Os golpistas exploram carteiras multisignature enganando as vítimas para conceder acesso de cossignatário ou de propriedade total, transformando um recurso de segurança em um ponto fraco.
Táticas comuns incluem armadilhas com seed phrase que induzem as vítimas a depositar em carteiras controladas por golpistas e a apropriação das permissão que bloqueiam as vítimas ao adicionar golpistas como coproprietários ou proprietários.
Proteja-se, nunca importe seed phrases fornecidas por terceiros, nunca compartilhe sua seed phrase, sempre revise as transações antes de assiná-las, verifique sites cuidadosamente e confira regularmente as permissões da sua carteira.
“Mais assinaturas significam mais segurança.” Mas e se uma delas agora pertence a um golpista?
A funcionalidade de multisignature (multisig) foi desenvolvida para aumentar a segurança das criptomoedas, exigindo múltiplas assinaturas de chave privada para aprovar uma transação. Em vez de um único ponto de falha, o controle é distribuído – assim, mesmo que uma chave seja comprometida, um hacker não deveria ser capaz de movimentar os fundos sem as outras chaves privadas.
No entanto, essa camada extra de proteção se tornou recentemente uma espada de dois gumes na TRON. Golpistas estão explorando o sistema flexível de permissões da rede que possibilita que os usuários controlem com precisão quem pode acessar e gerenciar suas contas. Neste blog, vamos analisar como a tecnologia multisig está sendo distorcida, de um escudo para uma arma – e o que os usuários da TRON precisam saber.
As contas da TRON utilizam um sistema de permissão que possibilita um controle detalhado sobre quais ações diferentes chaves podem realizar. Para nosso propósito, dois tipos de permissões são mais relevantes:
Permissão do proprietário: controla ações de alto nível, como modificar as permissões da conta ou transferir a propriedade.
Permissão ativa: controla operações regulares, como transferência de fundos ou interação com contratos inteligentes.
Para executar qualquer transação na rede TRON, ela deve ser assinada por uma chave privada ou uma combinação de chaves em uma configuração de multisignature que tenha a permissão apropriada e atenda ao limite necessário para essa ação específica.
Em um golpe comum de multisig, o golpista encontra uma maneira de se tornar um dos signatários necessários – seja induzindo a vítima para conceder acesso ou explorando falhas em contratos inteligentes ou permissões específicas da plataforma. Na rede TRON, essa tática assume duas formas.
Esses golpes divulgam seed phrases ou chaves privadas em várias plataformas, como YouTube e X, na esperança de atrair usuários desavisados a interagir com elas.
O esquema: os golpistas afirmam que não têm certeza de como transferir fundos de uma carteira. Eles compartilham a seed phrase publicamente, pedindo que a vítima a importe e ajude a movimentar os fundos – às vezes até prometendo uma recompensa.
A isca: a carteira aparece com uma grande quantidade de tokens ou USDT, atraindo as vítimas a transferir os fundos rapidamente.
A armadilha: embora a carteira tenha muitos tokens, ela não possui TRX suficiente – a moeda nativa necessária para pagar as taxas da transação. As vítimas, ansiosas para movimentar os fundos, frequentemente enviam seu próprio TRX para cobrir essas taxas.
A constatação: depois de depositar TRX na carteira, as vítimas descobrem que não podem concluir nenhuma transação porque a carteira é, na verdade, controlada pelo golpista. O golpista então transfere o TRX que a vítima enviou – resultando em uma perda para o usuário.
Como a configuração multisig da carteira requer múltiplas assinaturas – assinaturas que as vítimas não possuem – os usuários que enviam pequenas quantias de TRX para cobrir as taxas de transação acabam incapazes de movimentar quaisquer fundos. Os golpistas espalham publicamente essas carteiras com fundos nas redes sociais, esperando que muitas pessoas mordam a isca e enviem TRX sem qualquer contato direto. Com o tempo, os golpistas coletam passivamente quantidades consideráveis de TRX enquanto mantêm o controle total bloqueado.
Nem todos os golpes com multisig são armadilhas simples, onde os golpistas jogam a isca e esperam. Alguns são muito mais sofisticados e sinistros – criados para fazer com que a vítima adicione o golpista como coproprietário ou cossignatário da sua carteira. Uma vez que ganham esse acesso, eles podem bloquear os fundos ou, em alguns casos, assumir o controle total da carteira e drená-la completamente.
O esquema: os golpistas direcionam os usuários para sites maliciosos, seja se passando por funcionários do suporte da corretora ou promovendo oportunidades de airdrop falsas por meio das redes sociais.
A isca: a vítima é informada para resgatar um airdrop ou conectar sua carteira para participar de uma promoção. O objetivo? Fazer com que ela assine uma transação aparentemente inofensiva.
A armadilha: a transação não é o que parece. Em vez de resgatar uma recompensa, a vítima está aprovando uma atualização de permissão de conta sem saber. Os detalhes estão escondidos por trás de jargões confusos – ou atrás de um vago botão “Aprovar”.
A constatação: uma vez que a transação é assinada, as permissões da carteira são alteradas. Em alguns casos, os direitos totais de propriedade são transferidos para o golpista. Em outros casos, o golpista se torna um cossignatário e se coloca como um participante necessário para todas as transações futuras.
Agora com a carteira exigindo múltiplas assinaturas para movimentar quaisquer fundos – assinaturas que a vítima não controla mais – ela está efetivamente bloqueada.
Observação: táticas semelhantes também foram vistas na Solana. Os golpistas induzem os usuários a assinarem transações que transferem a autoridade das contas de token ou concedem amplos direitos de execução, levando ao mesmo resultado: a perda do controle.
Proteja sua seed phrase: sua seed phrase é a chave mestra da sua carteira. Nunca a compartilhe com ninguém e nunca importe chaves privadas ou seed phrases fornecidas por terceiros – não importa o motivo.
Pare e pense antes de assinar: sempre verifique mais de uma vez o que você está prestes a aprovar. Seja uma transação ou uma mensagem, reserve um momento para entender o que você está assinando.
Verifique os URLs dos sites: fique atento a sinais sutis como erros de ortografia, fontes ou layouts estranhos. Esses sinais podem indicar sites de phishing criados para imitar plataformas reais.
Verifique as permissões da sua carteira: use um explorador de blockchain como tronscan.org para inspecionar as configurações de permissão de qualquer carteira:
Cole o endereço da carteira na barra de pesquisa.
Na página da conta da carteira, procure por destaques de permissões que indiquem mudanças.
Clique no botão [Ver permissão da conta] ou na seção [Permissão da conta] na página para verificar todos os detalhes de quem controla a carteira e qual nível de acesso eles têm.
Mantenha-se alerta e informado: na Web3, sua melhor defesa não é apenas uma senha forte – é manter-se informado. De armadilhas de seed phrase a permissões da conta, os golpistas estão se tornando criativos em como explorar os recursos, como a tecnologia multisig, na TRON. Não deixe que peguem você desatento. Mantenha-se atualizado sobre as táticas de golpe em evolução ao seguir fontes confiáveis como a Binance Academy, nossa série Conheça os Golpes e blogs sobre segurança. Quanto mais você aprender, mais difícil será para um golpista enganá-lo. O conhecimento não é opcional. É proteção.
Carteiras multisignature são desenvolvidas para segurança – mas em mãos erradas, podem se tornar armas contra você. A boa notícia é que você não precisa ser um especialista em tecnologia para se manter seguro: apenas mantenha-se atento e questione tudo. Nunca compartilhe sua seed phrase, tampouco importe chaves de estranhos ou assine transações sem cautela. Faça com que a verificação das permissões da sua carteira se torne um hábito e, o mais importante, continue aprendendo – porque na Web3, o conhecimento não é apenas poder, é sua camada mais forte de proteção!
