Imagem da matéria: Hacker usa serviço de newsletter para tentar roubar criptomoedas de clientes da Trezor
Foto: Shutterstock

Uma invasão à base de dados do serviço de newsletter MailChimp fez com que usuários da Trezor fossem alvo de um esquema malicioso de phishing. O ataque foi supostamente realizado por infiltrado no MailChimp, informou a Trezor.

Trezor é uma fornecedora de carteiras de hardware para criptomoedas, ou seja, qualquer pessoa pode usar o equipamento da empresa para colocar suas criptomoedas em “armazenamento frio” (ou “cold storage”). O armazenamento frio de criptomoedas as mantêm offline e evita que sejam envolvidas em ataques cibernéticos.

Publicidade

A fornecedora de carteiras dá aos usuários uma frase “seed” de recuperação entre 12 e 24 palavras, permitindo que recuperem os conteúdos caso seu dispositivo físico seja perdido ou roubado. No entanto, caso um invasor descubra a frase seed, pode obter acesso à carteira (e às alocações em cripto) sem precisar do dispositivo.

No domingo (3), a Trezor tuitou que estava “investigando uma possível violação de dados de uma newsletter de inscrição hospedada no MailChimp” e alertou aos usuários que “não abram qualquer e-mail enviado por noreply@trezor.us. É um domínio de phishing”.

Logo em seguida, a Trezor confirmou que o MailChimp havia sido “comprometido por um infiltrado que tem empresas cripto como alvo”.

Em uma curta série de tuítes, a empresa explicou que havia “derrubado o domínio de phishing” e “não irá se comunicar via newsletter até que a situação seja solucionada”.

Publicidade

Na segunda-feira (4), a Trezor compartilhou um artigo de acompanhamento sobre os ataques de phishing. Descreve-os como “em andamento” e inclui capturas de tela do e-mail malicioso de phishing. O artigo também apresenta orientações para usuários afetados.

Atualmente, ainda não se sabe se quaisquer fundos foram roubados no esquema.

Criptomoedas não estão imunes a ataques de phishing

Apesar de suas promessas de segurança avançada, a Web 3 não está imune a ataques.

Ataques de phishing são relativamente fáceis para que cibercriminosos realizem porque o site ou correspondência de phishing pareça convincente, usuários podem acabar enviando, sem querer, suas informações a agentes maliciosos. No caso da Trezor, o agente era um “infiltrado” na MailChimp.

Em março, diversos usuários do popular mercado de tokens não fungíveis (ou NFTs, na sigla em inglês) OpenSea informaram que seus NFTs e ethers (ETH) sumiram de suas carteiras em uma invasão que roubou US$ 1,7 milhão em criptomoedas.

David Finzer, CEO do OpenSea, afirmou que a equipe não “acredita que [o ataque] tenha conexão com o site OpenSea” e que cerca de 32 usuários haviam “assinado um ‘payload’ malicioso de um invasor” que parecia ser uma correspondência oficial, mas era um esquema de phishing.

Publicidade

Na semana passada, o preço do ApeCoin despencou 8% após o canal no Discord do Bored Ape Yacht Club (ou BAYC) ter sido alvo de um esquema de phishing.

No Twitter, a equipe do BAYC alertou os usuários a “não emitir nada no Discord neste momento. Um ‘webhook’ [conexão entre dois sistemas] no nosso Discord foi brevemente comprometido”.

*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.

Talvez você queira ler
Imagem da matéria: Blast: Conheça o novo protocolo de segunda camada do Ethereum que já atraiu US$ 30 milhões no lançamento

Blast: Conheça o novo protocolo de segunda camada do Ethereum que já atraiu US$ 30 milhões no lançamento

Blast promete trazer ganhos de staking obtidos na blockchain principal para a segunda camada e projeto abarca também stablecoins
Moedas de bitcoin sob mesa escura com sigal ETF

Aprovação de ETF de Bitcoin nos EUA é uma “questão de quando, não se”, diz Grayscale

Embora reconheça que os prazos sejam incertos, a Grayscale garante que a aprovação de um ETF de Bitcoin à vista nos EUA é inevitável
SBF da FTX no Congresso dos EUA

Sam Bankman-Fried lidera “lista da vergonha” da Forbes; veja quem mais decepcionou

A Forbes publicou uma lista de jovens empresários que contrariam as expectativas ao se envolverem em fraudes e outras infrações
Binance

Justiça proíbe Binance de acessar R$ 430 milhões bloqueados em disputa com Capitual

Disputa entre Binance e Capitual já dura mais de um ano; Justiça já alterou quatro vezes a decisão sobre bloqueio dos R$ 430 milhões