Um investidor perdeu 50 milhões de dólares após ser vítima de uma técnica de «envenenamento de endereço». O que aconteceu e como se proteger desse risco?
Um investidor perde dezenas de milhões de dólares num ataque
A empresa de análise Lookonchain relatou esta semana uma perda muito significativa de um investidor em criptomoedas. A vítima pretendia transferir 50 milhões de USDT e, primeiro, transferiu 50 USDT para o seu próprio endereço de carteira, a fim de o testar.
Depois de esta primeira transferência ter sido bem-sucedida, enviou a quantia de 50 milhões de dólares para o que pensava ser o mesmo endereço… Só que um hacker tinha passado por lá. Este último utilizou a técnica de «address poisoning» para roubar os fundos.
Esse tipo de «envenenamento» é simples: consiste em enviar uma pequena quantia à vítima, criando um endereço cujos primeiros e últimos caracteres se assemelham ao dela. O objetivo é que a pessoa não verifique o endereço completo e se contente em copiar o endereço do seu histórico de transações.
50 milhões de dólares roubados, fundos lavados
Foi isso que aconteceu aqui, de acordo com a Lookonchain:
Como muitas carteiras ocultam a parte central do endereço com «…» para melhorar a interface do utilizador, muitos utilizadores costumam copiar o endereço do histórico de transações e geralmente verificam apenas o primeiro e o último caracteres.
Resultado: 50 milhões de USDC desapareceram. A vítima, que pretendia retirar os seus fundos da Binance, acabou por enviá-los para o endereço falsificado.
O burlão rapidamente lavou os fundos, de acordo com informações partilhadas pela SlowMist. Primeiro, trocando os USDT por DAI através do MetaMask Swap e, em seguida, trocando tudo por ETH. Por fim, enviou estes últimos para o misturador de criptomoedas Tornado Cash.
Uma proposta de acordo com o burlão
Resultado: o detentor original do USDC perdeu dezenas de milhões de dólares em poucos minutos. Em seguida, ele registou uma mensagem «on-chain» para propor um acordo com a pessoa que roubou as suas criptomoedas:
Registámos oficialmente uma queixa criminal.
Com a ajuda das autoridades policiais, agências de cibersegurança e vários protocolos de blockchain, já reunimos informações substanciais e úteis sobre as suas atividades.
Ele propõe ao hacker que fique com um milhão de dólares e devolva a maior parte do montante. Em troca, o detentor original compromete-se a não instaurar um processo judicial:Esta é a sua última oportunidade de resolver este assunto de forma amigável. Por meio deste, você é obrigado a devolver 98% dos ativos roubados para o endereço abaixo dentro de 48 horas. Você está autorizado a ficar com US$ 1.000.000 como bônus “white hat” pela identificação da vulnerabilidade.
Até ao momento, os fundos não foram restaurados. Este é mais um sinal de que é preciso estar atento aos endereços copiados durante as transferências de fundos. Recomenda-se nunca copiar endereços de um explorador de blockchain e sempre verificar cuidadosamente os endereços completos.
