Em resumo
- Um detentor de USDC perdeu mais de US$ 440.000 após assinar uma transação maliciosa de “permissão”.
- Os ataques de phishing de “permissão” foram responsáveis por algumas das maiores perdas individuais de criptomoedas em novembro.
- Especialistas alertam que os golpistas dependem de erro humano e que a recuperação é altamente improvável.
Um hacker roubou mais de US$ 440 mil em USDC depois que o proprietário de uma carteira assinou, sem saber, uma assinatura maliciosa de “permissão”, de acordo com uma segunda-feira twittar por Scam Sniffer.
O roubo ocorre em meio a um aumento nas perdas de phishing. Aproximadamente US$ 7,77 milhões foram drenados de mais de 6.000 vítimas em novembro, segundo Scam Sniffer. relatório mensal encontrado, representando um salto de 137% nas perdas totais em relação a outubro, mesmo com o número de vítimas caindo 42%.
“A caça às baleias intensificou-se, com um impacto máximo de 1,22 milhões de dólares (assinatura da licença). Apesar de menos ataques, as perdas individuais cresceram significativamente”, observou a empresa.
O que são golpes de licença?
Os golpes baseados em licenças giram em torno de enganar os usuários para que assinem uma transação que parece legítima, mas que discretamente concede ao invasor o direito de gastar seus tokens. Malicioso dapps pode disfarçar campos, falsificar nomes de contratos ou apresentar a solicitação de assinatura como algo rotineiro.
Se um usuário não conseguir examinar os detalhes, assinar a solicitação efetivamente concede ao invasor permissão para acessar todos os dados do usuário. Tokens ERC-20. Uma vez concedido, os golpistas normalmente drenam os fundos imediatamente.
O método explora Ethereumfunção de permissão do, que foi projetada para facilitar as transferências de tokens, permitindo que os usuários deleguem direitos de gastos a aplicativos confiáveis. A conveniência se torna uma vulnerabilidade quando esses direitos são concedidos a um invasor.
“O que é particularmente complicado nesse tipo de ataque é que os invasores podem conduzir a permissão e a transferência de tokens em uma transação (uma abordagem do tipo smash and grab) ou podem conceder acesso por meio da licença e depois ficar inativos esperando para transferir quaisquer fundos adicionados posteriormente (desde que definam um prazo de acesso adequadamente distante nos metadados da função de permissão)”, disse Tara Annison, chefe de produto da Twinstake. Descriptografar.
“O sucesso desses tipos de golpes depende de você assinar algo que você não percebe bem o que fará”, disse ela, acrescentando que “é tudo uma questão de vulnerabilidade humana e de tirar vantagem da ansiedade das pessoas”.
Annison acrescentou que este incidente está longe de ser isolado. “Existem muitos exemplos de golpes de phishing de grande valor e alto volume projetados para induzir os usuários a assinar algo que eles não entendem completamente. Muitas vezes feito sob o pretexto de lançamentos aéreos gratuitos, páginas de destino de projetos falsas para conectar sua carteira a (ou) avisos de segurança fraudulentos para verificar se você foi afetado”, acrescentou ela.
Como se proteger
Carteira os provedores estão lançando mais recursos de proteção. MetaMaskpor exemplo, avisa os usuários se um site parecer suspeito e tenta traduzir os dados da transação em uma intenção legível por humanos. Outras carteiras também destacam ações de alto risco. Mas os golpistas continuam a se adaptar.
Harry Donnelly, fundador e CEO da Circuit, disse Descriptografar que os ataques do tipo permissão são “bastante difundidos” e instou os usuários a verificar os endereços dos remetentes e os detalhes do contrato.
“Essa é a maneira mais clara de saber que, se for um protocolo que não corresponde ao local para onde você está realmente tentando enviar os fundos, então provavelmente é alguém tentando roubar fundos”, disse ele. “Você pode verificar o valor, muitas vezes eles tentam dar aprovações ilimitadas, assim.”
Annison enfatizou que a vigilância ainda é a defesa mais forte dos usuários. “A melhor maneira de se proteger contra fraudes de permissão, aprovação All ou transferFrom é garantir que você saiba o que está assinando. Quais ações serão realmente realizadas na transação? Quais funções estão sendo usadas? Elas correspondem ao que você pensava que estava assinando?”
“Muitas carteiras e dapps melhoraram as interfaces de usuário para garantir que você não assine algo cegamente e possa ver o que isso resultará, bem como avisos sobre funções de alto risco usadas. No entanto, é importante que os usuários verifiquem ativamente o que estão assinando e não apenas conectem sua carteira e apertem o sinal”, disse ela.
Uma vez roubado, a recuperação dos fundos é improvável. Martin Derka, cofundador e líder técnico da Zircuit Finance disse Descriptografar as chances de recuperar os fundos eram “basicamente zero”.
“Em ataques de phishing, você está lidando com um indivíduo cujo objetivo é roubar seus fundos. Não há negociação, nenhum ponto de contato e, muitas vezes, nenhuma ideia de quem é a contraparte”, disse ele.
“Esses invasores jogam um jogo de números”, disse Derka, acrescentando que “uma vez que o dinheiro acaba, ele acaba. A recuperação é essencialmente impossível”.
Resumo Diário Boletim informativo
Comece cada dia com as principais notícias do momento, além de recursos originais, podcast, vídeos e muito mais.
Fontedecrypt
