Imagem da matéria: Hacker usa serviço de newsletter para tentar roubar criptomoedas de clientes da Trezor
Foto: Shutterstock

Uma invasão à base de dados do serviço de newsletter MailChimp fez com que usuários da Trezor fossem alvo de um esquema malicioso de phishing. O ataque foi supostamente realizado por infiltrado no MailChimp, informou a Trezor.

Trezor é uma fornecedora de carteiras de hardware para criptomoedas, ou seja, qualquer pessoa pode usar o equipamento da empresa para colocar suas criptomoedas em “armazenamento frio” (ou “cold storage”). O armazenamento frio de criptomoedas as mantêm offline e evita que sejam envolvidas em ataques cibernéticos.

Publicidade

A fornecedora de carteiras dá aos usuários uma frase “seed” de recuperação entre 12 e 24 palavras, permitindo que recuperem os conteúdos caso seu dispositivo físico seja perdido ou roubado. No entanto, caso um invasor descubra a frase seed, pode obter acesso à carteira (e às alocações em cripto) sem precisar do dispositivo.

No domingo (3), a Trezor tuitou que estava “investigando uma possível violação de dados de uma newsletter de inscrição hospedada no MailChimp” e alertou aos usuários que “não abram qualquer e-mail enviado por [email protected]. É um domínio de phishing”.

Logo em seguida, a Trezor confirmou que o MailChimp havia sido “comprometido por um infiltrado que tem empresas cripto como alvo”.

Em uma curta série de tuítes, a empresa explicou que havia “derrubado o domínio de phishing” e “não irá se comunicar via newsletter até que a situação seja solucionada”.

Publicidade

Na segunda-feira (4), a Trezor compartilhou um artigo de acompanhamento sobre os ataques de phishing. Descreve-os como “em andamento” e inclui capturas de tela do e-mail malicioso de phishing. O artigo também apresenta orientações para usuários afetados.

Atualmente, ainda não se sabe se quaisquer fundos foram roubados no esquema.

Criptomoedas não estão imunes a ataques de phishing

Apesar de suas promessas de segurança avançada, a Web 3 não está imune a ataques.

Ataques de phishing são relativamente fáceis para que cibercriminosos realizem porque o site ou correspondência de phishing pareça convincente, usuários podem acabar enviando, sem querer, suas informações a agentes maliciosos. No caso da Trezor, o agente era um “infiltrado” na MailChimp.

Em março, diversos usuários do popular mercado de tokens não fungíveis (ou NFTs, na sigla em inglês) OpenSea informaram que seus NFTs e ethers (ETH) sumiram de suas carteiras em uma invasão que roubou US$ 1,7 milhão em criptomoedas.

David Finzer, CEO do OpenSea, afirmou que a equipe não “acredita que [o ataque] tenha conexão com o site OpenSea” e que cerca de 32 usuários haviam “assinado um ‘payload’ malicioso de um invasor” que parecia ser uma correspondência oficial, mas era um esquema de phishing.

Publicidade

Na semana passada, o preço do ApeCoin despencou 8% após o canal no Discord do Bored Ape Yacht Club (ou BAYC) ter sido alvo de um esquema de phishing.

No Twitter, a equipe do BAYC alertou os usuários a “não emitir nada no Discord neste momento. Um ‘webhook’ [conexão entre dois sistemas] no nosso Discord foi brevemente comprometido”.

*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.

VOCÊ PODE GOSTAR
Imagem da matéria: Garoto lucra R$ 170 mil com memecoin fraudulenta, mas investidores se vingam

Garoto lucra R$ 170 mil com memecoin fraudulenta, mas investidores se vingam

Um garato se empolgou com os US$ 30 mil que faturou depois de despejar sua memecoin e fazer o preço despencar; mas os investidores não deixaram barato
Glauber “ProTheDoge” Contessoto dogecoin é fotografado

Brasileiro recupera título de “Milionário da Dogecoin” após alta do DOGE — e desta vez ele está vendendo

Glauber “ProTheDoge” Contessoto já teve R$ 15 milhões em Dogecoin, mas perdeu os ganhos com a queda do mercado. Agora ele tem uma segunda chance
celular com logo do TikTok em cima de notas de dólares

SonicX: Jogo cripto do TikTok ultrapassa 1 milhão de usuários

A Sonic SVM, rede de segunda camada baseada na Solana, confirmou que o jogo da modalidade tap-to-earn terá um token e um futuro airdrop
Celular com logo da Receita Federal e Bitcoin e criptomoedas do lado

Receita Federal lança consulta pública para atualizar regras de declaração de criptomoedas

O novo modelo de declaração da Receita se chamará DeCripto e substituirá as regras atuais da IN 1.888