A título de “sortudo”, um endereço criptográfico parece ter enganado mais de 600 carteiras criptográficas diferentes por mais de 930.000 fichas ARB.
A empresa de inteligência Arkham confirmou com a TCN que também eles identificaram que o endereço “pertence a um hacker que está a varrer fundos de utilizadores Arbitrum”
Uma análise mais atenta das transacções do endereço específico revela que recebeu 933.365 fichas ARB de um endereço Arbitrum diferente a 24 de Março, um dia após a queda aérea altamente esperada da rede camada-2. ARB é o token de governação nativo por detrás da solução de escala de camada-2 para Ethereum chamada Arbitrum.
Transferência de 933.365 fichas ARB na cadeia. Fonte: Arbiscan.
A fonte dessas fichas é outro contrato cujo criador é marcado como “Fake_Phishing18” no explorador de cadeias de bloqueios da Arbitrum.
O investigador independente na cadeia 0xKnight também confirmou que encontrou relatos de vítimas do hack. Os utilizadores queixaram-se de que as suas fichas ARB tinham sido “auto reclamadas” para as carteiras do hacker.
Ethereum smart contract developer Brainsy assinalou o contrato malicioso criado por “Fake_Phishing18” também a 24 de Março. Eles disseram que interagir com o contrato cria um pedido de transacção adicional que aparece como se fosse da carteira do remetente mas, em vez disso, é um ataque de phishing.
Watch out para este falso contrato Arbitrum lá fora.
Quando faço um envio, o contrato falso também faz uma “transacção” que aparece como se fosse da minha carteira. Presumo que para me levar a interagir com o contrato. Fique a salvo lá fora. pic.twitter.com/ygGOddlTGU
– Brainsy (@BrainsyEth) March 24, 2023
MetaMask alertou contra este tipo de ataque e chamou-lhe “envenenamento de endereço”.
É uma tentativa em que os atacantes envenenam a lista de endereços das carteiras dos utilizadores enviando transacções arbitrárias a partir de endereços que se assemelham muito àqueles com os quais o utilizador já interagiu.
Neste caso, o atacante parece ter utilizado tanto um ataque de phishing através de um contrato inteligente malicioso como um envenenamento de endereços, com Brainsy a indicar que faz a transacção parecer “como se fosse da carteira [dos utilizadores]”
A etiqueta “Fake_Phishing18” está também associada a outro endereço chamado “Fake_Phishing47” que implantou um falso contrato de fichas ARB a 21 de Março.
A imagem abaixo mostra que a conta com a etiqueta “Fake_Phishing18” criou o contrato para as fichas falsas ARB e depois transferiu a propriedade para “Fake_Phishing47”
Detalhes do contrato para fichas ARB falsas. Fonte: Arbiscan
A mesma entidade pode ter criado um site falso do Aribtrum, alegando que se os utilizadores interagissem com o site, este daria ao hacker o controlo sobre as carteiras do utilizador.
Por exemplo, havia pelo menos uma página web idêntica ao site de reivindicações da Fundação Arbitrum que circulava em alguns grupos de meios de comunicação social no dia da queda no ar.
O falso website reclamava as fichas ARB em nome do utilizador e transferia-as para as suas carteiras. A única diferença subtil entre eles é que o website original tem uma contagem decrescente para quando o processo de reclamação terminará.
