Duas empresas de segurança Web3 emitiram relatórios focados nos recentes ataques que têm alvejado projetos de tokens não fungíveis (ou NFTs, na sigla em inglês), provavelmente conectados a um grupo de hackers que usam contas de administrador comprometidas em servidores no Discord.
De acordo com uma análise recente pelo TRM Labs, ciberataques à coleções NFT vêm aumentando em 2022, tendo custado mais de US$ 22 milhões à comunidade NFT apenas em maio. NFTs são tokens desenvolvidos em blockchain que representam propriedade sobre ativos digitais ou físicos.
No relatório, o TRM Labs, especialista no gerenciamento de compliance e risco de ativos digitais, afirma que ciberataques ligados a esquemas de emissão de NFTs implementados em contas comprometidas no Discord aumentaram em 55% em junho de 2022 em comparação ao mês anterior.
“Desde [2021], vimos essas invasões acontecendo em grande escala, principalmente no Discord”, explicou a investigadora do TRM Labs, Monica Laird, em entrevista ao Decrypt.
The NFT community has suffered more than 150 compromises targeting NFT projects’ Discord servers since May 2022. A sampling… (1/2) pic.twitter.com/cEdPaV5mQI
— TRM Labs (@trmlabs) July 25, 2022
O TRM Labs alega ter recebido mais de 100 denúncias de hacks a canais do Discord nos últimos dois meses por meio de sua plataforma de denúncias chamada Chainabuse. Laird afirma que os ataques acontecem semanalmente e, geralmente, têm tokens ERC-721 como alvo — que é um padrão de token na blockchain Ethereum para NFTs.
Já na parte “on-chain” — ao verificar movimentações registradas na própria blockchain —, ela afirma que a relação entre os pontos comuns de consolidação (corretoras, mixers) e carteiras sugerem que os mesmos participantes operam grande parte desses ataques.
Na semana passada, o Yuga Labs, a empresa responsável pela popular coleção NFT Bored Ape Yacht Club (ou BAYC), tuitou:
Nossa equipe de segurança está rastreando um grupo insistente de ameaça que visa a comunidade NFT. Acreditamos que, em breve, poderão lançar um ataque coordenado a múltiplas comunidades por meio de contas comprometidas em redes sociais. Por favor, tenham cuidado e se protejam.
Our security team has been tracking a persistent threat group that targets the NFT community. We believe that they may soon be launching a coordinated attack targeting multiple communities via compromised social media accounts. Please be vigilant and stay safe.
— Yuga Labs (@yugalabs) July 18, 2022
O TRM Labs alega que dados on-chain sugerem que muitas das contas comprometidas no Discord estão ligadas ao mesmo hacker que invadiu o BAYC em junho. De acordo com a empresa, outros projetos invadidos incluem Bubbleworld, Parallel, Lacoste, Tasties, Anata, dentre outros.
Como os hackers atacam projetos NFT
Conforme explicado por Laird, houve mais de 150 tentativas de invasão a uma conta de administrador de um enorme projeto NFT desde maio. Quando os hackers controlam a conta de administrador, enviam links para sorteios promocionais e emissões “exclusivas” que fazem pessoas entrarem nesses sites maliciosos ao gerarem um falso sentimento de urgência.
Leia Também
“Não é que o Discord por si só possui uma fragilidade, mas sim que se torna um ambiente repleto de alvos”, explicou o líder de investigações globais do TRM Labs, Chris Janczewski. “Se você está em busca de pessoas que têm NFTs, você vai para um lugar em que todas estão reunidas e você tem um ponto para conseguir fazer [contato] com elas.”
Embora ciberataques que visam o Discord tenham tido êxito, Laird destacou que hackers também invadiram contas no Twitter e no Instagram nos últimos meses.
O TRM Labs alega que o ritmo em que os ataques estão acontecendo e o fato de que acontecem entre diversas blockchains sugerem que podem ser ataques distintos por cibercriminosos adversários que operam esquemas ao mesmo tempo e usam ferramentas fornecidas como serviços de uso imediato de “Scam-as-a-Service”, “turn-key” e “pay as you go” para realizar ataques.
China e Coreia do Norte
Em outro relatório que será publicado nesta quinta-feira (28) e já foi acessado pelo Decrypt, a empresa de segurança em blockchain Halborn também registrou um aumento em ameaças que têm cripto como alvo, destacando o grupo norte-coreano Lazarus, que o Departamento do Tesouro Americano alega ter orquestrado o hack de US$ 622 milhões à rede Ronin do jogo Axie Infinity.
Embora o TRM Labs não tenha especificado de onde vêm os ataques, a Halborn acredita que a ameaça é proveniente da China.
“Nossas análises indicam que esse ataque veio de um grupo chinês que visa pessoas com alto valor aquisitivo”, disse Alpcan Onaran, engenheiro de segurança ofensiva da Halborn, ao Decrypt via Telegram.
“Estamos esperando por um aumento logarítmico na atividade de ataques avançados e persistentes (ou APT) e também ver diferentes adversários visando empresas Web3 e pessoas.”
Onaran afirma que, na Web3, a segurança deve ser considerada em todos os aspectos, tanto de forma técnica como não técnica, para se defender contra todas as novas ameaças.
“Existe um ditado de que não há novos crimes [ou] novos esquemas; existem antigos [esquemas] repaginados”, explicou Janczewski.
“Então faz bastante sentido que todos os tipos de ‘spear phishing’ [golpe via internet que visa atacar uma vítima específica], o ‘FOMO’ [medo de perder uma oportunidade], o ato de fazer com que as pessoas façam algo de forma irracional e rapidamente, entrou para o novo setor, que é o dos NFTs.”
*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.
Quer investir em ativos digitais, mas não sabe por onde começar? O Mercado Bitcoin oferece a melhor e mais segura experiência de negociação para quem está dando os primeiros passos na economia digital. Conheça o MB!
