Apesar de defensores da Web3 promoverem os recursos nativos de segurança da blockchain, a enxurrada de dinheiro que entra na indústria a torna em um alvo tentador para hackers, golpistas e ladrões.
Quando pessoas mal intencionadas conseguem violar a cibersegurança da Web3, cabe aos usuários ficarem de olho nas ameaças mais comuns da ganância humana, como o FOMO (medo de perder uma oportunidade, na sigla em inglês) em vez de prestarem atenção nas falhas na tecnologia.
Muitos esquemas prometem enormes retornos, investimentos ou benefícios exclusivos; a Comissão Federal de Comércio dos EUA (ou FTC) chama essas oportunidades e investimentos para ganhar dinheiro de “esquemas”.
Muito dinheiro perdido em golpes
De acordo com um relatório em junho de 2022 publicado pela FTC, mais de US$ 1 bilhão em criptomoedas foi roubado desde 2021. E os “locais de caça” dos hackers estão onde as pessoas se reúnem on-line.
“Quase metade das pessoas que informaram ter perdido suas criptomoedas em um esquema desde 2021 afirma que começou com um anúncio, uma publicação ou mensagem em uma plataforma de rede social”, afirmou a FTC.
Apesar de apelos fraudulentos parecerem bons demais para ser verdade, possíveis vítimas podem “cair na conversa” por conta da intensa volatilidade do mercado cripto; as pessoas não querem perder a próxima grande oportunidade.
Invasores têm NFTs como alvo
Junto com criptomoedas, tokens não fungíveis (ou NFTs) estão se tornarando um alvo cada vez maior de golpistas. De acordo com a empresa de cibersegurança Web3 TRM Labs, a comunidade NFT perdeu cerca de US$ 22 milhões em esquemas e ataques de phishing desde maio.
Coleções superpopulares, como Bored Ape Yacht Club (ou BAYC) são um alvo valioso. Em abril de 2022, a conta do BAYC no Instagram foi hackeada por golpistas que direcionaram vítimas para um site que roubou criptomoedas e NFTs de suas carteiras Ethereum.
Cerca de 91 NFTs, cujo valor total era de mais de US$ 2,8 milhões, foram roubados. Meses depois, uma invasão ao Discord do projeto também resultou no roubo de 200 ETH em NFTs de usuários.
Grandes holders de BAYC também foram vítimas de esquemas. No dia 17 de maio, o ator e produtor americano Seth Green tuitou que foi vítima de um ataque de phishing que resultou no roubo de quatro NFTs, incluindo o Bored Ape nº 8.398.
Além de destacar a ameaça apresentada pelos ataques de phishing, pode ter prejudicado um seriado de TV/streaming com base no NFT e planejado por Green, chamado “White Horse Tavern”.
NFTs BAYC apresentam direitos de licenciamento para o NFT em fins comerciais, como no caso da hamburgueria Bored & Hungry em Long Beach, na Califórnia.
Durante um bate-papo via Twitter Spaces no dia 9 de junho, Green afirmou ter recuperado o NFT roubado após pagar 165 ETH (mais de US$ 295 mil na época) a uma pessoa que havia comprado o NFT após o roubo.
“Phishing ainda é o vetor de ataque”, disse Luis Lubeck, um engenheiro de segurança na empresa de cibersegurança Web3, Halborn, ao Decrypt.
Lubeck afirma que usuários devem prestar atenção em sites falsos que pedem por informações de carteira, links clonados e projetos falsos.
Segundo ele, um ataque de phishing pode começar com engenharia social, perguntando ao usuário sobre o lançamento inicial de um token ou que vão maximizar seu dinheiro, com uma interface de programação de aplicações (ou API) ruim ou que sua conta foi violada e a senha precisa ser alterada.
Essas mensagens geralmente exigem uma resposta rápida, fazendo o usuário agir com base em FOMO.
No caso de Green, o ataque de phishing aconteceu via um link clonado que parecia legítimo.
Thought I was minting GutterCat clones- phishing link looked clean
— Seth Green (@SethGreen) May 17, 2022
“Clone phishing” é um ataque em que um golpista utiliza um site, e-mail ou até um link e cria uma cópia quase perfeita que parece legítima. Green achou que estava emitindo clones de “GutterCat”, mas usou um site de phishing.
Quando Green conectou sua carteira ao site de phishing e assinou a transação para emitir o NFT, ele deu aos hackers acesso às suas chaves privadas e a seus Bored Apes.
Tipos de ciberataques
Violações de segurança podem afetar tanto empresas como pessoas. Embora a lista abaixo não esteja completa, ciberataques na Web3 geralmente entram nas seguintes categorias:
Leia Também
– 🎣 Phishing – Uma das formas mais antigas, porém comuns de ciberataques, ataques de phishing geralmente vêm na forma de e-mail e incluem o envio de mensagens fraudulentas, como SMS ou mensagens nas redes sociais que parecem vir de uma fonte confiável. Esse cibercrime também pode ter a forma de um site infectado ou com um código de programação mal intencionado que pode roubar criptomoedas ou NFTs de uma carteira conectada a uma extensão de navegador.
– 🏴☠️ Malware – Abreviação de “software malicioso”, o termo malware se refere a qualquer programa ou código prejudicial a sistemas. Malware pode entrar em um sistema via e-mails ou mensagens de texto de phishing.
– 👾 Sites infectados – Sites legítimos são roubados por criminosos e usados para armazenar malware que usuários desavisados baixam quando clicam em um link, imagem ou arquivo.
– 🪤 Falsificação de URLs – Sites infectados (ou “spoofed”) são clones de sites legítimos. Em um ataque de “URL spoofing”, também conhecido como “URL phishing”, esses sites podem roubar nomes de usuários, senhas, cartões de crédito, criptomoedas e outras informações pessoais.
– 🤖 Extensões falsas para navegador – Conforme o nome sugere, essas invasões utilizam extensões falsas para navegador para enganar usuários cripto a inserirem suas informações ou chaves em uma extensão que concede a cibercriminosos o acesso a dados confidenciais.
Esses ataques geralmente visam acessar, roubar e destruir informações confidenciais ou, no caso de Green, roubar um Bored Ape.
O que você pode fazer para se proteger?
Lubeck afirma que a melhor forma de se proteger de um ataque de phishing é nunca responder a um e-mail, SMS, ou mensagens no Telegram, Discord ou WhatsApp de uma pessoa, empresa ou conta desconhecida. “Irei ainda mais além disso”, acrescentou Lubeck. “Nunca forneça informações financeiras ou pessoais se o usuário não começou a conversa.”
Lubeck recomenda não inserir suas informações financeiras ou pessoais ao usar redes wi-fi públicas ou compartilhadas. Além disso, Lubeck diz ao Decrypt que as pessoas não devem ter uma falsa sensação de segurança por usarem um sistema operacional ou um tipo de celular específico.
“Quando falamos sobre esses tipos de esquemas, phishing ou imitação de sites, não importa se você está usando um iPhone, Linux, Mac, iOS, Windows ou Chromebook”, explica. “Não importa o tipo de dispositivo. O problema é o site, e não seu dispositivo.”
Como manter suas criptomoedas e NFTs em segurança
Vamos pensar em um plano de ação mais “Web3”.
Sempre que possível, use carteiras de hardware ou isoladas para armazenar ativos digitais. Esses dispositivos, geralmente chamados de “armazenamento frio” (do inglês “cold storage”), remove suas criptomoedas da internet até que você esteja pronta para usá-las.
Embora seja comum e conveniente usar carteiras de extensão para navegador, como a MetaMask, lembre-se: Tudo o que está conectado à internet tem a possibilidade de ser hackeado.
Se você usa uma carteira móvel, de navegador ou desktop, também chamada de “carteira quente” (do inglês “hot wallet”), baixe-as de plataformas oficiais, como Play Store da Google, App Store da Apple ou sites verificados.
Nunca faça o download de carteiras de links enviados via SMS ou e-mail. Apesar de aplicativos mal intencionados conseguirem ser listados em lojas oficiais, é mais seguro do que usar links.
Após finalizar sua transação, desconecte sua carteira do site.
Mantenha suas chaves privadas, frases “seed” e senhas seguras. Se alguém pedir que você compartilhe essas informações para participar de um investimento ou emissão de tokens, é um golpe.
Apenas invista em projetos que você entende qual é a proposta. Se você não sabe como tudo funciona, pare tudo e pesquise melhor.
Ignore táticas de pressão e prazos rigorosos. Geralmente, golpistas usam isso para gerar FOMO e fazer com que vítimas tentem não pensar muito ou pesquisar mais sobre o que está sendo dito.
Por último, mas não menos importante: Se parece bom demais para ser verdade, provavelmente é um esquema.
*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.
Quer negociar mais de 200 ativos digitais na maior exchange da América Latina? Conheça o Mercado Bitcoin! Com 3,8 milhões de clientes, a plataforma do MB já movimentou mais de R$ 50 bilhões em trade in. Crie sua conta grátis!