Esta semana, Taylor Monahan publicou uma análise na qual identificou roubos de inúmeras carteiras de criptomoedas em 11 blockchains diferentes, sem conseguir definir a causa. O que é que sabemos sobre estes curiosos hacks
Vários roubos afectam as carteiras de criptomoedas
Esta semana, a fundadora e CEO da MyCrypto, Taylor Monahan, publicou a sua análise on-chain mostrando que, desde Dezembro passado, o equivalente a 5.000 ETH foi drenado de uma multiplicidade de carteiras em 11 blockchains diferentes.
O que é interessante é que, a partir da análise, parece difícil estabelecer pontos em comum entre as vítimas, mas muitas semelhanças foram descobertas no modus operandi.
As carteiras afectadas foram criadas entre 2014 e Dezembro passado:
Se está a ler isto, é do tipo que se sente esgotado por esta situação.
Este NÃO é um site de phishing de baixo nível ou um golpista aleatório. NÃO tem um único noob. Só afecta OGs.
Se você tem todas as suas coisas sob uma única frase secreta de recuperação / chave privada, por favor, seja seguro migrar. pic.twitter.com/o50pcBaUWT
– Tay (@tayvano_) April 18, 2023
A falha explorada ainda não foi descoberta, mas o pior cenário possível, em que a falha está relacionada com a encriptação de chaves privadas, está excluído. De facto, se um hacker conseguisse levar a cabo essa exploração, os danos seriam muito maiores.
De acordo com as análises, a maioria destes roubos ocorre entre as 10 e as 16 horas UTC para os activos principais, enquanto os montantes mais pequenos são geralmente desviados entre as 16 e as 22 horas UTC. Além disso, uma grande parte destes roubos ocorre durante os fins-de-semana:
Por fim, muitos roubos parecem ter lugar ao fim-de-semana É óbvio que não tenho todas as transacções, mas é muito estranho. Não sei. É simplesmente estranho.
18 de Dezembro = Domingo
25 de Dezembro = Domingo
29 de Janeiro = Domingo
17-19 Fev = Sexta-Domingo
Abr 15 = Sábado pic.twitter.com/b4TEAMjmdO– Tay (@tayvano_) April 18, 2023
É também interessante notar que, por vezes, os bens são enviados do endereço de uma vítima para outro, de forma a consolidar o saque. Por exemplo, os fundos roubados da vítima A são enviados para a vítima B, cujos fundos e os de A são enviados para a vítima C.
Além disso, o atacante manteria as coisas simples, muitas vezes deixando de fora NFTs ou posições abertas em quaisquer protocolos financeiros descentralizados (DeFi). No entanto, houve casos em que este atacante reverteu para um endereço que já tinha sido visitado anteriormente.
Como se proteger de um ataque deste tipo
Em teoria, este tipo de roubo diz respeito principalmente a carteiras quentes como a MetaMask, xDeFi ou Rabby, mas é importante notar que nenhuma delas parece estar a ser especificamente visada.
Na verdade, é a forma como a chave privada da carteira é armazenada que será decisiva. Como as hot wallets armazenam a chave privada num ficheiro alojado na máquina do utilizador, são alvos mais fáceis. No entanto, se a frase-semente de uma carteira de hardware for armazenada num ficheiro de texto no computador do utilizador, não é menos vulnerável.
Em geral, é prudente diversificar a localização dos fundos, de modo a que os endereços onde se encontram não dependam de uma única frase-semente. Além disso, pode ser sensato mover regularmente os activos para endereços criados a partir de novas frases-semente, caso a última seja comprometida.
Além disso, embora a atitude mais prudente seja usar carteiras de hardwares, as frases-semente nunca devem ser salvas em uma máquina com acesso à Internet.
Enquanto aguardamos mais informações sobre esta onda de desvio de contas, é aconselhável limitar o máximo possível a quantidade de fundos armazenados em carteiras quentes, renovando-as em intervalos regulares.