Imagem da matéria: Brasileiro descobre bug no USDT da rede Tron que permite fraudar origem de transação
Foto: Shutterstock

Um novo bug foi encontrado no contrato inteligente da stablecoin Tether (USDT) na rede Tron, que permite a um golpista fraudar a origem de uma transação da criptomoeda.

 A falha foi descoberta na sexta-feira (25) por Carlos Lain, desenvolvedor brasileiro e criador da corretora PagCripto. Ele contou ao Portal do Bitcoinque encontrou o bug após um cliente perceber que a sua carteira havia sido origem de uma transação que ele não havia feito.  

Publicidade

“Reparei que isso tinha acontecido comigo também. E fui verificar se as duas carteiras, tanto a minha quanto a do meu cliente, foram comprometidas, ou se era uma coincidência. Foi aí que eu descobri o bug”, conta Lain.

Ele explica que o bug permite que golpistas criam uma falsa origem de uma transação para levar o usuário a enviar criptomoedas ao endereço errado em transações futuras — um golpe de phishing. 

“O que os golpistas conseguem fazer é enviar USDT para uma pessoa dizendo que quem enviou, por exemplo, fui eu, quando na verdade quem assinou essa transação não fui eu. Foi outro endereço que eu não conheço e que não consegue mexer nos meus fundos. Na prática, tudo que o golpista faz é mandar uma mensagem errada dizendo que quem enviou a transação foi um outro endereço.”

Quando o usuário checa a transação na blockchain, o endereço de origem real do golpista aparece. O problema é que as carteiras, quando mostram o histórico de transação, pegam quem foi o emissor — que o golpista consegue fraudar através do bug —  e não quem de fato assinou a transação, omitindo então sua origem real.

Publicidade

“A carteira acredita que se você apareceu como emissor, é porque você assinou a transação, e era para ser assim. Porém o contrato da Tether permite a inclusão dessa informação falsa”, diz o desenvolvedor, que ressalta que esse bug parece existir apenas no contrato do USDT na rede Tron, do padrão TRC-20, e não afeta os tokens USDT baseados em outras redes, como a da Ethereum.

Lain especifica que esse erro está na função chamada TransferFrom, que permite definir quem é o emissor, o receptor e o valor de uma transação de criptomoeda. O golpista, portanto, chama essa função para definir que outra pessoa enviou a transação — algo que não deveria ser possível.  

O desenvolvedor brasileiro reportou à equipe da Tether o bug descoberto, inclusive o chefe de tecnologia da empresa, Paolo Ardoino, que respondeu a ele estar verificando o problema.

O primeiro endereço sublinhado é a origem real da transação, e o segundo é o endereço da vítima apontado de forma fraudulenta como a origem da transação (Fonte: Tronscan)

Evolução de um golpe conhecido

Para explorar de forma maliciosa o bug que permite fraudar a origem da transação, o invasor faz uso de outro golpe já conhecido no setor, no qual ele envia pequenas quantias de tokens para a vítima a partir de um endereço com começo e final igual a outro endereço legítimo que o alvo já interagiu no passado.

Publicidade

Eles fazem isso para que o endereço fraudulento apareça no histórico de transações e confunda o usuário a enviar criptomoedas para um endereço errado, mas com caracteres semelhantes ao destino legítimo.  

“Muitos traders, principalmente os P2P, usam muito a lista de endereços recorrentes que aparecem na carteira para agilizar o trabalho, e volta e meia caem nesse golpe. Eu já vi acontecer com um P2P do mercado brasileiro que ia mandar 50 mil USDT para um endereço fraudulento que era quase igual ao do cliente”, recorda Lain.

O bug do USDT na Tron usa a mesma estratégia do golpe acima, mas de forma evoluída, ao simular que o usuário já enviou criptomoedas para o endereço do golpista no passado.

“Esse golpe se torna mais problemático quando o golpista consegue, através do contrato da Tether, enganar as wallets. Isso significa que o pessoal que faz interações seguidas não pode mais confiar no que está salvo na própria wallet”, resume o desenvolvedor.

Lain finaliza dizendo que os usuários devem sempre verificar manualmente o endereço antes de enviar criptomoedas. Ele também recomenda evitar usar sistemas que salvam endereços recentes e, no caso de transferências partindo de exchanges, o ideal é sempre ter ativado a opção de whitelist onde o usuário pode adicionar previamente os endereços confiáveis.

Publicidade

Quer negociar mais de 200 ativos digitais na maior exchange da América Latina? Conheça o Mercado Bitcoin! Com 3,8 milhões de clientes, a plataforma do MB já movimentou mais de R$ 50 bilhões em trade in. Crie sua conta grátis!

Talvez você queira ler
Fachada da sede do Banco Central do Brasil

Banco Central vai revelar detalhes sobre regulamentação do mercado de criptomoedas em live

Em junho deste ano, o Banco Central foi apontado como entidade responsável por regulamentar o mercado cripto brasileiro
Imagem da matéria: Manhã Cripto: Bitcoin (BTC) supera US$ 41 mil e atinge maior cotação desde colapso do Terra

Manhã Cripto: Bitcoin (BTC) supera US$ 41 mil e atinge maior cotação desde colapso do Terra

Mercado de criptomoedas vai na contramão dos índices futuros dos EUA, em um rali puxado pela expectativa de maior demanda por ativos digitais
Imagem da matéria: MicroStrategy compra mais R$ 3 bilhões em Bitcoin

MicroStrategy compra mais R$ 3 bilhões em Bitcoin

Com a nova aquisição, a MicroStrategy supera a marca de US$ 5 bilhões investidos em Bitcoin
Ilustração de bandeira do Brasil dentro moeda de Bitcoin

Senado aprova projeto de lei que cria imposto para criptomoedas mantidas em corretoras fora do Brasil

Alíquota de 15% faz parte de um plano mais amplo de tributar fundos exclusivos e offshores de brasileiros mantidos no exterior