold the walled garden as a feature. It wasn’t ashamed or hiding the fact—it was proud of it. It promised apps with no viruses and no risks; a place where everything was curated and safe. The iPhone’s locked-down nature wasn’t a restriction; it was a selling point.

But it also meant Apple controlled everything. Every app paid Apple’s tax, and every update needed Apple’s permission. You couldn’t run software Apple didn’t approve, full stop. You might have paid for the device in your pocket, but you had no right to run what you wanted on it. Someone in Cupertino had the final say over that, not you.

When Android arrived on the scene, it offered the complete opposite concept to Apple’s control. It was open source, and based on Linux. You could load your own apps, install your own ROMs and even get root access to your device if you wanted. For a certain kind of user, that was appealing. Android would still offer an application catalogue of its own, curated by Google, but there was nothing stopping you just downloading other apps off the web, or running your own code.

Sadly, over the years, Android has been steadily walking back that openness. The justifications are always reasonable on their face. Security updates need to be mandatory because users are terrible at remembering to update. Sideloading apps need to come with warnings because users will absolutely install malware if you let them just click a button. Root access is too dangerous because it puts the security of the whole system and other apps at risk. But inch by inch, it gets harder to run what you want on the device you paid for.

Windows Watches and Waits

The walled garden has since become a contagion, with platforms outside the smartphone space considering the tantalizing possibilities of locking down. Microsoft has been testing the waters with the Microsoft Store for years now, with mixed results. Windows 10 tried to push it, and Windows 11 is trying harder. The store apps are supposedly more secure, sandboxed, easier to manage, and straightforward to install with the click of a button.
Microsoft has tried multiple times to sell versions of Windows that are locked to exclusively run apps from the Microsoft Store. Thus far, these attempts have been commercial failures. Credit: screenshot
Microsoft hasn’t pulled the trigger on fully locking down Windows. It’s flirted with the idea, but has seen little success. Windows RT and Windows 10 S were both locked to only run software signed by Microsoft—each found few takers. Desktop Windows remains stubbornly open, capable of running whatever executable you throw at it, even if it throws up a few more dialog boxes and question marks with every installer you run these days.

How long can this last? One hopes a great while yet. A great deal of users still expect a computer—a proper one, like a laptop or desktop—to run whatever mad thing they tell it to. However, there is an increasing userbase whose first experience of computing was in these locked-down tablet and smartphone environments. They aren’t so demanding about little things like proper filesystem access or the ability to run unsigned code. They might not blink if that goes away.

For now, desktop computing has the benefit of decades of tradition built in to it. Professional software, development tools, and specialized applications all depend on the ability to install whatever you need. Locking that down would break too many workflows for too many important customers. Masses of scientific users would flee to Linux the moment their obscure datalogger software couldn’t afford an official license to run on Windows;. Industrial users would baulk at having to rely on a clumsy Microsoft application store when bringing up new production lines.

Apple had the benefit that it was launching a new platform with the iPhone; one for which there were minimal expectations. In comparison, Microsoft would be climbing an almighty mountain to make the same move on the PC, where the culture is already so established. Apple could theoretically make moves in that direction with OS X and people would be perhaps less surprised, but it would still be company making a major shift when it comes to customer expectations of the product.

Here’s what bothers me most: we’re losing the idea that you can just try things with computers. That you can experiment. That you can learn by doing. That you can take a risk on some weird little program someone made in their spare time. All that goes away with the walled garden. Your neighbour can’t just whip up some fun gadget and share it with you without signing up for an SDK and paying developer fees. Your obscure game community can’t just write mods and share content because everything’s locked down. So much creativity gets squashed before it even hits the drawing board because it’s just not feasible to do it.

It’s hard to know how to fight this battle. So much ground has been lost already, and big companies are reluctant to listen to the esoteric wishers of the hackers and makers that actually care about the freedom to squirt whatever through their own CPUs. Ultimately, though, you can still vote with your wallet. Don’t let Personal Computing become Consumer Computing, where you’re only allowed to run code that paid the corporate toll. Make sure the computers you’re paying for are doing what you want, not just what the executives approved of for their own gain. It’s your computer, it should run what you want it to!

hackaday.com/2025/10/22/what-h…

La Nigeria stringe le maglie sulle operazioni di cyber-crimine all’interno del suo territorio e sta procedendo a un’ampia operazione di espulsione dei residenti stranieri sospettati di attività illecite.

L’Organized Crime and Corruption Reporting Project (Occrp) ha segnalato l’espulsione avvenuta a ottobre di 192 sospetti con cittadinanza di Cina, Filippine, Tunisia, Malesia, Pakistan, Kirghizistan e Timor Est arrestati e condannati per cyberterrorismo, frode informatica e reati correlati.

I soggetti in questione erano accusati di contribuire a uno schema di riciclaggio internazionale connesso alla conversione di denaro “sporco” in criptovalute e alla costruzione di schemi Ponzi. La presenza tra gli espulsi di esponenti dei Paesi dell’Asia orientale e del Kirghizistan, hub centroasiatico dell’aggiramento delle sanzioni da parte della Russia tramite gli exchange di criptovalute, alimenta la solidità di questa tesi. E non finisce qui. Ad agosto 50 cittadini cinesi e 102 soggetti in totale erano stati espulsi per un’analoga violazione della legge anti-cybercrimine nel Paese più popolato dell’Africa.

Come ha ricordato la Bbc:

La Nigeria è nota per le frodi online e le truffe sentimentali sono all’ordine del giorno. Secondo la Commissione per i reati economici e finanziari (EFCC), i casi di criminalità informatica sono stati tra i reati più diffusi in Nigeria lo scorso anno.

La Nigeria sta da tempo prendendo consapevolezza di essere un epicentro di catene del valore criminali transnazionali che seguono un principio di filiera e divisione del lavoro paragonabile a quello delle attività lecite sfruttando i meccanismi, soprattutto digitali e tecnologici, della globalizzazione.

Il Nigeria Cybercrimes Act del 2024 sostenuto dal presidente Bola Tinbu offre alla polizia e alle agenzie di sicurezza nazionali la possibilità di intercettare comunicazioni riservate di molti sospetti anche prima dell’emissione di un mandato dei tribunali in casi di percepito rischio securitario. Si è chiesto alle compagnie di telecomunicazioni di estendere i tempi di conservazione dei dati, alle banche di segnalare i bonifici sospetti tempestivamente, agli operatori fintech di prevenire le transazioni non autorizzate o illegali con le cripto.

Il “Guardian” di Lagos, una delle maggiori testate del Paese, ha scritto che “la Nigeria ha promosso attivamente delle partnership, tra cui un recente accordo di cooperazione in materia di sicurezza informatica con il Regno Unito nell’aprile 2025 e un accordo con l’FBI e il governo cambogiano, per intensificare gli sforzi contro la criminalità informatica internazionale” e avviato con l’appoggio di Londra e del Commonwealth un Joint Case Team on Cybercrime che riunisce “le principali agenzie di giustizia e sicurezza per migliorare l’individuazione, l’indagine e il perseguimento dei reati informatici”.

Da un lato, dunque, Abuja sta pensando a promuovere una serie di scenari operativi finalizzati a una maggiore sicurezza internazionale e alla prevenzione del cybercrime. Dall’altro, le normative introdotte internamente appaiono assai complesse e articolate e potenzialmente sospettabili di aprire la strada a repressioni della libertà d’espressione e a una sorveglianza estesa. In parallelo, l’assenza di un ragionamento politico sul ruolo delle mafie, specie quella nazionale, nel processo e lo scaricabarile su singoli soggetti – per quanto problematici – di nazionalità straniera potrebbe ridurre la percezione di un fenomeno che, a conti fatti, è di rango globale.

L'articolo La stretta della Nigeria sul cyber-crimine straniero proviene da InsideOver.

Nella giornata di oggi, migliaia di utenti Fastweb in tutta Italia hanno segnalato problemi di connessione alla rete fissa, con interruzioni improvvise del servizio Internet e difficoltà a navigare o accedere ai principali siti web.

Le segnalazioni, raccolte su piattaforme come DownDetector, hanno iniziato a crescere rapidamente dalle prime ore del mattino, raggiungendo oltre 35.000 segnalazioni nel giro di poche ore.
Le aree più colpite sembrano essere Milano, Roma, Torino, Bologna, Napoli, Palermo e Firenze, ma i disservizi si sono estesi anche ad altre zone del Paese.

Molti utenti hanno lamentato assenza totale di connessione, problemi di routing e DNS, oltre a difficoltà nell’accesso a servizi Google, social network e piattaforme di streaming.

Dopo la pubblicazione del nostro articolo, Fastweb ha contattato Red Hot Cyber, fornendo una comunicazione ufficiale sullo stato della situazione:

Fastweb conferma che è in corso un disservizio temporaneo su rete fissa. I tecnici sono al lavoro per ripristinare i servizi nel minor tempo possibile. Fastweb si scusa con i clienti coinvolti e provvederà ad aggiornare tempestivamente sull’avanzamento dei lavori.

Al momento, i tecnici dell’azienda stanno lavorando per individuare la causa precisa del guasto e ripristinare progressivamente i collegamenti. La società invita i clienti coinvolti a monitorare i propri canali ufficiali per ricevere aggiornamenti in tempo reale sull’avanzamento dei lavori.

Red Hot Cyber continuerà a seguire la vicenda e a fornire aggiornamenti non appena saranno disponibili nuove informazioni.

L'articolo Fastweb conferma il problema e fornisce una dichiarazione ufficiale proviene da Red Hot Cyber.

I ricercatori hanno scoperto 131 estensioni per automatizzare il funzionamento di WhatsApp Web nello store ufficiale di Chrome. Tutte venivano utilizzate per inviare spam di massa agli utenti brasiliani.

Secondo gli analisti di Socket, tutte queste estensioni condividono la stessa base di codice, gli stessi design pattern e la stessa infrastruttura. Insieme, contano circa 20.905 utenti attivi.

“Non si tratta di un malware classico; è una campagna di spam automatizzata ad alto rischio che viola le regole della piattaforma”, spiega Kirill Boychenko, specialista di Socket. “Il codice viene iniettato direttamente nella pagina Web di WhatsApp, collaborando con gli script di WhatsApp per automatizzare gli invii di massa e la pianificazione in modo da aggirare la protezione anti-spam.”

L’obiettivo finale di questa campagna è inviare messaggi di massa tramite WhatsApp in modo da aggirare i limiti di frequenza dei messaggi e la protezione antispam della piattaforma. I ricercatori scrivono che questa attività è in corso da almeno nove mesi, con nuovi download e aggiornamenti delle estensioni osservati solo il 17 ottobre 2025.

Ogni estensione utilizza un nome e un logo diversi, ma la maggior parte è pubblicata dagli sviluppatori WL Extensão e WLExtensao. A volte, le estensioni vengono pubblicizzate come strumenti CRM per WhatsApp, promettendo di massimizzare le vendite tramite la versione web del messenger.

Gli esperti ritengono che tali differenze nel branding siano il risultato del franchising, che consente agli operatori di estensioni di inondare il Chrome Web Store con cloni dell’estensione ZapVende originale creata da DBX Tecnologia.

“Trasforma WhatsApp in un potente strumento di vendita e gestione dei contatti. Con Zap Vende avrai accesso a un CRM intuitivo, all’automazione dei messaggi, all’invio di email di massa, a un funnel di vendita visivo e molto altro”, si legge nella descrizione di un’estensione nel Chrome Web Store. “Organizza il servizio clienti, monitora i lead e pianifica i messaggi in modo pratico ed efficace.”

Secondo Socket, DBX Technology pubblicizza un programma di rivendita white-label che consente ai potenziali partner di rinnovare il marchio e vendere l’estensione WhatsApp Web con il proprio marchio. I ricercatori sottolineano che tutto ciò viola la politica antispam e antiabuso del Chrome Web Store. In particolare, agli sviluppatori e ai loro partner è vietato ospitare più estensioni con funzionalità duplicate sulla piattaforma.

Inoltre, è stato scoperto che DBX aveva pubblicato su YouTube dei video su come aggirare gli algoritmi anti-spam di WhatsApp quando si utilizzano tali estensioni.

L'articolo Scoperte 131 estensioni Chrome per WhatsApp Web utilizzate per spam di massa proviene da Red Hot Cyber.

Agenzia per la Cybersicurezza Nazionale – Sala ACN, Corso d’Italia, 41, 00198, Roma

Il corso formativo concernerà il fenomeno dell’information disorder (lett. disordine informativo) e delle fake news, con particolare attenzione al quadro giuridico nazionale, europeo e internazionale e ai possibili rimedi. L’obiettivo è quello di fornire ai giornalisti strumenti utili per riconoscere e contrastare tale fenomeno, nell’interesse della qualità dell’informazione e della tutela del diritto dei cittadini a ricevere notizie verificate e attendibili.

Il corso si propone di approfondire i profili giuridici legati alla libertà di espressione, alla regolamentazione dell’informazione e alle responsabilità degli attori digitali.

Verranno esaminati strumenti normativi e casi concreti, nazionali e internazionali, per aiutare i giornalisti a orientarsi in un panorama sempre più complesso e sfidante. L’argomento è di rilevante importanza giornalistica per l’impatto che ha sulla credibilità dell’informazione e sul ruolo democratico della stampa. Verrà analizzato l’articolo 21 della Costituzione italiana, che tutela della libertà di espressione e di stampa, in cui ognuno ha il diritto di manifestare liberamente il proprio pensiero con qualsiasi mezzo di diffusione, ponendo le basi per una tutela ampia della libertà di espressione e informazione.

Con la digitalizzazione dell’informazione, le PSYOPS (psycological operations) hanno acquisito una potenza senza precedenti, diventando uno strumento chiave nei conflitti ibridi e nell’influenza mediatica globale. La manipolazione dell’informazione e dell’opinione pubblica, ingannare e arrecare danno a individui o società incide a livello multidimensionale, coinvolgendo diritto, politica, comunicazione, tecnologia, salute, cultura, sociale, ambiente e così via. Si osserverà come si può facilmente influenzare sentimenti, pensieri e azioni di un pubblico specifico, al fine di ottenere vantaggi strategici in ambito politico, militare o sociale.

Verranno illustrati diversi esempi di diffusione di fake news, alterazione di contenuti, uso strategico dei social per destabilizzare o polarizzare l’opinione pubblica. Si prenderà in esame l’articolo 19 del nuovo Codice Deontologico delle Giornaliste e dei Giornalisti che introduce una regola specifica sull’uso dell’intelligenza artificiale. In primo luogo, viene stabilito un principio fondamentale: le nuove tecnologie possono affiancare il lavoro giornalistico, ma non possono mai sostituirlo. Se una o un giornalista decide di utilizzare strumenti di intelligenza artificiale, ha il dovere di dichiararlo apertamente, sia nella produzione sia nell’elaborazione di testi, immagini o materiali sonori. Resta comunque sua la piena responsabilità del contenuto e del risultato finale, e deve sempre chiarire in che modo l’IA abbia contribuito al lavoro svolto. Inoltre, anche quando fa ricorso a queste tecnologie, la giornalista o il giornalista deve continuare a verificare attentamente fonti, dati e informazioni, garantendone la veridicità. L’uso dell’intelligenza artificiale, infatti, non può mai essere invocato come giustificazione per eludere i doveri deontologici che regolano la professione.

Introduzione:

Bruno Frattasi, direttore generale dell’Agenzia per la cybersicurezza nazionale (ACN);

Guido D’Ubaldo, presidente dell’Ordine dei Giornalisti del Lazio;

Carlo Bartoli, presidente nazionale dell’Ordine dei Giornalisti;

Vittorio Rizzi, direttore generale del DIS;

Lorenzo Guerini, CPASIR (Comitato Parlamentare per la Sicurezza della Repubblica);

Stefano Mannino, Generale di Corpo d’Armata (Esercito Italiano) e Presidente del Centro Alti Studi Difesa/Scuola Superiore Universitaria ad Ordinamento Speciale (CASD/SSUOS)

Relatori:

Arturo Di Corinto, Public Affairs and Communication Advisor nell’Agenzia per la cybersicurezza nazionale (ACN);

Ranieri Razzante, professore e avvocato, docente di Cybercrime Università di Perugia e Membro Comitato per la strategia su IA;

Federica Fabrizzi, professoressa ordinaria di Diritto dell’informazione presso il Dipartimento di Scienze Politiche dell’Università La Sapienza di Roma;

Oreste Pollicino, professore ordinario di Diritto costituzionale e regolamentazione dell’intelligenza artificiale alla Bocconi;

Luigi Camilloni, direttore responsabile dell’Agenparl (Agenzia parlamentare) ed esperto in PSYOPS;

Laura Camilloni, caporedattore dell’Agenparl (Agenzia parlamentare) ed esperta in information disorder;

Manuela Biancospino, consigliera dell’Ordine dei Giornalisti del Lazio

dicorinto.it/formazione/notizi…

Executive summary

From August 26 to 27, 2025, BetterBank, a decentralized finance (DeFi) protocol operating on the PulseChain network, fell victim to a sophisticated exploit involving liquidity manipulation and reward minting. The attack resulted in an initial loss of approximately $5 million in digital assets. Following on-chain negotiations, the attacker returned approximately $2.7 million in assets, mitigating the financial damage and leaving a net loss of around $1.4 million. The vulnerability stemmed from a fundamental flaw in the protocol’s bonus reward system, specifically in the swapExactTokensForFavorAndTrackBonus function. This function was designed to mint ESTEEM reward tokens whenever a swap resulted in FAVOR tokens, but critically, it lacked the necessary validation to ensure that the swap occurred within a legitimate, whitelisted liquidity pool.

A prior security audit by Zokyo had identified and flagged this precise vulnerability. However, due to a documented communication breakdown and the vulnerability’s perceived low severity, the finding was downgraded, and the BetterBank development team did not fully implement the recommended patch. This incident is a pivotal case study demonstrating how design-level oversights, compounded by organizational inaction in response to security warnings, can lead to severe financial consequences in the high-stakes realm of blockchain technology. The exploit underscores the importance of thorough security audits, clear communication of findings, and multilayered security protocols to protect against increasingly sophisticated attack vectors.

In this article, we will analyze the root cause, impact, and on-chain forensics of the helper contracts used in the attack.

Incident overview

Incident timeline

The BetterBank exploit was the culmination of a series of events that began well before the attack itself. In July 2025, approximately one month prior to the incident, the BetterBank protocol underwent a security audit conducted by the firm Zokyo. The audit report, which was made public after the exploit, explicitly identified a critical vulnerability related to the protocol’s bonus system. Titled “A Malicious User Can Trade Bogus Tokens To Qualify For Bonus Favor Through The UniswapWrapper,” the finding was a direct warning about the exploit vector that would later be used. However, based on the documented proof of concept (PoC), which used test Ether, the severity of the vulnerability was downgraded to “Informational” and marked as “Resolved” in the report. The BetterBank team did not fully implement the patched code snippet.

The attack occurred on August 26, 2025. In response, the BetterBank team drained all remaining FAVOR liquidity pools to protect the assets that had not yet been siphoned. The team also took the proactive step of announcing a 20% bounty for the attacker and attempted to negotiate the return of funds.

Remarkably, these efforts were successful. On August 27, 2025, the attacker returned a significant portion of the stolen assets – 550 million DAI tokens. This partial recovery is not a common outcome in DeFi exploits.

Financial impact

This incident had a significant financial impact on the BetterBank protocol and its users. Approximately $5 million worth of assets was initially drained. The attack specifically targeted liquidity pools, allowing the perpetrator to siphon off a mix of stablecoins and native PulseChain assets. The drained assets included 891 million DAI tokens, 9.05 billion PLSX tokens, and 7.40 billion WPLS tokens.

In a positive turn of events, the attacker returned approximately $2.7 million in assets, specifically 550 million DAI. These funds represented a significant portion of the initial losses, resulting in a final net loss of around $1.4 million. This figure speaks to the severity of the initial exploit and the effectiveness of the team’s recovery efforts. While data from various sources show minor fluctuations in reported values due to real-time token price volatility, they consistently point to these key figures.

A detailed breakdown of the losses and recovery is provided in the following table:

Protocol description and vulnerability analysis

The BetterBank protocol is a decentralized lending platform on the PulseChain network. It incorporates a two-token system that incentivizes liquidity provision and engagement. The primary token is FAVOR, while the second, ESTEEM, acts as a bonus reward token. The protocol’s core mechanism for rewarding users was tied to providing liquidity for FAVOR on decentralized exchanges (DEXs). Specifically, a function was designed to mint and distribute ESTEEM tokens whenever a trade resulted in FAVOR as the output token. While seemingly straightforward, this incentive system contained a critical design flaw that an attacker would later exploit.

The vulnerability was not a mere coding bug, but a fundamental architectural misstep. By tying rewards to a generic, unvalidated condition – the appearance of FAVOR in a swap’s output – the protocol created an exploitable surface. Essentially, this design choice trusted all external trading environments equally and failed to anticipate that a malicious actor could replicate a trusted environment for their own purposes. This is a common failure in tokenomics, where the focus on incentivization overlooks the necessary security and validation mechanisms that should accompany the design of such features.

The technical root cause of the vulnerability was a fundamental logic flaw in one of BetterBank’s smart contracts. The vulnerability was centered on the swapExactTokensForFavorAndTrackBonus function. The purpose of this function was to track swaps and mint ESTEEM bonuses. However, its core logic was incomplete: it only verified that FAVOR was the output token from the swap and failed to validate the source of the swap itself. The contract did not check whether the transaction originated from a legitimate, whitelisted liquidity pool or a registered contract. This lack of validation created a loophole that allowed an attacker to trigger the bonus system at will by creating a fake trading environment.

This primary vulnerability was compounded by a secondary flaw in the protocol’s tokenomics: the flawed design of convertible rewards.

The ESTEEM tokens, minted as a bonus, could be converted back into FAVOR tokens. This created a self-sustaining feedback loop. An attacker could trigger the swapExactTokensForFavorAndTrackBonus function to mint ESTEEM, and then use those newly minted tokens to obtain more FAVOR. The FAVOR could then be used in subsequent swaps to mint even more ESTEEM rewards. This cyclical process enabled the attacker to generate an unlimited supply of tokens and drain the protocol’s real reserves. The synergistic combination of logic and design flaws created a high-impact attack vector that was difficult to contain once initiated.

To sum it up, the BetterBank exploit was the result of a critical vulnerability in the bonus minting system that allowed attackers to create fake liquidity pairs and harvest an unlimited amount of ESTEEM token rewards. As mentioned above, the system couldn’t distinguish between legitimate and malicious liquidity pairs, creating an opportunity for attackers to generate illegitimate token pairs. The BetterBank system included protection measures against attacks capable of inflicting substantial financial damage – namely a sell tax. However, the threat actors were able to bypass this tax mechanism, which exacerbated the impact of the attack.

Exploit breakdown

The exploit targeted the bonus minting system of the favorPLS.sol contract, specifically the logBuy() function and related tax logic. The key vulnerable components are:

1. File: favorPLS.sol
2. Vulnerable function: logBuy(address user, uint256 amount)
3. Supporting function: calculateFavorBonuses(uint256 amount)
4. Tax logic: _transfer() function

The logBuy function only checks if the caller is an approved buy wrapper; it doesn’t validate the legitimacy of the trading pair or liquidity source.
function logBuy(address user, uint256 amount) external {
require(isBuyWrapper[msg.sender], "Only approved buy wrapper can log buys");

(uint256 userBonus, uint256 treasuryBonus) = calculateFavorBonuses(amount);
pendingBonus[user] += userBonus;

esteem.mint(treasury, treasuryBonus);
emit EsteemBonusLogged(user, userBonus, treasuryBonus);
The tax only applies to transfers to legitimate, whitelisted addresses that are marked as isMarketPair[recipient]. By definition, fake, unauthorized LPs are not included in this mapping, so they bypass the maximum 50% sell tax imposed by protocol owners.
function _transfer(address sender, address recipient, uint256 amount) internal override {
uint256 taxAmount = 0;

if (_isTaxExempt(sender, recipient)) {
super._transfer(sender, recipient, amount);
return;
}

// Transfer to Market Pair is likely a sell to be taxed
if (isMarketPair[recipient]) {
taxAmount = (amount * sellTax) / MULTIPLIER;
}

if (taxAmount > 0) {
super._transfer(sender, treasury, taxAmount);
amount -= taxAmount;
}

super._transfer(sender, recipient, amount);
}
The uniswapWraper.sol contract contains the buy wrapper functions that call logBuy(). The system only checks if the pair is in allowedDirectPair mapping, but this can be manipulated by creating fake tokens and adding them to the mapping to get them approved.
function swapExactTokensForFavorAndTrackBonus(
uint amountIn,
uint amountOutMin,
address[] calldata path,
address to,
uint256 deadline
) external {
address finalToken = path[path.length - 1];
require(isFavorToken[finalToken], "Path must end in registered FAVOR");
require(allowedDirectPair[path[0]][finalToken], "Pair not allowed");
require(path.length == 2, "Path must be direct");

// ... swap logic ...

uint256 twap = minterOracle.getTokenTWAP(finalToken);
if(twap < 3e18){
IFavorToken(finalToken).logBuy(to, favorReceived);
}
}

Step-by-step attack reconstruction

The attack on BetterBank was not a single transaction, but rather a carefully orchestrated sequence of on-chain actions. The exploit began with the attacker acquiring the necessary capital through a flash loan. Flash loans are a feature of many DeFi protocols that allow a user to borrow large sums of assets without collateral, provided the loan is repaid within the same atomic transaction. The attacker used the loan to obtain a significant amount of assets, which were then used to manipulate the protocol’s liquidity pools.

The attacker used the flash loan funds to target and drain the real DAI-PDAIF liquidity pool, a core part of the BetterBank protocol. This initial step was crucial because it weakened the protocol’s defenses and provided the attacker with a large volume of PDAIF tokens, which were central to the reward-minting scheme.

Capital acquisition

After draining the real liquidity pool, the attacker moved to the next phase of the operation. They deployed a new, custom, and worthless ERC-20 token. Exploiting the permissionless nature of PulseX, the attacker then created a fake liquidity pool, pairing their newly created bogus token with PDAIF.

This fake pool was key to the entire exploit. It enabled the attacker to control both sides of a trading pair and manipulate the price and liquidity to their advantage without affecting the broader market.

One critical element that made this attack profitable was the protocol’s tax logic. BetterBank had implemented a system that levied high fees on bulk swaps to deter this type of high-volume trading. However, the tax only applied to “official” or whitelisted liquidity pairs. Since the attacker’s newly created pool was not on this list, they were able to conduct their trades without incurring any fees. This critical loophole ensured the attack’s profitability.

Fake LP pair creation

After establishing the bogus token and fake liquidity pool, the attacker initiated the final and most devastating phase of the exploit: the reward minting loop. They executed a series of rapid swaps between their worthless token and PDAIF within their custom-created pool. Each swap triggered the vulnerable swapExactTokensForFavorAndTrackBonus function in the BetterBank contract. Because the function did not validate the pool, it minted a substantial bonus of ESTEEM tokens with each swap, despite the illegitimacy of the trading pair.

Each swap triggers:

• swapExactTokensForFavorAndTrackBonus()
• logBuy() function call
• calculateFavorBonuses() execution
• ESTEEM token minting (44% bonus)
• fake LP sell tax bypass

Reward minting loop

The newly minted ESTEEM tokens were then converted back into FAVOR tokens, which could be used to facilitate more swaps. This created a recursive loop that allowed the attacker to generate an immense artificial supply of rewards and drain the protocol’s real asset reserves. Using this method, the attacker extracted approximately 891 million DAI, 9.05 billion PLSX, and 7.40 billion WPLS, effectively destabilizing the entire protocol. The success of this multi-layered attack demonstrates how a single fundamental logic flaw, combined with a series of smaller design failures, can lead to a catastrophic outcome.

Economic impact comparison

Mitigation strategy

This attack could have been averted if a number of security measures had been implemented.

First, the liquidity pool should be verified during a swap. The LP pair and liquidity source must be valid.
function logBuy(address user, uint256 amount) external {
require(isBuyWrapper[msg.sender], "Only approved buy wrapper can log buys");

// ADD: LP pair validation
require(isValidLPPair(msg.sender), "Invalid LP pair");
require(hasMinimumLiquidity(msg.sender), "Insufficient liquidity");
require(isVerifiedPair(msg.sender), "Unverified trading pair");

// ADD: Amount limits
require(amount <= MAX_SWAP_AMOUNT, "Amount exceeds limit");

(uint256 userBonus, uint256 treasuryBonus) = calculateFavorBonuses(amount);
pendingBonus[user] += userBonus;

esteem.mint(treasury, treasuryBonus);
emit EsteemBonusLogged(user, userBonus, treasuryBonus);
}
The sell tax should be applied to all transfers.
function _transfer(address sender, address recipient, uint256 amount) internal override {
uint256 taxAmount = 0;

if (_isTaxExempt(sender, recipient)) {
super._transfer(sender, recipient, amount);
return;
}

// FIX: Apply tax to ALL transfers, not just market pairs
if (isMarketPair[recipient] || isUnverifiedPair(recipient)) {
taxAmount = (amount * sellTax) / MULTIPLIER;
}

if (taxAmount > 0) {
super._transfer(sender, treasury, taxAmount);
amount -= taxAmount;
}

super._transfer(sender, recipient, amount);
}
To prevent large-scale one-time attacks, a daily limit should be introduced to stop users from conducting transactions totaling more than 10,000 ESTEEM tokens per day.
mapping(address => uint256) public lastBonusClaim;
mapping(address => uint256) public dailyBonusLimit;
uint256 public constant MAX_DAILY_BONUS = 10000 * 1e18; // 10K ESTEEM per day

function logBuy(address user, uint256 amount) external {
require(isBuyWrapper[msg.sender], "Only approved buy wrapper can log buys");

// ADD: Rate limiting
require(block.timestamp - lastBonusClaim[user] > 1 hours, "Rate limited");
require(dailyBonusLimit[user] < MAX_DAILY_BONUS, "Daily limit exceeded");

// Update rate limiting
lastBonusClaim[user] = block.timestamp;
dailyBonusLimit[user] += calculatedBonus;

// ... rest of function
}

On-chain forensics and fund tracing

The on-chain trail left by the attacker provides a clear forensic record of the exploit. After draining the assets on PulseChain, the attacker swapped the stolen DAI, PLSX, and WPLS for more liquid, cross-chain assets. The perpetrator then bridged approximately $922,000 worth of ETH from the PulseChain network to the Ethereum mainnet. This was done using a secondary attacker address beginning with 0xf3BA…, which was likely created to hinder exposure of the primary exploitation address. The final step in the money laundering process was the use of a crypto mixer, such as Tornado Cash, to obscure the origin of the funds and make them untraceable.

Tracing the flow of these funds was challenging because many public-facing block explorers for the PulseChain network were either inaccessible or lacked comprehensive data at the time of the incident. This highlights the practical difficulties associated with on-chain forensics, where the lack of a reliable, up-to-date block explorer can greatly hinder analysis. In these scenarios, it becomes critical to use open-source explorers like Blockscout, which are more resilient and transparent.

The following table provides a clear reference for the key on-chain entities involved in the attack:

We managed to get hold of the attacker’s helper contracts to deepen our investigation. Through comprehensive bytecode analysis and contract decompilation, we determined that the attack architecture was multilayered. The attack utilized a factory contract pattern (0x792CDc4adcF6b33880865a200319ecbc496e98f8) that contained 18,219 bytes of embedded bytecode that were dynamically deployed during execution. The embedded contract revealed three critical functions: two simple functions (0x51cff8d9 and 0x529d699e) for initialization and cleanup, and a highly complex flash loan callback function (0x920f5c84) with the signature executeOperation(address[],uint256[],uint256[],address,bytes), which matches standard DeFi flash loan protocols like Aave and dYdX. Analysis of the decompiled code revealed that the executeOperation function implements sophisticated parameter parsing for flash loan callbacks, dynamic contract deployment capabilities, and complex external contract interactions with the PulseX Router (0x165c3410fc91ef562c50559f7d2289febed552d9).
contract BetterBankExploitContract {

function main() external {
// Initialize memory
assembly {
mstore(0x40, 0x80)
}

// Revert if ETH is sent
if (msg.value > 0) {
revert();
}

// Check minimum calldata length
if (msg.data.length < 4) {
revert();
}

// Extract function selector
uint256 selector = uint256(msg.data[0:4]) >> 224;

// Dispatch to appropriate function
if (selector == 0x51cff8d9) {
// Function: withdraw(address)
withdraw();
} else if (selector == 0x529d699e) {
// Function: likely exploit execution
executeExploit();
} else if (selector == 0x920f5c84) {
// Function: executeOperation(address[],uint256[],uint256[],address,bytes)
// This is a flash loan callback function!
executeOperation();
} else {
revert();
}
}

// Function 0x51cff8d9 - Withdraw function
function withdraw() internal {
// Implementation would be in the bytecode
// Likely withdraws profits to attacker address
}

// Function 0x529d699e - Main exploit function
function executeExploit() internal {
// Implementation would be in the bytecode
// Contains the actual BetterBank exploit logic
}

// Function 0x920f5c84 - Flash loan callback
function executeOperation(
address[] calldata assets,
uint256[] calldata amounts,
uint256[] calldata premiums,
address initiator,
bytes calldata params
) internal {
// This is the flash loan callback function
// Contains the exploit logic that runs during flash loan
}
}
The attack exploited three critical vulnerabilities in BetterBank’s protocol: unvalidated reward minting in the logBuy function that failed to verify legitimate trading pairs; a tax bypass mechanism in the _transfer function that only applied the 50% sell tax to addresses marked as market pairs; and oracle manipulation through fake trading volume. The attacker requested flash loans of 50M DAI and 7.14B PLP tokens, drained real DAI-PDAIF pools, and created fake PDAIF pools with minimal liquidity. They performed approximately 20 iterations of fake trading to trigger massive ESTEEM reward minting, converting the rewards into additional PDAIF tokens, before re-adding liquidity with intentional imbalances and extracting profits of approximately 891M DAI through arbitrage.

PoC snippets

To illustrate the vulnerabilities that made such an attack possible, we examined code snippets from Zokyo researchers.

First, a fake liquidity pool pair is created with FAVOR and a fake token is generated by the attacker. By extension, the liquidity pool pairs with this token were also unsubstantiated.
function _createFakeLPPair() internal {
console.log("--- Step 1: Creating Fake LP Pair ---");

vm.startPrank(attacker);

// Create the pair
fakePair = factory.createPair(address(favorToken), address(fakeToken));
console.log("Fake pair created at:", fakePair);

// Add initial liquidity to make it "legitimate"
uint256 favorAmount = 1000 * 1e18;
uint256 fakeAmount = 1000000 * 1e18;

// Transfer FAVOR to attacker
vm.stopPrank();
vm.prank(admin);
favorToken.transfer(attacker, favorAmount);

vm.startPrank(attacker);

// Approve router
favorToken.approve(address(router), favorAmount);
fakeToken.approve(address(router), fakeAmount);

// Add liquidity
router.addLiquidity(
address(favorToken),
address(fakeToken),
favorAmount,
fakeAmount,
0,
0,
attacker,
block.timestamp + 300
);

console.log("Liquidity added to fake pair");
console.log("FAVOR in pair:", favorToken.balanceOf(fakePair));
console.log("FAKE in pair:", fakeToken.balanceOf(fakePair));

vm.stopPrank();
}
Next, the fake LP pair is approved in the allowedDirectPair mapping, allowing it to pass the system check and perform the bulk swap transactions.
function _approveFakePair() internal {
console.log("--- Step 2: Approving Fake Pair ---");

vm.prank(admin);
routerWrapper.setAllowedDirectPair(address(fakeToken), address(favorToken), true);

console.log("Fake pair approved in allowedDirectPair mapping");
}
These steps enable exploit execution, completing FAVOR swaps and collecting ESTEEM bonuses.
function _executeExploit() internal {
console.log("--- Step 3: Executing Exploit ---");

vm.startPrank(attacker);

uint256 exploitAmount = 100 * 1e18; // 100 FAVOR per swap
uint256 iterations = 10; // 10 swaps

console.log("Performing %d exploit swaps of %d FAVOR each", iterations, exploitAmount / 1e18);

for (uint i = 0; i < iterations; i++) {
_performExploitSwap(exploitAmount);
console.log("Swap %d completed", i + 1);
}

// Claim accumulated bonuses
console.log("Claiming accumulated ESTEEM bonuses...");
favorToken.claimBonus();

vm.stopPrank();
}
We also performed a single swap in a local environment to demonstrate the design flaw that allowed the attackers to perform transactions over and over again.
function _performExploitSwap(uint256 amount) internal {
// Create swap path: FAVOR -> FAKE -> FAVOR
address[] memory path = new address[](2);
path[0] = address(favorToken);
path[1] = address(fakeToken);

// Approve router
favorToken.approve(address(router), amount);

// Perform swap - this triggers logBuy() and mints ESTEEM
router.swapExactTokensForTokensSupportingFeeOnTransferTokens(
amount,
0, // Accept any amount out
path,
attacker,
block.timestamp + 300
);
}
Finally, several checks are performed to verify the exploit’s success.
function _verifyExploitSuccess() internal {
uint256 finalFavorBalance = favorToken.balanceOf(attacker);
uint256 finalEsteemBalance = esteemToken.balanceOf(attacker);
uint256 esteemMinted = esteemToken.totalSupply() - initialEsteemBalance;

console.log("Attacker's final FAVOR balance:", finalFavorBalance / 1e18);
console.log("Attacker's final ESTEEM balance:", finalEsteemBalance / 1e18);
console.log("Total ESTEEM minted during exploit:", esteemMinted / 1e18);

// Verify the attack was successful
assertGt(finalEsteemBalance, 0, "Attacker should have ESTEEM tokens");
assertGt(esteemMinted, 0, "ESTEEM tokens should have been minted");

console.log("EXPLOIT SUCCESSFUL!");
console.log("Attacker gained ESTEEM tokens without legitimate trading activity");
}

Conclusion

The BetterBank exploit was a multifaceted attack that combined technical precision with detailed knowledge of the protocol’s design flaws. The root cause was a lack of validation in the reward-minting logic, which enabled an attacker to generate unlimited value from a counterfeit liquidity pool. This technical failure was compounded by an organizational breakdown whereby a critical vulnerability explicitly identified in a security audit was downgraded in severity and left unpatched.

The incident serves as a powerful case study for developers, auditors, and investors. It demonstrates that ensuring the security of a decentralized protocol is a shared, ongoing responsibility. The vulnerability was not merely a coding error, but rather a design flaw that created an exploitable surface. The confusion and crisis communications that followed the exploit are a stark reminder of the consequences when communication breaks down between security professionals and protocol teams. While the return of a portion of the funds is a positive outcome, it does not overshadow the core lesson: in the world of decentralized finance, every line of code matters, every audit finding must be taken seriously, and every protocol must adopt a proactive, multilayered defense posture to safeguard against the persistent and evolving threats of the digital frontier.

securelist.com/betterbank-defi…

[bogdanthegeek] has a lot of experience with the ARM platform, and their latest escapade into working with cheap ARM chips recovered from disposable vapes involved a realization that it was just plain wrong to debug such recovered silicon with something as expensive as a Pi Pico. No, they needed to build a debugger using the super cheap CH32V003.

What follows is an interesting tour around ARM Debug Access Probe (DAP) programmers and creating a practical USB-connected device that actually works with modern toolchains. The first problem to be solved was that of host connectivity. These days, it’s USB or go home, which immediately limits the microcontrollers you can choose. Luckily for [Bogdan], they were aware of the excellent work by [cnlohr] on wedging low-speed USB support onto the RISC-V CH32v003 with the software-only bit-banging rv003usb, which provided a starting point. The next issue was to check for interrupt-driven endpoint support (needed for low-speed USB) in the Mac OS X kernel, which they knew was being dropped at an alarming rate (well, at least for full-speed). Luckily, the CMSIS-DAP standard required support for interrupt-driven USB endpoints, so kernel support was likely intact.

Next, [Bogdan] noticed that the DAPLink project had been ported to the bigger, native-USB WCH chips like the CH32V203, so it was a matter of porting this code to the diminutive CH32V003 using the rv003usb stack for the USB support using [cnlohr]’s ch32fun toolchain. There were a few bumps along the way with a lack of clarity in the DAPLink code, and some inconsistencies (across platforms) with the USB library dependencies of the upstream tool pyOCD, but they did get some tools working on at least Mac OS and some others on Linux. Which was nice.

We’ve covered the CH32V003 a fair bit, with people trying to give it all kinds of big-CPU tricks, such as speech recognition (of sorts) or even building a supercluster.

hackaday.com/2025/10/22/worlds…

Mattinata difficile per i clienti Fastweb: dalle 9:30 circa, il numero di segnalazioni di malfunzionamento è schizzato alle stelle. Secondo i dati di Downdetector, le interruzioni hanno superato le 35.000 segnalazioni, concentrandosi soprattutto tra le 10:00 e le 11:00.

Gli utenti riferiscono assenza totale di connessione Internet, difficoltà nel caricare siti web, accedere ai servizi Google o inviare e-mail, sia da rete fissa che mobile.

Sui canali di discussione come Downdetector e Reddit, le testimonianze concordano: il problema non riguarda i dispositivi degli utenti, ma la rete centrale di Fastweb.

Molti segnalano anomalie nel sistema DNS (Domain Name System), che impedisce la traduzione dei nomi di dominio in indirizzi IP raggiungibili.

Un utente scrive:

Non è il modem che ha perso la testa: è la mappa delle rotte di Fastweb che ha fatto un faceplant. In pratica i nomi non si risolvono (DNS), e cambiare DNS aiuta solo se la vostra “strada” verso Google/Cloudflare è già stata riaperta…

Altri notano comportamenti particolari della rete, come il funzionamento parziale di alcune app:

Chiedo informazioni a qualcuno di voi: com’è possibile che su Instagram funziona tutto (aggiornamento pagina, visualizzazione video, reel, messaggi, commenti ecc…) usando la linea Wi-Fi che è in down, mentre Google e tante altre piattaforme niente? Succede anche a qualcun’altro?

Secondo diversi esperti, ciò può dipendere da cache locali o CDN alternative che continuano a servire parte del traffico, anche in presenza di problemi DNS o di routing.
Analisi CheckHost alle 13:09 del 22/10/2025
Numerosi utenti lamentano non solo problemi di collegamento, ma anche l’inaccessibilità del sito web ufficiale di Fastweb, che restituisce messaggi di errore o richiede tempi di caricamento eccessivi.

Anche i tentativi di contattare il servizio di assistenza clienti tramite il numero 192193 si stanno rivelando difficoltosi, con molti utenti che non riescono a ottenere risposta. Sui canali social, soprattutto su X (ex Twitter) e Facebook, l’azienda sta ricevendo un flusso costante di richieste di informazioni, segnalazioni e critiche.

L’hashtag #fastwebdown sta risultando tra i più popolari, con centinaia di post ogni minuto.

L'articolo Malfunzionamento Fastweb: migliaia di utenti senza connessione Internet proviene da Red Hot Cyber.