Imagem da matéria: Hacker usa serviço de newsletter para tentar roubar criptomoedas de clientes da Trezor
Foto: Shutterstock

Uma invasão à base de dados do serviço de newsletter MailChimp fez com que usuários da Trezor fossem alvo de um esquema malicioso de phishing. O ataque foi supostamente realizado por infiltrado no MailChimp, informou a Trezor.

Trezor é uma fornecedora de carteiras de hardware para criptomoedas, ou seja, qualquer pessoa pode usar o equipamento da empresa para colocar suas criptomoedas em “armazenamento frio” (ou “cold storage”). O armazenamento frio de criptomoedas as mantêm offline e evita que sejam envolvidas em ataques cibernéticos.

Publicidade

A fornecedora de carteiras dá aos usuários uma frase “seed” de recuperação entre 12 e 24 palavras, permitindo que recuperem os conteúdos caso seu dispositivo físico seja perdido ou roubado. No entanto, caso um invasor descubra a frase seed, pode obter acesso à carteira (e às alocações em cripto) sem precisar do dispositivo.

No domingo (3), a Trezor tuitou que estava “investigando uma possível violação de dados de uma newsletter de inscrição hospedada no MailChimp” e alertou aos usuários que “não abram qualquer e-mail enviado por [email protected]. É um domínio de phishing”.

Logo em seguida, a Trezor confirmou que o MailChimp havia sido “comprometido por um infiltrado que tem empresas cripto como alvo”.

Em uma curta série de tuítes, a empresa explicou que havia “derrubado o domínio de phishing” e “não irá se comunicar via newsletter até que a situação seja solucionada”.

Publicidade

Na segunda-feira (4), a Trezor compartilhou um artigo de acompanhamento sobre os ataques de phishing. Descreve-os como “em andamento” e inclui capturas de tela do e-mail malicioso de phishing. O artigo também apresenta orientações para usuários afetados.

Atualmente, ainda não se sabe se quaisquer fundos foram roubados no esquema.

Criptomoedas não estão imunes a ataques de phishing

Apesar de suas promessas de segurança avançada, a Web 3 não está imune a ataques.

Ataques de phishing são relativamente fáceis para que cibercriminosos realizem porque o site ou correspondência de phishing pareça convincente, usuários podem acabar enviando, sem querer, suas informações a agentes maliciosos. No caso da Trezor, o agente era um “infiltrado” na MailChimp.

Em março, diversos usuários do popular mercado de tokens não fungíveis (ou NFTs, na sigla em inglês) OpenSea informaram que seus NFTs e ethers (ETH) sumiram de suas carteiras em uma invasão que roubou US$ 1,7 milhão em criptomoedas.

David Finzer, CEO do OpenSea, afirmou que a equipe não “acredita que [o ataque] tenha conexão com o site OpenSea” e que cerca de 32 usuários haviam “assinado um ‘payload’ malicioso de um invasor” que parecia ser uma correspondência oficial, mas era um esquema de phishing.

Publicidade

Na semana passada, o preço do ApeCoin despencou 8% após o canal no Discord do Bored Ape Yacht Club (ou BAYC) ter sido alvo de um esquema de phishing.

No Twitter, a equipe do BAYC alertou os usuários a “não emitir nada no Discord neste momento. Um ‘webhook’ [conexão entre dois sistemas] no nosso Discord foi brevemente comprometido”.

*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.

VOCÊ PODE GOSTAR
Imagem da matéria: Banco Central lança consulta pública para regular operações de câmbio com ativos digitais

Banco Central lança consulta pública para regular operações de câmbio com ativos digitais

Minuta apresentada para debate define quais são os serviços de empresas cripto que são atividades de mercado de câmbio
Imagem da matéria: A indústria das criptomoedas se despede de Gary Gensler — exatamente como poderia se esperar

A indústria das criptomoedas se despede de Gary Gensler — exatamente como poderia se esperar

Anúncio da renúncia do presidente da SEC foi recebido com um suspiro de alívio no Crypto Twitter, junto com uma série de memes de zombaria
Moeda de Tether apoiada sobre outras deitadas

Deputados vão realizar audiência pública para discutir regulamentação de stablecoins

Representantes do Banco Central, CVM, Ministério da Fazenda, Coaf, Tether e Circle foram convidados para participar da audiência
Imagem da matéria: Justin Sun compra US$ 30 milhões em tokens do projeto da família Trump

Justin Sun compra US$ 30 milhões em tokens do projeto da família Trump

Justin Sun, o bilionário cripto por trás da Tron, agora possui mais da metade de todos os tokens vendidos desde o lançamento da World Liberty Financial