As melhores informações sobre criptomoedas direto na sua caixa de entrada.
Este é o maior golpe de envenenamento de endereço já visto? Usuário alega perda de US$ 71 milhões em wBTC com novo golpe Ethereum
-
- Uma carteira digital teria enviado entre US$ 68 e US$ 71 milhões para um endereço de phishing.
- O ataque é semelhante a uma tendência anterior de "phishing de poeira" e se baseia em erros humanos ao copiar e colar endereços de destino.
- O verdadeiro dono da carteira não se apresentou, e os golpistas estão tentando ganhar publicidade com a história.
- Os usuários finais devem verificar endereços ou carteiras e implementar ferramentas para uma comparação mais detalhada.
Os últimos meses de 2024 pareceram a calmaria antes da tempestade, com muito menos golpes, fraudes e explorações de fundos em comparação com períodos anteriores. Uma nova forma de desviar fundos está se espalhando e afetando as carteiras mais recheadas.
A vulnerabilidade ficou conhecida como envenenamento de endereço. Consiste no envio de fundos para carteiras maliciosas em vez do destino pretendido. O ataque afeta usuários DeFi e plataformas de negociação descentralizadas.
O maior roubo afetou os BTC encapsulados na blockchain Ethereum
O roubo mais recente afetou um montante estimado entre 68 e 71 milhões de dólares, devido à flutuação dos preços de mercado.
O perigo mais grave do envenenamento de endereços é que todos os endereços envolvidos são totalmente válidos e utilizáveis. Muito provavelmente, um atacante injeta o endereço vulnerável no histórico do usuário por meio de microtransações.
Em seguida, o usuário pode copiar e colar o endereço Ethereum sem verificar, pensando que se trata do endereço de uma corretora ou de outra carteira. Em última análise, a exploração se baseia em erro humano e na falha em verificar algumas partes do endereço.
Os defensores dedentlegíveis por humanos também observaram que os nomes ENS poderiam evitar o incômodo de comparar sequências de endereços. Mas mesmo comparar as quatro primeiras e as quatro últimas letras do endereço às vezes não é suficiente para evitar o envio de fundos para o destino errado.
A vulnerabilidade atual sequer incluía ataques contra a função de copiar e colar, mas se baseava em ignorar o endereço injetado no histórico da carteira. Outra forma de ataque de endereço envenenado é mais avançada e envolve uma carteira comprometida que gera chaves privadas já conhecidas pelo criador.
Golpistas aplicam o mais recente golpe
O ataque em larga escala mais recente foi explorado por diversas personalidades das redes sociais, que parecem se passar pela vítima real. O dono da carteira não se apresentou de forma confiável, e muitos alegam ser o verdadeiro proprietário, como forma de promover seus tokens ou NFTs.
O pesquisador @Zachxbt permanece cético, enquanto permanece atento a novos golpistas:
A vulnerabilidade de alto perfil foi explorada mais uma vez para sorteios falsos, distribuição de NFTs ou simplesmente para dar visibilidade a um endereço de doação.
É possível salvar fundos de endereços comprometidos?
Nem todas as transações em blockchain são irreversíveis. Atualmente, o dono da carteira entrou em contato com os hackers, oferecendo uma comissão de 10% caso eles devolvam os fundos. Dependendo do protocolo, BTC encapsulado também pode ser elegível para retorno por parte dos validadores de bloco.
Atualmente, não há evidências de realocação de fundos.
O ataque de envenenamento de endereço é um crime em série?
Alguns céticos veem o roubo recente como uma ferramenta para gerar engajamento ou ganhar influência nas redes sociais. Ainda não há provas suficientes para traca carteira até seu dono, embora alguns afirmem ser a conta afetada.
O que é ainda mais curioso é que os fundos obtidos com a exploração da vulnerabilidade acabaram em um conjunto de carteiras digitais que está ligado a roubos de tokens anteriores.
Os tokens e ativos na Ethereum permanecem altamente transparentes, portanto, este grupo de carteiras foi identificado como "golpe de phishing falso". Os fundos não foram enviados para um serviço de mistura ou protocolo descentralizado, nem lavados por meio de NFTs.
O golpe de phishing "dust" voltou a acontecer?
A exploração atual também parece ser um ressurgimento do "dust phishing" , que já existe há mais de um ano. A abordagem desse ataque é a mesma: os atacantes enviam pequenas transações para carteiras com muitos fundos, fazendo-as acreditar que as quantias vêm de outros endereços legítimos.
Às vezes, o atacante consegue gerar um endereço onde até mesmo os quatro primeiros e os quatro últimos dígitos são iguais. A melhor maneira de evitar problemas é nunca copiar e colar endereços do histórico de transações. Em vez disso, obtenha o endereço de uma fonte confiável a cada vez.
A rede Ethereum e seu padrão de token não conseguem impedir transações "dust" (transações sem valor), e nem todos os endereços maliciosos podem ser sinalizados.
Os desenvolvedores estão oferecendo uma solução alternativa usando carteiras que podem comparar partes aleatórias dos dígitos e letras do endereço. Isso evitará o problema de verificar apenas os caracteres no início e no fim de um endereço.
Outras soluções incluem uma representação visual do endereço para evitar a necessidade de comparar as longas sequências ilegíveis.
As mentes mais brilhantes do mundo das criptomoedas já leem nossa newsletter. Quer participar? Junte-se a elas.
Aviso Legal. As informações fornecidas não constituem aconselhamento de investimento. Cryptopolitannão se responsabiliza por quaisquer investimentos realizados com base nas informações fornecidas nesta página. Recomendamostrona realização de pesquisas independentesdent /ou a consulta a um profissional qualificado antes de tomar qualquer decisão de investimento.
Hristina Vasileva
Hristina Vasileva é especialista em DeFi, negócios e notícias econômicas. Ela se formou na Universidade de Sofia com mestrado em Filosofia, após concluir uma graduação de quatro anos em Administração de Empresas, Jornalismo e Comunicação Social. Trabalhou para um dos principais jornais do país, cobrindo commodities e resultados corporativos. Atualmente, Hristina é colunista do Cryptopolitan.
CURSO
- Quais criptomoedas podem te fazer ganhar dinheiro?
- Como aumentar a segurança da sua carteira digital (e quais realmente valem a pena usar)
- Estratégias de investimento pouco conhecidas que os profissionais utilizam
- Como começar a investir em criptomoedas (quais corretoras usar, as melhores criptomoedas para comprar etc.)