Nesta segunda-feira (25), a conta oficial no Instagram do Bored Ape Yacht Club (ou BAYC, na sigla em inglês) foi hackeada, compartilhando um link para um site falso. As informações iniciais são de que o golpe roubou mais de US$ 2,8 milhões em tokens não fungíveis (ou NFTs) de pessoas que conectaram suas carteiras Ethereum.
O site falso afirmava que Yuga Labs, criadores dos Bored Apes, estava oferecendo terrenos NFT gratuitos em seu futuro jogo de metaverso Otherside e que qualquer pessoa que conectasse uma carteira Ethereum iria receber um “airdrop” gratuito de terreno virtual — mesmo se não tivessem um Bored Ape.
No entanto, era tudo um golpe: o lançamento do Otherside está planejado para este sábado (30) e o site não era uma criação oficial do Yuga Labs.
Porém, muitas pessoas caíram na farsa: pelo menos 91 NFTs foram roubados de carteiras conectadas, com um valor combinado de mais de US$ 2,8 milhões, com base no preço mínimo atual (ou o NFT mais barato disponível) de cada coleção.
Já segundo a plataforma de análise em blockchain BreadCrumbs, até por volta das 15h30 desta segunda-feira, o hacker do BAYC já teria roubado 111 NFTs.
🚨There is no mint going on today. It looks like BAYC Instagram was hacked. Do not mint anything, click links, or link your wallet to anything.
— Bored Ape Yacht Club (@BoredApeYC) April 25, 2022
De acordo com o detetive em blockchain “zachxbt”, a carteira ligada à fraude conseguiu roubar quatro NFTs da coleção BAYC, sete NFTs do Mutant Ape Yacht Club (ou MAYC) e três NFTs do Bored Ape Kennel Club, além de diversos outros NFTs.
Outros relatos afirmam que o servidor oficial do BAYC no Discord também foi hackeado, mas esse não parece ser o caso, No entanto, o Discord dos Bored Apes já havia sido hackeado no dia 1º de abril.
Damn the BAYC Instagram hacker stole 4 BAYC, 7 MAYC, 3 BAKC, 1 CloneX, & more ( 91 NFTs in total)
— zachxbt (@zachxbt) April 25, 2022
Hacker Address:https://t.co/0ngJ4SKV4G pic.twitter.com/9U2OGPKMmP
“Nesta manhã, nossa equipe foi alertada de que a conta oficial do Bored Ape Yacht Club no Instagram foi hackeada”, segundo uma declaração oficial do Yuga Labs ao Decrypt.
“O hacker publicou um link fraudulento para uma cópia do site Bored Ape Yacht Club, onde um ataque [com a função] ‘safeTransferFrom’ pediu que usuários conectassem sua [carteira] MetaMask à carteira do golpista para participar de um airdrop falso.”
A função “safeTransferFrom” permite a transferência de um NFT da conta do dono do ativo à conta válida de um destinatário.
“Às 10h53 [horário de Brasília], alertamos nossa comunidade, removemos todos os links ao Instagram de nossas plataformas e tentamos recuperar a conta hackeada do Instagram”, continua a declaração.
“A autenticação de dois fatores estava ativada e as práticas de segurança da conta do IG eram rigorosas. Yuga Labs e Instagram estão investigando como o hacker conseguiu obter acesso à conta. Ainda estamos investigando.”
Yuga Labs estimou o valor total dos NFTs roubados em cerca de US$ 3 milhões, segundo dados obtidos da carteira do invasor. A empresa também alega que está “ativamente trabalhando para estabelecer contato com usuários afetados”, mas não compartilhou detalhes sobre possíveis planos de reembolso para holders afetados.
Onda golpista
O esquema no Instagram veio após uma onda de golpes no Twitter, em que contas verificadas de diversos usuários foram comprometidas e usadas para propagar ataques parecidos para o roubo de NFTs.
Esse esquema específico se originou com apecoin (APE), o recém-lançado token do ecossistema BAYC e, desde então, se espalhou para Azuki e Moonbirds. Os criadores desses projetos não estão envolvidos com os esquemas.
Alguns dos usuários afetados no Twitter contaram ao Decrypt que suas contas tinham a ativação da autenticação de dois fatores. Em 8 de abril, um representante do Twitter disse ao Decrypt que “sabia” e estava “ativamente trabalhando em uma solução para combater” tais esquemas, mas não forneceu uma atualização recente.
*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.