A Safe Wallet, que em inglês significa “carteira segura”, se mostrou não tão segura assim. Isso porque, recentemente, usuários da carteira sofreram um ataque hacker que causou perdas de US$ 2 milhões, ou cerca de R$ 10 milhões.
De acordo com relatos do perfil Scam Sniffer, os ataques começaram entre os dias 26 de novembro e 3 de dezembro e afetaram mais de 21 usuários até o momento. Os usuários foram vítimas de um ataque conhecido como envenenamento de endereço, que induz os usuários ao erro e tem causado várias perdas.
Esquema de envenenamento de endereço na Safe Wallet
A contagem total de vítimas chegou agora a 21, com o mesmo invasor supostamente roubando US$ 5 milhões desses usuários da Safe Wallet nos últimos quatro meses, de acordo com o relatório do Scam Sniffer. Um usuário com US$ 10 milhões em criptomoedas dentro de uma carteira segura perdeu US$ 400 mil no ataque.
Especula-se que o ataque de envenenamento de endereços partiu do mesmo hacker que atacou o Florence Finance, um protocolo de empréstimo de ativos do mundo real. O incidente, conforme noticiou o CriptoFácil, causou perdas de US$ 1,45 milhão em USDC do protocolo.
O engano envolveu a elaboração de endereços com caracteres iniciais e finais surpreendentemente semelhantes, levando a vítima a enviar fundos, sem saber, para o endereço fraudulento, sem examinar o endereço completo.
- Leia também: GameFi: mais de 75% dos jogos de Web3 fracassaram
O que é envenenamento de endereço?
Ao contrário dos golpes comuns que empregam táticas como aprovações ilimitadas de tokens ou phishing para frases secretas de recuperação, o “envenenamento de endereço” explora o descuido e a pressa do usuário. Os endereços blockchain, normalmente cadeias alfanuméricas complexas, variam de 25 a 40 caracteres, tornando a memorização um desafio.
Para melhorar a experiência do usuário, algumas plataformas de criptomoedas exibem apenas os caracteres iniciais e finais, omitindo os do meio. Esta prática, conhecida como encurtamento de endereço, facilita na hora de conferir os dados. Mas representa um risco de segurança.
Os invasores podem explorar as possibilidades limitadas (36 por caractere) e criar endereços com o mesmo formato abreviado do usuário, aumentando as chances de correspondência. Como muitas blockchains não diferenciam maiúsculas de minúsculas, o trabalho do invasor fica ainda mais fácil.
Os ataques de envenenamento de endereço aproveitam essa vulnerabilidade. Os invasores enviam uma transação de baixo valor de um endereço de aparência semelhante para a vítima.
Os usuários, acostumados a copiar endereços de históricos de transações, podem colar inadvertidamente o endereço do invasor ao fazer transações subsequentes. Os fundos acabam sendo enviados ao invasor e não ao destinatário pretendido.
Posts relacionados
Pesquisa: 54% dos tokens ERC-20 parecem ser esquemas de pump and dump
Um levantamento recente da Chainalysis revelou que 54% dos tokens padrão ERC-20, listados em exchanges descentralizadas (DEXs) em 2023 exibem padrões que podem sugerir esquemas ...
Bitfinex impede o que seria o maior roubo da história
A exchange de criptomoedas Bitfinex frustrou com sucesso uma tentativa de um invasor de explorar cerca de US$ 15 bilhões em XRP. Caso o ataque tivesse sucesso, seria o maior r...
Stablecoin desaba após relatos de ataque de US$ 6,5 milhões à protocolo
A stablecoin MIM, emitida pela plataforma descentralizada Abracadabra.money, sofreu uma queda repentina para US$ 0,76 nesta terça-feira (30) após relatos de que um ataque hacker...
Base lança sistema de monitoramento após ataques hackers e golpes
A Base, blockchain de camada 2 (layer 2) da Coinbase, lançou na terça-feira (19) uma ferramenta de monitoramento de código aberto chamada Pessimism. O objetivo da solução é aume...
Coreia do Norte roubou mais de US$ 600 milhões em criptomoedas em 2023
De acordo com um relatório da TRM Labs, hackers afiliados à Coreia do Norte estiveram envolvidos em um terço de todos os exploits e roubos de criptomoedas no ano passado. Dessa ...
Desenvolvedores encontram falha grave no Tornado Cash
O desenvolvedor do mixer de criptomoedas Tornado Cash, conhecido como “Gas404”, fez um alerta a respeito da segurança dos usuários. De acordo com o desenvolvedor, ...
Cuidado! Golpe de falso airdrop da Uniswap circula nas redes
Está circulando nas redes uma campanha de engenharia social divulgando um falso airdrop de tokens da Uniswap. O anúncio da distribuição de tokens falsa diz que o evento irá dar ...
Bot da Uniswap sofre ataque e perde R$ 2,5 milhões em ETH; token UNIBOT desaba
O Unibot, um robô comercial que facilita a compra e venda de tokens na plataforma V3 na Uniswap, diretamente de seus aplicativos Telegram, sofreu um ataque hacker. De acordo com...
Ataques ao Bitcoin e Ethereum agora são ‘economicamente inviáveis’, diz pesquisa
Um novo estudo publicado no dia 15 de fevereiro pela empresa de análise on-chain CoinMetrics revelou que os atuais modelos de segurança do Bitcoin (BTC) e do Ethereum (ETH) torn...