Um hacker roubou mais de US$ 440.000 em USDC depois que o dono de uma carteira assinada, sem saber, uma assinatura maliciosa de “permissão”, de acordo com um tuíte do Scam Sniffer na segunda-feira (8).
O roubo ocorre em meio a um aumento nas perdas com phishing. Cerca de US$ 7,77 milhões foram perdidas de mais de 6.000 vítimas em novembro, segundo o relatório mensal da Scam Sniffer, representando um aumento de 137% nas perdas totais em relação a outubro, mesmo com a queda de 42% no número de vítimas.
“A caça às baleias se intensificou, com um prejuízo máximo de US$ 1,22 milhão (assinatura de permissão). Apesar da redução no número de ataques, as perdas individuais aumentaram significativamente”, observou a empresa.
O que são golpes de permissão?
Golpes baseados em permissão consistem em enganar usuários para que assinem uma transação que pareça legítima, mas que, na verdade, conceda ao atacante o direito de gastar seus tokens. Aplicativos descentralizados (dapps) maliciosos podem disfarçar campos, falsificar nomes de contratos ou apresentar solicitação de assinatura como algo rotineiro.
Se um usuário não examinar os detalhes cuidadosamente, consulte a solicitação de concessão de permissão para acessar todos os tokens ERC-20 do usuário. Uma vez concedida a permissão, os golpistas geralmente drenam os fundos imediatamente.
Leia também: O que é phishing e como se proteger de uma das maiores ameaças digitais da atualidade
O método explora a função de permissão do Ethereum, que foi projetado para facilitar as transferências de tokens, permitindo que os usuários deleguem direitos de gastos a aplicativos confiáveis. Essa conveniência se torna uma vulnerabilidade quando esses direitos são concedidos a um atacante.
“O que é particularmente complicado nesse tipo de ataque é que os aventureiros podem realizar a permissão e a transferência de tokens em uma única transação (uma abordagem do tipo ‘smash and grab’) ou podem se dar acesso por meio da permissão e, em seguida, permanecer inativos, aguardando para transferências quaisquer fundos adicionados posteriormente (desde que definam um prazo de acesso suficientemente longo nos metadados da função de permissão)”, disse Tara Annison, chefe de produto da Twinstake.
“O sucesso desse tipo de golpe depende de você resolver algo sem entender completamente o que vai acontecer”, disse ela, acrescentando: “Tudo se resume à vulnerabilidade humana e a tirar proveito da engenhosidade das pessoas”.
Annison acrescentou que esse incidente está longe de ser um caso isolado. “Há muitos exemplos de golpes de phishing de grande valor e volume, criados para enganar os usuários e levá-los a discutir algo que não os compreende totalmente. Muitas vezes, esses golpes são disfarçados de distribuição gratuita de dinheiro, páginas de destino falsas de projetos para conectar sua carteira (ou) alertas de segurança fraudulentos para verificar se você foi afetado”, acrescentou.
Como se proteger
Os provedores de carteiras digitais implementaram mais recursos de proteção. O MetaMask, por exemplo, alerta os usuários se um site parecer suspeito e tenta traduzir os dados da transação em uma linguagem compreensível para humanos. Outras carteiras também destacam ações de alto risco. Mas os golpistas continuam se adaptando.
Harry Donnelly, fundador e CEO da Circuit, disse que ataques do tipo “permit” são “bastantes comuns” e aconselha os usuários a verificarem os detalhes dos problemas e os detalhes do contrato.
“Essa é a maneira mais clara de saber se o protocolo não corresponde ao destino real dos fundos, pois provavelmente alguém está tentando roubá-los”, disse ele. “Você pode verificar o valor; muitas vezes, eles tentam conceder aprovações ilimitadas, como essa.”
Annison enfatizou que a vigilância ainda é a melhor defesa dos usuários. “A melhor maneira de se proteger de golpes do tipo ‘permit’, ‘applianceAll’ ou ‘transferFrom’ é garantir que você saiba o que está assinando. Quais ações serão realmente realizadas na transação? Quais funções estão sendo usadas? Elas são esperadas ao que você planejou estar assinando?”
“Muitas carteiras e aplicativos descentralizados (dapps) aprimoraram suas interfaces de usuário para garantir que você não assine nada às cegas e possa ver o resultado, além de exibir avisos sobre funções de alto risco. No entanto, é importante que os usuários verifiquem o que estão assinando e não apenas conectem sua carteira e cliquem em alternar”, disse ela.
Uma vez descobertos, a recuperação dos fundos é eliminada. Martin Derka, cofundador e líder técnico da Zircuit Finance, disse que as chances de recuperar os fundos são “praticamente zero”.
“Em ataques de phishing, você está lidando com um indivíduo cujo único objetivo é roubar seus fundos. Não há negociação, nenhum ponto de contato e, muitas vezes, nenhuma ideia de quem seja a outra parte”, disse ele.
“Esses atacantes jogam com os números”, disse Derka, acrescentando que “uma vez que o dinheiro se foi, se foi para sempre. A recuperação é essencialmente impossível”.
* Traduzido e editado com autorização do Decrypt.
Procurando uma carteira com alto ganho, mas sem o sobe e desce do mercado? A Renda Fixa Digital do MB oferece ativos com ganhos de até 18% ao ano, risco controlado e total segurança para seus investimentos. Conheça agora!
Fonteportaldobitcoin
