Projeto cria armadilha e faz hackers gastarem US$ 250 mil em NFTs falsos

Coleção Mad Lads conseguiu enganar os bots que extorquiam e ameaçavam fazer ataques DDOS durante mintagem do projeto
Imagem da matéria: Projeto cria armadilha e faz hackers gastarem US$ 250 mil em NFTs falsos

NFT da coleção Mad Lads (Imagem: Coral)

A coleção Mad Lads é o assunto do momento no mundo NFT, após se tornar a mintagem líder de mercado no último final de semana. Mas o drop em si se mostrou um tanto dramático, já que bots sobrecarregaram a mintagem e forçaram um atraso de 24 horas.

No entanto, os “Mad Lads” por trás do projeto fizeram jus ao seu nome (Mad Lads pode ser traduzido como “caras malucos”) e revidaram, enganando os bots hackers que rondavam o projeto, fazendo com que eles gastassem mais de US$ 250 mil em SOL em uma mintagem falsa.

Publicidade

Tudo foi reembolsado, mas a mudança aparentemente manteve o drop de NFT focado, na maior parte, nas pessoas que realmente queriam fazer parte do projeto — e longe daqueles que estavam tentando cunhar o maior número possível de NFTs como uma forma rápida de obter lucro.

“Decidimos que tínhamos que lutar contra os bots”, disse o CEO da Coral – empresa por trás dos Mad Lads -, Armani Ferrante ao Decrypt, “e tivemos que fazer isso por causa do projeto.”

HONEYPOT BITCHhttps://t.co/6Q91RAQigh

— Mad Lads (@MadLadsNFT) April 21, 2023

Ferrante disse que, à medida que a cunhagem se aproximava no início da semana passada, ele começou a receber mensagens de Telegram de um perfil desconhecido que tentou extorquir a Coral, alegando que eles poderiam “derrubar” o aplicativo Backpack da Coral e estragar o drop.

De acordo com Ferrante, a pessoa efetivamente ameaçou um ataque distribuído de negação de serviço (DDOS) para sobrecarregar a mintagem e exigiu que um pagamento fosse feito.

“Não tínhamos dinheiro. Estamos sem dinheiro — estamos lutando para sobreviver”, disse Ferrante, referindo-se ao fato que mais de 70% dos fundos que a Coral levantou em sua rodada estratégica de US$ 20 milhões no segundo semestre de 2022 estão inacessíveis devido ao colapso da FTX.

Publicidade

Mas Ferrante também descreveu o dilema como mais do que apenas financeiro — foi uma luta pelo futuro do projeto, para construir uma comunidade orgânica de colecionadores que participaram da mintagem.

Confusão na mintagem

As cunhagens NFT de alto perfil são frequentemente visadas por usuários que possuem bots ou programas automatizados, que são capazes de inundar o software de mintagem com solicitações e tentam comprar uma quantidade excessiva de criptoativos. Geralmente, isso é feito para adquirir ativos digitais e revendê-los no mercado secundário em meio ao burburinho pós-mintagem.

Ataques de bots ligados a drops de NFT já derrubaram a rede Solana antes, mas mesmo quando a tecnologia está funcionando sem problemas, uma cunhagem dominada por bots significa que os colecionadores e usuários com uma verdadeira afinidade com o projeto às vezes não conseguem participar do processo.

Organizar listas de permissões selecionadas de carteiras autorizadas é algo que pode ajudar, mas isso também gera algumas desigualdades próprias no processo de cunhagem.

Publicidade

A Mad Lads chegou a organizar uma lista de permissões na quarta-feira (19), e tudo correu conforme o planejado. Mas quando a cunhagem pública para o resto do suprimento de NFTs estava prestes a começar na quinta-feira, Ferrante disse que os ataques DDOS começaram imediatamente.

A mintagem da Mad Lads foi brevemente adiada várias vezes na quinta-feira, enquanto a Coral tentava mitigar os ataques. A rede Solana continuou online, mas outros problemas surgiram, já que os provedores de RPC também tiveram problemas e a API de preços do CoinGecko começou a falhar.

Ferrante descreveu a situação como um “efeito dominó”, uma vez que “bilhões de requisições” começaram a aparecer para a cunhagem e começaram a causar estragos.

“Basicamente falando, um jogo de gato e rato começou a acontecer, no qual os criminosos estavam tentando fazer engenharia reversa de seu código”, disse Ferrante ao Decrypt, “e nós mudaríamos as táticas de defesa, indo e voltando, indo e voltando com a cunhagem.”

Billions of requests. Things that went wrong.

– crushed by ddos (and extortion)
– coingecko api down
– twitter spaces broken
– cloudflare ui broken
– rpc node 1 data center rugged
– rpc node 2 unable to handle capacity
– bots trying to rug the public phase

Fock it.

— Mad Armani 🎒 (@armaniferrante) April 21, 2023

A Coral acabou adiando a cunhagem por 24 horas até sexta-feira à noite, em vez de simplesmente ir em frente e deixar que os usuários com bots reivindicassem uma parcela injusta dos NFTs. A equipe de Ferrante passou esse tempo extra trabalhando em como se proteger melhor contra ataques com bots — incluindo um novo tipo de estratégia.

Publicidade

Por dentro da armadilha

Quando a mintagem de sexta-feira estava prestes a começar, uma nova inundação de ataques DDOS começou. Desta vez, a Coral enviou duas atualizações consecutivas para o aplicativo de cunhagem: uma que era legítima e apontava para o processo real de cunhagem dos NFTs, como seria referenciado na interface pública da mintagem, e outra que só poderia ser encontrada fazendo a engenharia reversa do código.

Uma delas apontou para uma “armadilha” — efetivamente, uma distração isolada projetada para enganar os usuários com bots a aplicar suas SOLs em uma mintagem falsa e não receber nada de valioso no processo.

O contrato falso absorveu mais de US$ 250 mil em SOL, e os usuários que tentaram obter uma vantagem injusta na mintagem não estavam no grupo do drop público legítimo dos NFTs que começou logo depois.

“Pegamos vocês! HA!”, o perfil da Mad Lads tweetou na sexta-feira, apontando para uma conta da rede Solana que detinha os fundos adquiridos com a cunhagem falsa.

Ferrante disse ao Decrypt que é possível que alguns usuários legítimos tenham sido levados para a cunhagem falsa também. E de fato alguns usuários no Twitter disseram que estavam seguindo as regras e acabaram com um NFT inútil, embora o pseudônimo Web3 world possa ser um fake se queixando nas redes sociais.

Publicidade

Thanks for playing.

We'll be returning all SOL in the honeypot by the end of the day. https://t.co/Xj4NBRYnrd pic.twitter.com/H1GO1pMZaC

— Mad Lads (@MadLadsNFT) April 22, 2023

Mesmo assim, Ferrante disse estar confiante de que eram principalmente os usuários que estavam tentando jogar com a cunhagem. Isso porque os usuários que participariam da mintagem legítima teriam que criar manualmente o código para cunhar os NFTs após a engenharia reversa do código do contrato, disse ele, apontando assim para usuários mais sofisticados que saem do processo normal.

Em última análise, a jogada da armadilha foi projetada para distrair e frustrar os usuários com bots e não para roubar fundos — então as restituições foram processadas horas após a conclusão da cunhagem.

BREAKING: @MadLadsNFT 24H NFT SALES VOLUME IS LARGER THAN THOSE OF THE NEXT 9 COLLECTIONS COMBINED – $8,167,746 VS. $7,781,155 pic.twitter.com/0tVbY129tN

— DEGEN NEWS 🗞️ (@DegenerateNews) April 22, 2023

Se esse tipo de estratégia funcionará novamente para drops NFT no futuro ainda é algo incerto, já que o jogo de gato e rato não vai acabar. Mas Ferrante acredita que a tática surpresa ajudou a coleção Mad Lads a alcançar mais de seu público-alvo, e o drama e a emoção indiscutivelmente ajudaram a alimentar o burburinho em torno do projeto, pois ele liderou as paradas NFT no fim de semana.

“Em tempo real, estávamos lutando contra esses caras que estavam tentando nos extorquir no início da semana”, concluiu Ferrante. “E foi uma espécie de evento muito eufórico e louco. Foi honestamente um dos momentos mais estressantes da minha vida.”

*Traduzido por Gustavo Martins com autorização do Decrypt.