A carteira MyEtherWallet (MEW), usada para armazenar Ether (ETH) e seus tokens ERC-20, sofreu um ataque na última terça-feira (24). De acordo com a Coindesk, o montante em ETH roubados foi de US$ 152 mil.
Ao se conectarem no site pela manhã, os usuários da MEW se depararam com o seguinte aviso: “Sua conexão com este site não é segura”.
Esse tipo de situação acontece, muitas vezes, apenas por descuido do responsável pelo site. Este erro indica que as informações de autenticação são enviadas para outro ambiente. Os dados que você enviar não estarão protegidos e a interface não é a que você pensa ser.
De acordo com site Trustnodes aconteceu realmente esse tipo de situação e com agravantes. Os servidores DNS MyEtherWallet foram temporariamente sequestrados e redirecionados para um site de phishing, um verdadeiro ataque clássico.
A investida dos cibercriminosos durou cerca de 2 horas (entre 11h e 13h UTC) tempo suficiente para os hackers realizarem as transferências.
De acordo com o site Ethnews, os criminosos usaram o DNS spoofing, que ‘engana’ o DNS (protocolo da internet), também conhecido como “envenenador de cache”, e sequestraram o Border Gateway Protocol (BGP), que é um protocolo de roteamento entre sistemas autônomos, criado para uso nos roteadores.
A Internet funciona com computadores basicamente “conversando” uns com os outros, mas ao invés de fazê-lo diretamente, é um sistema ‘hub-and-spokes’ (processo que flui por um conjunto de caminhos denominados “spokes”, que se conectam a locais centrais chamados de “hubs” ao atravessar ou retornar ao seu destino final), então eles “conversam” com o ISP (Fornecedor de acesso à internet) primeiro, sendo o ISP um ‘grande computador’.
Somente os ISPs ‘conversam’ com o BGP e transferem dados escolhendo o melhor caminho (IP). Assim, quem ataca esse sistema (um ISP) manda dados para um ‘IP hacker’.
Outros ISPs não sabem que ele é um invasor. Todos eles confiam uns nos outros, então você obtém um site legítimo, como o do MyEtherWallet, acessando o endereço IP dos invasores.
Como isso pode acontecer? Por meio de um elemento nocivo dentro de um ISP introduzido por um funcionário, um hacker ou pela própria empresa.
O caso foi analisado pela EtherScan. Segundo o relatório, os hackers usaram mais de uma carteira antes de abortar a operação.
Este tipo clássico de ataque é raro nos dias de hoje e é bem difícil de executar, pois isto necessita de acesso ao provedor. Embora seja complicado, é muito eficiente.
De quem é a culpa?
A MyEtherWallet, que sempre deixou bem claro em seu site que a plataforma não é um ‘banco’ e sim uma ‘interface’, escreveu em sua conta no twitter a seguinte mensagem:
“Hoje, por volta de 12h (UCT), servidores de registro DNS do Google foram sequestrados, redirecionando usuários para um site de phishing. É uma tática antiga de mais de uma década. Não foi falta de segurança da MEW. Nós não armazenamos nenhum dos seus dados pessoais, incluindo chaves. Nunca ignore um erro de DNS e use carteiras físicas para armazenar suas criptomoedas”.
MEW também indicou um post no blog do Cloudflare para que todos saibam como tudo ocorreu, de maneira técnica.
O usuário do Reddit, ‘rotistain’, descreveu como foi tudo tão rápido:
“Fui ao myetherwallet e vi que o nome tinha um certificado de conexão inválido no canto. Assim que eu entrei, houve uma contagem regressiva de cerca de 10 segundos e foi feita uma transferência de tudo o que eu tinha para uma outra carteira. Eu não tenho ideia do que aconteceu.”
Foram identificadas 179 transações, totalizando 216.06 ETH. Parte dos ethereum roubados foi enviada para Binance e Bittrex. Foi relatado também que o servidor para o qual os usuários do MEW foram redirecionados se localiza na Rússia.
Uma das carteiras usadas para o depósito envolvia, na ocasião, cerca de US$17 milhões em ETH. De acordo com a CCN, essa conta já é vinculada a esquemas de phishing anteriores.
A polícia atualmente tem as ferramentas necessárias para investigar esses tipos de casos, tem muita gente preparada, mas há tempos esses fatos não tem tido a atenção que merecem. A infra-estrutura da Internet em si precisa se tornar mais segura, e isso inclui a educação de Desenvolvedores e o público em geral.
Ataques hackers em ambientes de criptomoedas se tornaram mais frequentes à medida que o ecossistema cresceu. O maior roubo de criptomoedas conhecido até hoje foi na Coincheck, exchange em Tóquio, Japão, estimado em US$ 1,6 bilhão, valor referente às 500 milhões de NEM que foram roubadas em janeiro deste ano.
Leia Também: Bitcoin Chegará a Valer US$ 700 mil, Diz Empresa de Capital de Risco
BitcoinTrade
A primeira plataforma Brasileira que você pode comprar com segurança utilizando o seu Cartão de Crédito como forma de pagamento. Eles aceitam Visa e Mastercard. A BitcoinTrade ainda conta com certificação de segurança PCI Compliance, a única no Brasil. Acesse aqui: https://www.bitcointrade.com.
