Um hacker conseguiu roubar mais de US$ 440 mil em USDC, tudo porque o dono de uma carteira assinou, sem perceber, uma autorização maliciosa. A informação foi compartilhada pela Scam Sniffer na segunda-feira (8).
Esse tipo de ataque acontece em um cenário onde as perdas com phishing estão aumentando. Em novembro, mais de US$ 7,77 milhões foram perdidos por mais de 6.000 vítimas. Isso representa um crescimento de 137% nas perdas totais em comparação a outubro, mesmo com a diminuição de 42% no número de vítimas.
“A caça às baleias aumentou, resultando em um prejuízo máximo de US$ 1,22 milhão, tudo por causa dessas autorizações de permissão maliciosas”, comentou a empresa. Ela também notou que, mesmo com a diminuição nos ataques, as perdas individuais estão crescendo.
O que são golpes de permissão?
Golpes de permissão são artimanhas que enganam os usuários para que assinem transações que parecem legítimas. Na verdade, essas assinaturas concedem ao atacante o direito de gastar os seus tokens. Aplicativos descentralizados (dapps) maliciosos muitas vezes disfarçam campos, alteram os nomes de contratos ou tentam apresentar a solicitação de assinatura como algo comum.
Se a pessoa não prestar atenção aos detalhes, ao assinar, acaba permitindo que o golpista acesse todos os tokens ERC-20 de sua carteira. Assim que a permissão é dada, os golpistas geralmente drenam os fundos imediatamente.
Esse golpe utiliza uma função da Ethereum que foi criada para facilitar transferências de tokens, permitindo que usuários deleguem direitos a aplicativos confiáveis. Contudo, essa conveniência se transforma em uma vulnerabilidade quando os direitos são concedidos a um atacante.
“O desafio é que os atacantes podem combinar a permissão e a transferência de tokens em uma única transação ou, então, obter acesso por meio da permissão e depois esperar para transferir qualquer valor adicionado posteriormente”, explica Tara Annison, chefe de produto da Twinstake.
“O sucesso desse golpe está ligado ao fato de que a pessoa assina algo sem entender perfeitamente as consequências disso”, completa. Ela ressalta que não se trata de um caso isolado, já que existem muitos golpes de phishing disfarçados como distribuições de dinheiro, sites falsos ou até alertas de segurança fraudulentos.
Como se proteger
Os provedores de carteiras digitais têm tentado implementar mais recursos de segurança. O MetaMask, por exemplo, alerta os usuários se um site parece suspeito e tenta traduzir os dados da transação em uma linguagem mais acessível. Outras carteiras também destacam ações que são consideradas de alto risco. Mas, infelizmente, os golpistas continuam se adaptando.
Harry Donnelly, fundador e CEO da Circuit, afirma que ataques desse tipo são comuns e recomenda que os usuários verifiquem sempre os endereços dos remetentes e os detalhes dos contratos. “Verificar o destino real dos fundos é crucial; se não coincidir com o que espera, é bem provável que seja uma tentativa de roubo”, ele adverte. “Preste atenção ao valor, pois muitas vezes tentam conceder aprovações ilimitadas.”
Tara Annison enfatiza que a vigilância é a melhor defesa. “A maneira mais eficaz de se proteger de golpes do tipo ‘permit’ é ter certeza do que você está assinando. Quais ações efetivamente serão realizadas? O que está envolvido na transação? Isso corresponde ao que você imaginava que estava assinando?”
Apesar das melhorias nas interfaces de muitas carteiras e dapps, que tentam evitar que as pessoas assinem algo sem compreender, é essencial que os usuários sempre verifiquem o que estão autorizando, em vez de apenas clicar sem prestar atenção.
Uma vez que os fundos são roubados, a recuperação é quase impossível. Martin Derka, cofundador da Zircuit Finance, aponta que as chances de reaver o dinheiro são “praticamente zero”. “Quando se trata de ataques de phishing, o golpista tem como único objetivo roubar seus fundos. Não há como negociar, nem como entrar em contato. Muitas vezes, nem sabemos quem é o atacante”, conclui.
Em resumo, é sempre importante ficar atento e informado para evitar cair em armadilhas.
