Os golpistas usam uma variedade de técnicas para roubar o dinheiro dos usuários, algumas das quais exigem apenas o conhecimento do endereço da sua carteira, disse um pesquisador da Forta Network.
Os golpistas criaram pelo menos 7.905 carteiras blockchain em maio para coletar criptografia que roubam de usuários comuns, de acordo com a empresa de segurança blockchain Forta Network.
Forta, que lançou recentemente seu próprio token, opera uma rede de bots que detectam vários tipos de golpes nas blockchains Ethereum, Binance Smart Chain, Polygon, Optimism, Avalanche, Arbitrum e Fantom.
Christian Seifert, pesquisador residente da Forta que anteriormente trabalhou na divisão de pesquisa de segurança da Microsoft, disse à CoinDesk que os algoritmos da Forta podem detectar vários tipos de comportamento anômalo durante a varredura de transações em blockchains.
Algumas dessas anomalias são ataques às carteiras dos usuários.
Para alguns dos ataques, os golpistas contam com engenharia social – farejando informações pessoais dos usuários ou implantando truques para fazer com que os usuários de criptografia revelem suas senhas ou frases iniciais. Outros ataques exigem apenas o conhecimento do endereço da carteira da vítima.
Veja também: Chamar um hack de exploração minimiza o erro humano | Opinião
“Muitos ataques são ataques de engenharia social: os usuários são atraídos para um site, um site pede que eles conectem sua carteira, uma transação aparece, um usuário aprova e seu dinheiro desaparece”, disse Seifert.
‘Phishing de gelo’
O tipo de ataque mais prevalente em maio foi a técnica chamada “ice phishing”, que representou 55,8% de todos os ataques registrados pelo Forta. Ao contrário dos ataques de phishing mais óbvios ou conhecidos (o ice phishing é uma brincadeira com os ataques de “phishing” mais comuns vistos na Web), este tipo não visa diretamente as informações privadas dos usuários.
Em vez disso, um ice phisher engana a vítima para que assine uma transação blockchain maliciosa que abre acesso à carteira da vítima para que o invasor possa roubar todo o dinheiro. Nesses casos, as vítimas são frequentemente atraídas para um site de phishing projetado para imitar serviços criptográficos reais.
Esses golpes dependem de transações de “aprovação de token”, um dos usos mais comuns para carteiras Web3 sem custódia que permitem aos usuários conceder a contratos inteligentes uma certa quantidade de acesso às suas carteiras.
Em sua página de suporte, MetaMask, os criadores da carteira criptografada Ethereum mais popular observam que, ao conceder transações de aprovação de token, "você está firmemente no controle e detém a responsabilidade final por tudo o que faz. É por isso que é fundamental que você saiba exatamente o que está fazendo. inscrevendo-se quando você confirmar as aprovações de token."
Em um golpe semelhante ao mencionado acima, os invasores tentam enganar os usuários para que interajam com vários aplicativos descentralizados (dapps), incluindo exchanges descentralizadas (DEXs). Esses esquemas muitas vezes criam a ilusão de uma nova oportunidade lucrativa, como o lançamento aéreo de algum novo token, e exploram a tendência comum de cair no FOMO, ou o medo de perder, disse Seifert.
No entanto, em vez de interagir com um serviço legítimo, um usuário perde o controle sobre seus ativos para um invasor, assinando uma transação de aprovação de token.
“Os usuários clicam, clicam, clicam e as transações aparecem, geralmente com um cronômetro, e os usuários as aprovam sem verificar”, disse Seifert.
De acordo com Seifert, existem duas etapas cruciais para o ice phishing: “atrair uma vítima para um site [malicioso] e criar uma narrativa positiva.
“Uma variação do ataque de ice phishing é enganar os usuários para que enviem ativos nativos diretamente ao golpista. Isso é conseguido assinando uma função de ‘atualização de segurança’ do contrato do golpista”, disse Seifert, acrescentando que normalmente pequenas quantidades de criptografia são roubadas dessa forma.
NFTs, airdrops e envenenamento de endereço
Alguns ataques têm como alvo comerciantes de tokens não fungíveis (NFT). Por exemplo, os golpistas desenvolveram técnicas que aproveitam as peculiaridades da infraestrutura NFT, como o protocolo Seaport introduzido pela OpenSea e usado em muitos mercados NFT. Para vender NFTs no Seaport, os usuários criam ordens de venda assinando uma transação que é transmitida localmente na plataforma – em vez de na rede Ethereum mais ampla, para economizar dinheiro em taxas de transação.
Os invasores procuram usuários com NFTs valiosos e tentam enganá-los para que aprovem transações que venderiam seus valiosos ativos por uma fração do preço de mercado.
Os comerciantes de NFT de hoje estão frequentemente cientes das muitas maneiras pelas quais podem ser explorados. Alguns dos roubos de criptografia de maior destaque nos últimos anos tiveram como alvo figuras influentes do NFT. Isto levou a ataques de phishing cada vez mais direcionados e sofisticados.
Para o ataque de “envenenamento de endereço”, os invasores estudam o histórico de transações das carteiras de suas vítimas e procuram os endereços com os quais interagem mais. Eles então criam um endereço blockchain que pareceria familiar ao seu alvo e enviam à vítima uma transação com pouco ou nenhum valor. Esta transação tem como objetivo “envenenar” o histórico de transações da vítima, colocando o endereço malicioso em um local onde ela possa copiá-lo e colá-lo por engano quando fizer a próxima transação.
Mas muitas vezes, as explorações mais simples permanecem eficazes. Por exemplo, Seifert disse que os invasores costumam usar marcas reconhecíveis ao projetar explorações de engenharia social que conquistam a confiança ou a atenção das vítimas. Esse foi o caso do token tLINK fraudulento que os detentores de Chainlink (LINK) receberam no início de junho, quando um invasor lançou um token supostamente novo para os detentores de LINK.
Os golpistas incluíram uma oferta para os usuários trocarem tLINK por tokens LINK reais em um site de phishing no campo de descrição do token lançado no ar, disse Seifert. E se eles aceitassem essa oferta, teriam se queimado.
O que torna esses ataques mais complicados é que os invasores podem alocar tokens ERC-20 fraudulentos a um contrato inteligente legítimo e, em seguida, executar uma função que transfere esses tokens falsos para qualquer pessoa que possua um token direcionado, de acordo com Forta. Isso faz com que pareça que os usuários receberam um lançamento aéreo do contrato legítimo, embora não passe de uma fraude.
Veja também: Prevenção de explorações e hackers criptográficos em 2023
Ataques como esse nem exigem muito trabalho de reconhecimento dos invasores: tudo o que eles precisam saber sobre as vítimas são os endereços de suas carteiras.
Higiene das transações
Com hackers e golpistas cada vez mais diligentes, é importante sempre prestar atenção aos endereços com os quais sua carteira interage, disse Seifert. Idealmente, as carteiras precisam ter recursos de segurança integrados, disse ele, acrescentando que, no momento, a Forta fornece seu banco de dados de endereços fraudulentos para a carteira ZenGo.
A Forta atribui às carteiras blockchain diferentes pontuações de risco referentes ao seu envolvimento em possíveis comportamentos fraudulentos, disse Seifert.