Mão de criminoso com luva preta saindo da tela de notebook em golpe financeiro na internet
Hacker furtou R$ 500 mil em Bitcoin de brasileiro (Foto: Shutterstock)

Nesta segunda-feira (10), o engenheiro de software e desenvolvedor blockchain, Ral Andrew, publicou no LinkedIn um alerta sobre um novo golpe que está explorando algumas funções da MetaMask – mas que também pode ser aplicado contra usuários de qualquer carteira de criptomoedas.

O golpe explora os chamados “endereços envenenados”. Como diz o termo, ele consiste em “envenenar” o histórico de transações de determinados endereços com o endereço do golpista, para induzir os usuários ao erro ao enviar novas transações de criptoativos. Ral Andrew explica:

Publicidade

“’Envenenamento de endereço” é realizado com a inclusão no histórico de transações da carteira de endereços de golpistas muito semelhantes aos endereços que um usuário realizou transações recentemente.”

O golpe é possível pois a maioria dos usuários normalmente apenas confere o prefixo ou o sufixo de um determinado endereço, antes de realizar a transação — e, especificamente no caso da MetaMask, fornece apenas ‘prefixo***sufixo‘ no histórico de transações de sua carteira.

Como funciona o golpe

Por exemplo, ao observar o endereço de Ethereum da “Baleia de LDO” noticiada no Portal do Bitcoin (10 de abril), o que vemos na MetaMask é: ‘0x06ec***C911’.

Em um cenário hipotético, onde uma potencial vítima do golpe tenha recebido transações deste endereço, o golpista pode utilizar uma ferramenta chamada vanity address para gerar um endereço com o mesmo prefixo ou sufixo, como por exemplo ‘0x06ec***0C61’.

Após gerado o endereço, seriam feitas transações de pequeno valor para contaminar o histórico, na esperança de levar a possível vítima ao erro, com a intenção enviar tokens para o endereço correto mas enviando para o golpista devido à desatenção.

Publicidade

Ral Andrew afirma que gerar um endereço com um determinado prefixo (6 caracteres) ou sufixo (4 caracteres) — nos padrões da MetaMask — é fácil e pode ser realizado em poucos minutos. No entanto, gerar ambos prefixo e sufixo tomaria mais tempo. Possivelmente dias.

Como se proteger

Uma forma de se proteger deste golpe é sempre verificar o endereço de destino com cuidado e também o histórico que está sendo usado como referência, ao fazer transações. Ainda melhor é sempre solicitar o endereço novamente para o destinatário, ao invés de utilizar o ‘copiar’ da MetaMask nas atividades recentes.

Apesar de ser um golpe mais fácil de ser explorado na carteira em questão, devido a um padrão de menos caracteres, o mesmo também pode ocorrer ao utilizar plataformas como a EtherScan.io. Conforme observado na imagem abaixo.

Endereço da baleia de LDO no etherscan, com o padrão de prefixo e sufixo que poderia ser explorado para o golpe de endereços envenenados.
Fonte: EtherScan.io — Endereço de exemplo, da baleia de LDO

Observamos o mesmo endereço ‘0x06ec***C911’, também reduzido a ‘0x06ec05…08d1C911′. Quanto maior o número de caracteres, mais complexo e custoso para o golpista. É impossível gerar um endereço exatamente igual.

Publicidade

A ferramenta vanity address utiliza poder computacional para encontrar endereços com caracteres específicos. A tradução literal da ferramenta no português seria “endereços vaidosos” e a técnica é utilizada por entidades que querem formar alguma marca no próprio endereço. Por exemplo: ‘0xp0rtal…BTC1’ (endereço fictício).

VOCÊ PODE GOSTAR
Ilustração da memcoin em Solana Bonk

Como criar uma memecoin em Solana com a Pump.fun

Protocolo viralizou ao permitir a qualquer pessoa criar uma criptomoeda por cerca de R$ 15
bitcoin e ethereum em grafico vermelho de queda

Bitcoin e Ethereum passam a cair e provocam liquidações de US$ 150 milhões

Tanto o Bitcoin quanto o Ethereum despencaram na manhã de sexta-feira (10), provocando uma onda de liquidação de longo prazo
Ilustração de correntes ilustradas com pequenos zeros e uns

Projeto para soluções do sistema carcerário via blockchain vence hackathon na Ethereum Rio

Freedom Chains visa que todo tipo de comportamento do preso seja registrado on chain para evitar corrupção ou injustiças
Imagem da matéria: Projeto de universitários brasileiros ganha R$ 50 mil em hackathon global da Solana

Projeto de universitários brasileiros ganha R$ 50 mil em hackathon global da Solana

Grupo criou aplicação para conectar via blockchain produtores de energia e estações de abastecimento, com a mira no mercado de carros elétricos