Ataque de 440.000 dólares expõe ameaças de esquemas de "permissões" no Ethereum

Um hacker roubou mais de 440.000 dólares em USDC depois de um proprietário de carteira ter assinado acidentalmente uma assinatura maliciosa de “autorização”, segundo um aviso publicado na segunda-feira pela plataforma anti-phishing Scam Sniffer.

O incidente ocorre num contexto de um aumento acentuado dos danos causados por ataques de phishing. Só em novembro, cerca de 7,77 milhões de dólares foram retirados de mais de 6.000 vítimas — um aumento de 137 por cento em relação a outubro, embora o número de vítimas tenha caído 42 por cento.

Segundo o relatório, a “caça à baleia” continuou a aumentar, com o maior caso a atingir 1,22 milhões de dólares a partir de apenas uma assinatura de licença, mostrando que, embora o número de casos tenha diminuído, o nível de danos por vítima aumentou significativamente.

O que é um esquema de licença?

Os esquemas de permissão exploram a prática de enganar os utilizadores para assinarem uma transação que parece legítima, mas que na verdade dá ao atacante o direito de gastar o seu dinheiro. Muitas dApps maliciosas disfarçam conteúdo, falsificam nomes de contratos ou criam pedidos de assinatura que parecem operações rotineiras.

Se o utilizador não confirmar, essa assinatura dá ao atacante permissão total para usar o token ERC-20 na carteira. Depois de licenciados, normalmente esgotam os seus fundos imediatamente.

Este método aproveita a função permit do Ethereum — que foi concebida para facilitar a autorização de gastos em aplicações de confiança. No entanto, a conveniência torna-se uma falha quando esse direito cai em mãos erradas.

Foi lançada uma nova iniciativa interagências para desmantelar redes internacionais de fraude em criptomoedas, particularmente modelos de “pig butchering” que causaram perdas de milhares de milhões de dólares nos últimos anos. Muitas agências como o DOJ, FBI, Serviço Secreto e o Departamento do Tesouro dos EUA irão coordenar-se para reprimir estes grupos criminosos.

Porque é difícil reconhecer o esquema das licenças?

Tara Annison, chefe de produto da Twinstake, disse que o perigo é que um atacante possa levantar fundos numa única transação ou esperar que a vítima carregue mais tokens na carteira — desde que tenha definido um período de validade de assinatura suficientemente longo.

“O sucesso deste tipo de burla reside em os utilizadores assinarem algo que não compreendem. Explora a subjetividade e a impulsividade humana”, disse ela.

Ela também disse que este não é um caso raro. Muitos ataques de phishing de alto valor frequentemente se fazem passar por airdrops gratuitos, sites de projetos falsos ou alertas de segurança falsos para atrair utilizadores a ligar carteiras e assinar transações.

As carteiras de criptomoedas aumentam os alertas — mas não o suficiente

Carteiras como a MetaMask adicionaram alertas suspeitos em sites e mudaram os dados das transações para um formato mais compreensível. Algumas outras carteiras também destacam operações de alto risco. No entanto, o atacante continuava a mudar de tática.

Harry Donnelly, fundador da Circuit, alerta que ataques baseados em permissões são “bastante comuns” e que os utilizadores precisam de verificar os seus endereços de envio, contratos relacionados e, especialmente, os limites de licenciamento — em muitos casos, agentes mal-intencionados pedem permissões de despesa ilimitadas.

Como te protegeres

Annison enfatiza que verificar duas vezes o que está prestes a assinar continua a ser a linha de defesa mais importante:

• Compreender que ações ocorrerão após a assinatura
• Verifique se a função chamada está correta para a operação que pretende
• Não assine só porque o dapp pede ou por promessa de receber recompensas

Muitas carteiras melhoraram a interface para facilitar a compreensão dos utilizadores, mas continua a ser responsabilidade dos próprios utilizadores manterem-se vigilantes.

Segundo Martin Derka, cofundador da Zircuit Finance, a possibilidade de recuperar o dinheiro é “quase nula”.

Disse que, nos ataques de phishing, a vítima não sabe quem é a outra pessoa, não há ponto de contacto e o atacante tem sempre um único objetivo: levar o dinheiro e desaparecer. “Quando o dinheiro desaparece, desaparece”, disse ele.

Thach Sanh