Uma falsa ficha Metamask e uma ficha chamada $YEAR em referência ao novo ano, conseguiram tirar dinheiro a muitos utilizadores. Infelizmente, esta prática voltou a estar na moda em 2021.
Um esquema de ficha MetaMask
Os golpistas conseguiram enganar quase 400 pessoas por cerca de 1,8 milhões de dólares.
Os perpetradores tiraram partido dos rumores sobre uma futura ficha oficial da MetaMask anunciando uma ficha chamada MASK e oferecendo aos interessados que colocassem o seu dinheiro num par de fichas na plataforma de troca da Uniswap. O par ainda é visível aqui.
Alguns utilizadores relataram que conseguiram revender as suas fichas durante algum tempo, algo que foi provavelmente tornado possível pelos golpistas para evitar suscitar suspeitas entre os compradores.
Então a venda tornou-se impossível uma vez que o valor total em dinheiro do pool atingiu $1 milhão, privando os compradores da sua propriedade.
De acordo com um tópico do Twitter do user coby.eth, os golpistas conseguiram explorar uma falha no código frontend no website DexTools, exibindo a ficha MASK como verificada e segura para os utilizadores da plataforma:
Capturas do pop-up de verificação e captura da ficha verificada (Fonte: Twitter)
De acordo com o etherscan, uma ferramenta que rastreia as transacções que ocorrem na cadeia de bloqueio Ethereum (ETH), a(s) pessoa(s) que criou a fraude conseguiu transferir 475 ETH (equivalente a 1.594.575 dólares na altura em que foi escrito) e também tinha quase 10 milhões de fichas de $MASK.
Ambas as transacções foram feitas a partir do pool de liquidez alojado na plataforma Uniswap e depois transferidas para uma carteira digital.
O dinheiro foi então transferido para o Tornado Cash, uma plataforma que permite a “mistura” de moedas para tornar as transacções completamente anónimas. Isto significa que a pessoa que recebeu os lucros não pode ser rastreada.
Até hoje, a Dextools ainda não divulgou uma resposta às falhas de segurança no seu código que foram o principal motor do sucesso do esquema.
O primeiro esquema de 2022
Felizmente, este não é um caso isolado como um projecto que se intitula “EtherWrapped” surgiu a 31 de Dezembro, fazendo-se passar por uma gota de ar para os utilizadores da cadeia de bloqueio Ethereum.
O anúncio inicial foi feito a partir de uma conta no Twitter chamada @etherwrapped, mas que desde então foi apagada.
Os utilizadores foram convidados a ir ao site do esquema e ligar a sua carteira MetaMask para receber uma recompensa de fichas chamada “YEAR” em proporção aos seus investimentos na cadeia de bloqueio.
Capturar as recompensas oferecidas pelo símbolo YEAR (Fonte: Twitter)
O contrato inteligente do símbolo YEAR apareceu primeiro não verificado com a Máquina Virtual Ethereum (EVM), depois o criador do símbolo tornou público o seu código para que todos pudessem verificá-lo em busca de código malicioso, que é o procedimento padrão.
De acordo com o Twitter user meows.eth, foi um código aparentemente inofensivo que tornou possível o roubo.
A pessoa por detrás do esquema teria utilizado esta linha de código para impedir que os proprietários da ficha a vendessem, pelo que houve uma curva ascendente sem qualquer revenda e baseada apenas em compras.
Então, após 30 minutos, o bandido teria retirado todo o dinheiro da piscina, ou seja, 30 ETH (equivalente a $100,410 neste preciso momento), fazendo assim a ficha de ANO cair para um valor de $0.
É de notar que apesar de os compradores terem ligado a sua carteira da MetaMask ao site do esquema, não houve roubo directo das carteiras dos compradores. O ladrão teria “apenas” beneficiado dos 30 ETH do pool de liquidez, obtidos graças aos compradores da ficha fraudulenta.
Um esquema “Meta” está a circular no Facebook
alguns esquemas ousam fazer qualquer coisa: por exemplo, existe actualmente um anúncio para um símbolo “Meta”, em referência à mudança de nome do Facebook.
Apenas, o anúncio é apresentado… no próprio site do Facebook.
Isto pode parecer extraordinário e é esse o problema, é fácil cair nessa, pois pode ser difícil acreditar que um esquema possa ser transmitido na plataforma que está a falsificar!
Exemplos de anúncios fraudulentos (Fonte: Facebook)
Neste caso, pode usar a ferramenta Scam Detector de esquemas. Aqui, este site pontua 0,6/100 em termos de fiabilidade, que é o mínimo. É um truque simples que pode poupar-lhe muitos problemas.
O método de puxar tapete
Os esquemas descritos acima usam o chamado método de extracção de tapete, um procedimento que infelizmente é demasiado comum no mundo da moeda criptográfica.
Simplificando, o burlão apostará no efeito FOMO (Fear Of Missing Out).
Lançará uma ficha cuidando da sua imagem, nomeadamente gastando dinheiro em publicidade ou mesmo convencendo as pessoas com notoriedade de que o seu projecto é seguro e que funcionará sempre.
Alguns também anunciam em redes sociais populares tais como Instagram, Facebook ou Twitter, muitas vezes enviando mensagens privadas aos utilizadores prometendo-lhes gotas de ar atractivas ou brindes.
Assim, uma vez lançado o projecto, o valor da ficha irá disparar, criando o famoso medo de perder a oportunidade de ter as fichas a um preço reduzido para as revender a um preço mais elevado.
Uma vez que os golpistas tenham atingido a quantia desejada, podem simplesmente sair com a caixa registadora.
Rug pull example (Fonte: ByBit)
Há alguns passos básicos a dar antes de investir num novo projecto:
O primeiro é verificar o white paper do projecto. Embora não seja uma garantia de 100% de segurança, dá uma ideia da fiabilidade do projecto, ver se é consistente e se a sua escrita parece séria. Entre um papel branco de 5 páginas e um de 50 páginas, é óbvio que este último será provavelmente mais fiável.
Então pode olhar para quem está por detrás do projecto: estiveram envolvidos noutros projectos bem conhecidos? Têm experiência no sector da cadeia de bloqueio ou da tecnologia? O projecto é apoiado por personalidades ou empresas bem conhecidas do sector?
Uma verificação mais técnica consiste em ver como os fundos para um projecto são partilhados. Por exemplo, para a cadeia de bloqueio Ethereum, pode utilizar o etherscan e verificar se poucas ou muitas pessoas possuem as fichas: se muito poucas pessoas possuem todas as fichas, tenha cuidado.
Outro método fraudulento comum é o “Honey Pot”, trabalhando num método ligeiramente mais complexo mas que se pode evitar tomando as mesmas medidas de precaução.
A fim de enganar a vítima, o burlão emitirá um contrato inteligente com um buraco de segurança para fazê-los pensar que podem explorá-lo para ganhar dinheiro.
Por exemplo, a vítima pode acreditar que um contrato inteligente lhe permitirá ganhar dinheiro numa base regular, completamente desapercebido. Só que, para recuperar o saque, a vítima terá de adiantar dinheiro.
Dinheiro que, claro, nunca mais verão, uma vez que a falha falsa foi codificada de uma forma totalmente voluntária. Esta é uma versão da mais popular “fraude 4-1-9” mas adaptada à moeda criptográfica.
Também pode utilizar a ferramenta de detecção de honeypot para o Ethereum ou para o Binance Smart Chain.
Tenha em conta que, para o ano 2021, foram mais de 7,7 mil milhões de dólares roubados através de métodos sem escrúpulos como estes no universo da moeda criptográfica, mais 81% do que no ano 2020.
Volume de moedas criptográficas obtidas por golpistas (Fonte: Chainalysis)
Só podemos recomendar-lhe que seja extremamente cuidadoso com novos projectos, especialmente se eles lhe prometerem a lua. Tenha sempre muito cuidado
