O site oficial também pode exibir autorizações maliciosas: o caso de 3 milhões de dólares me fez reentender o GRVT SecureKey
Em 25 de junho, a Polymarket confirmou oficialmente que um fornecedor terceirizado de front-end foi invadido e, por isso, um script malicioso foi injetado no verdadeiro front-end acessado por alguns usuários. A PeckShield, citando investigações na cadeia, afirma que cerca de 3 milhões de dólares em PUSD foram desviados; em seguida, foram transferidos de Polygon para Ethereum via ponte cross-chain e convertidos em aproximadamente 1.893 ETH. A Polymarket afirmou que removeu as dependências afetadas, contatou os usuários envolvidos e realizou uma compensação integral.
O mais contraintuitivo disso é o seguinte: domínios corretos, HTTPS funcionando e a conta conseguir fazer login não provam, por si só, que o conteúdo que você vai assinar a seguir corresponde à sua intenção real.
Esse é justamente o motivo de eu reavaliar o design do SecureKey
@grvt_io . Segundo o Centro de Ajuda da GRVT, as permissões da conta são divididas em duas camadas: e-mail e senha ou credenciais Web2 como Google/Microsoft OAuth, usadas para visualizar ativos, posições e participar de recursos que não são de negociação; já toda operação que possa alterar a titularidade dos ativos exige assinatura do Web3 SecureKey.
O SecureKey é, em essência, um par de chaves públicas e privadas do Ethereum. O usuário pode escolher uma carteira externa ou usar a solução de OTP por e-mail compatível com o Privy.
O sentido dessa segmentação é que, mesmo que as credenciais de login Web2 vazem, um atacante não consegue, apenas com o estado de login, concluir as mudanças de ativos que requerem a autorização do SecureKey.
Se o dispositivo for controlado por malware, se a extensão da carteira externa for substituída, ou se o usuário aprovar em um site real um conteúdo adulterado, ainda assim uma assinatura criptograficamente válida pode expressar a intenção errada. O que a autocustódia reduz é o risco de a plataforma mover ativos unilateralmente; ela não elimina automaticamente os riscos de phishing, de componentes dependentes, de contratos inteligentes e de ações pessoais.
Após esse incidente, passei a adicionar a cada uma das minhas assinaturas cinco verificações obrigatórias:
1. Acessar pelos favoritos ou pela entrada oficial, sem depender de anúncios de busca e links de mensagens privadas;
2. Determinar se a solicitação é apenas uma prova de login, ou se é pedido de compra, autorização de token, transferência ou saque;
3. Conferir ativos, quantidades, endereços de destino, contrato e o escopo da autorização;
4. Se a página não estiver coerente com o que a carteira mostra, ou se de repente exigir autorização infinita, cancelar imediatamente;
5. Em contas de alto valor, usar o máximo possível dispositivos dedicados para assinatura, sem colocar o ambiente do dia a dia de downloads e chaves valiosas no mesmo lugar.
#grvt #SelfCustody #WalletSecurity #Web3Security