Um investidor perdeu 50 milhões de dólares após ter sido vítima de uma técnica de «envenenamento de endereço». O que aconteceu e como se proteger deste risco?
Investidor perde dezenas de milhões de dólares num ataque
A empresa de análise Lookonchain relatou esta semana uma perda muito significativa sofrida por um investidor em criptomoedas. A vítima pretendia transferir 50 milhões de USDT e, inicialmente, transferiu 50 USDT para o seu próprio endereço de carteira, a fim de o testar.
Assim que esta primeira transferência foi bem-sucedida, enviou a quantia de 50 milhões de dólares para o que pensava ser o mesmo endereço… Só que um hacker já tinha passado por lá. Este utilizou, de facto, a técnica de «address poisoning» para roubar os fundos.
Este tipo de «envenenamento» é simples: consiste em enviar uma pequena quantia à vítima, criando um endereço cujos primeiros e últimos caracteres se assemelham aos do endereço da vítima. O objetivo é que a pessoa não verifique o endereço na íntegra e se contente em copiá-lo a partir do seu histórico de transações.
50 milhões de dólares roubados, os fundos branqueados
Foi isso que aconteceu neste caso, segundo a Lookonchain:
Como muitas carteiras ocultam a parte central do endereço com «…» para melhorar a interface do utilizador, muitos utilizadores costumam copiar o endereço a partir do histórico de transações e, geralmente, verificam apenas os primeiros e últimos caracteres.
O endereço falso ao lado do da vítima
Resultado: 50 milhões de USDC evaporaram-se. A vítima, que pretendia levantar os seus fundos da Binance, acabou por enviá-los para a morada falsificada.
O burlão procedeu então rapidamente à lavagem dos fundos, de acordo com informações partilhadas pela SlowMist. Primeiro, trocando os USDT por DAI através do MetaMask Swap, e depois trocando tudo por ETH. Por fim, enviou estes últimos para o misturador de criptomoedas Tornado Cash.
Uma proposta de acordo com o burlão
Resultado: o detentor original dos USDC perdeu dezenas de milhões de dólares em poucos minutos. Na sequência disso, inscreveu uma mensagem «on-chain», a fim de propor um acordo com a pessoa que lhe roubou as criptomoedas:
Apresentámos oficialmente uma queixa criminal. Com a ajuda das forças policiais, de agências de cibersegurança e de vários protocolos de blockchain, já reunimos informações substanciais e úteis sobre as suas atividades.
Ele propõe ao hacker que fique com um milhão de dólares e devolva a maior parte do montante. Em troca, o detentor original compromete-se a não instaurar qualquer processo judicial:
Esta é a sua última oportunidade de resolver este caso de forma amigável. Pela presente, é-lhe exigido que devolva 98 % dos ativos roubados para a morada abaixo indicada no prazo de 48 horas. Está autorizado a ficar com 1 000 000 USD a título de prémio «white hat» pela identificação da vulnerabilidade.
Até ao momento, os fundos não foram restituídos. Este é mais um sinal de que é necessário estar atento às moradas copiadas durante as transferências de fundos. Recomenda-se nunca copiar uma morada a partir de um explorador de blockchain e verificar sempre minuciosamente as moradas na íntegra.
