Golpes nas redes sociais estão prosperando no universo cripto, e colecionadores de NFTs estão perdendo seus bens devido a ataques realizados através de contas sequestradas.
O último caso aconteceu na noite de quinta-feira (3), com dezenas de NFTs e cerca de US$ 30 mil em criptomoedas roubados em um golpe compartilhado através da conta de um conhecido desenvolvedor de jogos Web3.
Na quinta-feira, a conta do Twitter de Gabriel Leydon—co-fundador e CEO da Limit Break, a startup de jogos por trás do projeto de NFTs Ethereum baseados em animes, DigiDaigaku—aparentemente foi tomado por um usuário não autorizado. A conta passou a compartilhar um link para o que o criminoso chamou de acesso a uma lista exclusa que oferecia uma cunhagem gratuita de um NFT DigiDaigaku.
Mas, em vez disso, quando os usuários interagiam com o site e aprovavam a transação solicitada pelo contrato inteligente—ou seja, o código que alimenta os NFTs e as aplicações descentralizadas—um invasor roubava os NFTs e criptomoedas das respectivas carteiras.
As transações feitas em redes blockchain não podem ser revertidas por terceiros, como um banco ou empresa de cartão de crédito faria em caso de fraude ou roubo.
Holy shit they hijacked account somehow and it asks for approvals for all your NFTs pic.twitter.com/rbxU0Rqf91
— state (@statelayer) November 3, 2022
O invasor roubou dezenas de NFTs de usuários, potencialmente no valor total de dezenas de milhares de dólares em Ethereum. O mais valioso deles foi, de longe, um NFT Mutant Ape Yacht Club , que o hacker rapidamente vendeu por 12,39 ETH (cerca de US$ 19.100,00 no momento da venda). Além disso, a carteira parece ter recebido cerca de US$ 30 mil em criptomoedas dos usuários roubados.
Desde então, Leydon recuperou sua conta no Twitter e apontou a culpa para a operadora de telefonia móvel AT&T em uma mensagem de voz compartilhada via tweet. Em uma mensagem direta para o Decrypt, Leydon afirmou que um funcionário da AT&T “anulou todas as minhas proteções de segurança e realizou [uma] troca de SIM não autorizada.”
Um ataque de troca de SIM normalmente é usado para contornar os protocolos de autorização de dois fatores nas contas. O invasor é capaz de assumir o número de telefone celular em questão e, em seguida, usá-lo para obter acesso a contas protegidas—incluindo mídias sociais, onde podem se passar pelo proprietário da conta.
A message to the people 🫡 pic.twitter.com/SdxjmBdOvo
— Gabriel Leydon (FREE,OWN) (@gabrielleydon) November 3, 2022
Leydon afirmou que um funcionário “contornou” as proteções definidas em sua conta da AT&T e disse que a Limit Break está em contato com a empresa quanto às alegações. Representantes da AT&T não retornaram imediatamente aos pedidos de comentários do Decrypt.
O CEO da Limit Break disse ao Decrypt que o estúdio está investigando o ataque e que trabalhará para ajudar os usuários cujos ativos foram roubados. “É uma situação terrível e, assim que verificarmos que a pessoa foi atacada, vamos ajudá-la”, disse Leydon.
Mais um ataque do Monkey Drainer
ZachXBT, um conhecido detetive de blockchain, twittou que o ataque parece ser ligado ao Monkey Drainer, um golpista que recentemente sequestrou milhões de dólares em NFTs e criptoativos.
O Twitter tem sido alvo de ataques semelhantes nos últimos meses. Em alguns casos, a conta de um famoso artista NFT ou de um criador de algum projeto NFT é hackeada e usada para espalhar esses chamados golpes “limpa carteiras”. O aumento desses golpes levou a um debate sobre a responsabilidade que os criadores da Web3 têm para compensar os usuários que perdem os seus bens como resultado.
Em outras ocasiões, as contas verificadas de usuários não afiliados—como jornalistas-foram sequestradas, renomeadas como contas oficiais de um projeto, e usadas para espalhar exploits do tipo. Isso aconteceu com mais frequência no início deste ano, especialmente em torno de projetos como o Azuki e o Otherside, mas aparentemente o Twitter resolveu as falhas de segurança facilitadas por essas explorações de contas verificadas.
A Limit Break foi fundada em 2021 por Leydon e Halbert Nakagawa, anteriormente co-fundadores do estúdio de jogos móveis Machine Zone, que produziu títulos de sucesso como Game of War: Fire Age e Mobile Strike. A startup especializada em Web3 levantou US$ 200 milhões, conforme anunciado em agosto, de empresas como FTX, Coinbase Ventures e Paradigm.
O DigiDaigaku é anunciado como um jogo “free-to-own” destinado a afastar-se do volátil modelo play-to-earn popularizado por jogos como o Axie Infinity. As fotos originais do perfil Genesis NFT (PFPs) do projeto foram lançadas em agosto com uma cunhagem gratuita e geraram mais de 9.000 ETH em volume de negociação até o momento, ou cerca de US$ 14 milhões com base no preço atual da ETH.
A Limit Break afirma que comprou um espaço comercial para a DigiDaigaku no Super Bowl LVII em fevereiro de 2023 a um preço de US$ 6,5 milhões, investindo alto para uma grande oportunidade de expor o projeto Web3 a um público ainda maior.
*Traduzido por Gustavo Martins com autorização do Decrypt.
Aprenda a ganhar dinheiro com Cripto: Você pode ter acesso a um curso exclusivo com os maiores especialistas em cripto para aprender os fundamentos e as técnicas que te ajudam a navegar nas altas e baixas do mercado. Garanta sua vaga aqui!