Imagem da matéria: Brasileiro descobre bug no USDT da rede Tron que permite fraudar origem de transação
Foto: Shutterstock

Um novo bug foi encontrado no contrato inteligente da stablecoin Tether (USDT) na rede Tron, que permite a um golpista fraudar a origem de uma transação da criptomoeda.

 A falha foi descoberta na sexta-feira (25) por Carlos Lain, desenvolvedor brasileiro e criador da corretora PagCripto. Ele contou ao Portal do Bitcoinque encontrou o bug após um cliente perceber que a sua carteira havia sido origem de uma transação que ele não havia feito.  

Publicidade

“Reparei que isso tinha acontecido comigo também. E fui verificar se as duas carteiras, tanto a minha quanto a do meu cliente, foram comprometidas, ou se era uma coincidência. Foi aí que eu descobri o bug”, conta Lain.

Ele explica que o bug permite que golpistas criam uma falsa origem de uma transação para levar o usuário a enviar criptomoedas ao endereço errado em transações futuras — um golpe de phishing. 

“O que os golpistas conseguem fazer é enviar USDT para uma pessoa dizendo que quem enviou, por exemplo, fui eu, quando na verdade quem assinou essa transação não fui eu. Foi outro endereço que eu não conheço e que não consegue mexer nos meus fundos. Na prática, tudo que o golpista faz é mandar uma mensagem errada dizendo que quem enviou a transação foi um outro endereço.”

Quando o usuário checa a transação na blockchain, o endereço de origem real do golpista aparece. O problema é que as carteiras, quando mostram o histórico de transação, pegam quem foi o emissor — que o golpista consegue fraudar através do bug —  e não quem de fato assinou a transação, omitindo então sua origem real.

Publicidade

“A carteira acredita que se você apareceu como emissor, é porque você assinou a transação, e era para ser assim. Porém o contrato da Tether permite a inclusão dessa informação falsa”, diz o desenvolvedor, que ressalta que esse bug parece existir apenas no contrato do USDT na rede Tron, do padrão TRC-20, e não afeta os tokens USDT baseados em outras redes, como a da Ethereum.

Lain especifica que esse erro está na função chamada TransferFrom, que permite definir quem é o emissor, o receptor e o valor de uma transação de criptomoeda. O golpista, portanto, chama essa função para definir que outra pessoa enviou a transação — algo que não deveria ser possível.  

O desenvolvedor brasileiro reportou à equipe da Tether o bug descoberto, inclusive o chefe de tecnologia da empresa, Paolo Ardoino, que respondeu a ele estar verificando o problema.

O primeiro endereço sublinhado é a origem real da transação, e o segundo é o endereço da vítima apontado de forma fraudulenta como a origem da transação (Fonte: Tronscan)

Evolução de um golpe conhecido

Para explorar de forma maliciosa o bug que permite fraudar a origem da transação, o invasor faz uso de outro golpe já conhecido no setor, no qual ele envia pequenas quantias de tokens para a vítima a partir de um endereço com começo e final igual a outro endereço legítimo que o alvo já interagiu no passado.

Publicidade

Eles fazem isso para que o endereço fraudulento apareça no histórico de transações e confunda o usuário a enviar criptomoedas para um endereço errado, mas com caracteres semelhantes ao destino legítimo.  

“Muitos traders, principalmente os P2P, usam muito a lista de endereços recorrentes que aparecem na carteira para agilizar o trabalho, e volta e meia caem nesse golpe. Eu já vi acontecer com um P2P do mercado brasileiro que ia mandar 50 mil USDT para um endereço fraudulento que era quase igual ao do cliente”, recorda Lain.

O bug do USDT na Tron usa a mesma estratégia do golpe acima, mas de forma evoluída, ao simular que o usuário já enviou criptomoedas para o endereço do golpista no passado.

“Esse golpe se torna mais problemático quando o golpista consegue, através do contrato da Tether, enganar as wallets. Isso significa que o pessoal que faz interações seguidas não pode mais confiar no que está salvo na própria wallet”, resume o desenvolvedor.

Lain finaliza dizendo que os usuários devem sempre verificar manualmente o endereço antes de enviar criptomoedas. Ele também recomenda evitar usar sistemas que salvam endereços recentes e, no caso de transferências partindo de exchanges, o ideal é sempre ter ativado a opção de whitelist onde o usuário pode adicionar previamente os endereços confiáveis.

Publicidade

Quer negociar mais de 200 ativos digitais na maior exchange da América Latina? Conheça o Mercado Bitcoin! Com 3,8 milhões de clientes, a plataforma do MB já movimentou mais de R$ 50 bilhões em trade in. Crie sua conta grátis!

VOCÊ PODE GOSTAR
Imagem da matéria: Binance demitiu funcionário que descobriu manipulação milionária de cliente da corretora, diz jornal

Binance demitiu funcionário que descobriu manipulação milionária de cliente da corretora, diz jornal

Uma semana antes da demissão, o funcionário produziu um relatório afirmando que a DWF Labs lucrou milhões através da manipulação de mercado de seis tokens
Imagem da matéria: Em operação contra “Rei do Bitcoin”, PF descobriu fraude em contratos públicos envolvendo irmão do ex-governador do Paraná 

Em operação contra “Rei do Bitcoin”, PF descobriu fraude em contratos públicos envolvendo irmão do ex-governador do Paraná 

Nova operação da Polícia Federal apura crimes ligados às investigações da operação Daemon, de 2021, que prendeu o “Rei do Bitcoin”, Claudio Oliveira
Vitalik Buterin na ETH Taipei 2024. Foto: Rug Radio

Como o fundador do Ethereum, Vitalik Buterin, mantém suas criptomoedas seguras

“Descentralize sua própria segurança”, diz Buterin – mas ele não usa uma cold wallet para suas próprias criptomoedas
Imagem da matéria: Entendendo as tecnologias por trás da tokenização de ativos | Opinião

Entendendo as tecnologias por trás da tokenização de ativos | Opinião

Apesar de chamara cada vez mais atenção, muitas pessoas ainda não sabem o que é a tokenização de ativos e como ela funciona