Um hacker roubou mais de US$ 440.000 em USDC depois que o dono de uma carteira assinou, sem saber, uma assinatura maliciosa de “permissão”, de acordo com um tuíte da Scam Sniffer na segunda-feira (8).
O roubo ocorre em meio a um aumento nas perdas com phishing. Cerca de US$ 7,77 milhões foram perdidos de mais de 6.000 vítimas em novembro, segundo o relatório mensal da Scam Sniffer, representando um aumento de 137% nas perdas totais em relação a outubro, mesmo com a queda de 42% no número de vítimas.
“A caça às baleias se intensificou, com um prejuízo máximo de US$ 1,22 milhão (assinatura de permissão). Apesar da redução no número de ataques, as perdas individuais aumentaram significativamente”, observou a empresa.
O que são golpes de permissão?
Golpes baseados em permissão consistem em enganar usuários para que assinem uma transação que parece legítima, mas que, na verdade, concede ao atacante o direito de gastar seus tokens. Aplicativos descentralizados (dapps) maliciosos podem disfarçar campos, falsificar nomes de contratos ou apresentar a solicitação de assinatura como algo rotineiro.
Se um usuário não examinar os detalhes cuidadosamente, assinar a solicitação concede ao atacante permissão para acessar todos os tokens ERC-20 do usuário. Uma vez concedida a permissão, os golpistas geralmente drenam os fundos imediatamente.
Leia também: O que é phishing e como se proteger de uma das maiores ameaças digitais da atualidade
O método explora a função de permissão do Ethereum, que foi projetada para facilitar as transferências de tokens, permitindo que os usuários deleguem direitos de gasto a aplicativos confiáveis. Essa conveniência se torna uma vulnerabilidade quando esses direitos são concedidos a um atacante.
“O que é particularmente complicado nesse tipo de ataque é que os atacantes podem realizar a permissão e a transferência de tokens em uma única transação (uma abordagem do tipo ‘smash and grab’) ou podem se dar acesso por meio da permissão e, em seguida, permanecer inativos, aguardando para transferir quaisquer fundos adicionados posteriormente (desde que definam um prazo de acesso suficientemente longo nos metadados da função de permissão)”, disse Tara Annison, chefe de produto da Twinstake.
“O sucesso desse tipo de golpe depende de você assinar algo sem entender completamente o que vai acontecer”, disse ela, acrescentando: “Tudo se resume à vulnerabilidade humana e a tirar proveito da ingenuidade das pessoas”.
Annison acrescentou que esse incidente está longe de ser um caso isolado. “Há muitos exemplos de golpes de phishing de grande valor e volume, criados para enganar os usuários e levá-los a assinar algo que não compreendem totalmente. Muitas vezes, esses golpes são disfarçados de distribuição gratuita de dinheiro, páginas de destino falsas de projetos para conectar sua carteira [ou] alertas de segurança fraudulentos para verificar se você foi afetado”, acrescentou.
Como se proteger
Os provedores de carteiras digitais têm implementado mais recursos de proteção. O MetaMask, por exemplo, alerta os usuários se um site parecer suspeito e tenta traduzir os dados da transação em uma linguagem compreensível para humanos. Outras carteiras também destacam ações de alto risco. Mas os golpistas continuam se adaptando.
Harry Donnelly, fundador e CEO da Circuit, disse que ataques do tipo “permit” são “bastante comuns” e aconselhou os usuários a verificarem os endereços dos remetentes e os detalhes do contrato.
“Essa é a maneira mais clara de saber se o protocolo não corresponde ao destino real dos fundos, pois provavelmente alguém está tentando roubá-los”, disse ele. “Você pode verificar o valor; muitas vezes, eles tentam conceder aprovações ilimitadas, como essa.”
Annison enfatizou que a vigilância ainda é a melhor defesa dos usuários. “A melhor maneira de se proteger de golpes do tipo ‘permit’, ‘applianceAll’ ou ‘transferFrom’ é garantir que você saiba o que está assinando. Quais ações serão realmente realizadas na transação? Quais funções estão sendo usadas? Elas correspondem ao que você pensava estar assinando?”
“Muitas carteiras e aplicativos descentralizados (dapps) aprimoraram suas interfaces de usuário para garantir que você não assine nada às cegas e possa ver o resultado, além de exibir avisos sobre funções de alto risco. No entanto, é importante que os usuários verifiquem ativamente o que estão assinando e não apenas conectem sua carteira e cliquem em assinar”, disse ela.
Uma vez roubados, a recuperação dos fundos é improvável. Martin Derka, cofundador e líder técnico da Zircuit Finance, disse que as chances de recuperar os fundos são “praticamente zero”.
“Em ataques de phishing, você está lidando com um indivíduo cujo único objetivo é roubar seus fundos. Não há negociação, nenhum ponto de contato e, muitas vezes, nenhuma ideia de quem seja a outra parte”, disse ele.
“Esses atacantes jogam com os números”, disse Derka, acrescentando que “uma vez que o dinheiro se foi, se foi para sempre. A recuperação é essencialmente impossível”.
* Traduzido e editado com autorização do Decrypt.
Buscando uma carteira com alto ganho, mas sem o sobe e desce do mercado? A Renda Fixa Digital do MB oferece ativos com ganhos de até 18% ao ano, risco controlado e total segurança para seus investimentos. Conheça agora!