A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), encaminhou um alerta sobre um esquema fraudulento que possibilita o roubo de criptomoedas da carteira dos usuários.
Segundo a empresa o esquema mira usuários de exchanges descentralizadas como PancakeSwap e Uniswap e, geralmente, está ligado ao lançamento de um token "que vai bombar no mercado".
Desta forma os atacantes acabam criando tokens fraudulentos que vem com uma 'pegadinha' em seu contrato inteligente que permite gastar todas os fundos do usuário armazenados na wallet conectada com o serviço, como o MetaMask.
Algumas das 'pegadinhas' dos contratos inteligentes fraudolentos incluem uma taxa de compra de 99% que roubará todo o seu dinheiro na fase de compra. Alguns dos tokens não permitem que o comprador revenda e apenas o proprietário pode vender. Alguns tokens contêm uma taxa de venda de 99% que roubará todo o seu dinheiro na fase de venda e alguns permitem que o proprietário crie mais moedas em sua carteira e as venda.
Golpes
Ainda segundo a empresa, para criar tokens fraudulentos, os atacantes criam as 'pegadinhas' nos contratos inteligentes de diferentes maneiras.
1. Acionar serviços de fraude. Os atacantes utilizam geralmente serviços fraudulentos para criar o contrato, ou copiam um contrato fraudulento já conhecido, modificando o nome do token e seu símbolo, bem como alguns nomes de funcionalidades se forem muito sofisticados.
2. Manipular funcionalidades. Então, os atacantes irão manipular as funcionalidades relativas à transferência de dinheiro, evitando que a vítima venda ou aumente o valor da taxa, entre outras medidas. A maioria das manipulações incidirão sobre a transferência de dinheiro.
3. Criar “hype” por meio das redes sociais. Os atacantes recorrerão às redes sociais como o Twitter, o Discord ou o Telegram com uma identidade falsa para promover o projeto e para que mais usuários comprem.
4. Fraudar transações (rug pull) para retirada de dinheiro. Quando a quantia desejada for atingida, os atacantes retirarão todo o dinheiro do contrato e excluirão todos os canais de redes sociais.
5. Pular os bloqueios de tempo. Por norma, estes tokens não bloquearão uma grande quantidade de dinheiro, nem são sequer adicionados bloqueios temporais ao contrato. Estes são utilizados majoritariamente para adiar ações administrativas e geralmente são considerados um indicador forte de que um projeto é legítimo.
“Em nosso relatório mais recente, mostramos como se parecem os contratos inteligentes e expomos a fraude de tokens, em que 100% das funções das taxas são ocultas e também as funções do backdoor estão ocultas. Isto significa que os usuários de criptomoedas vão continuar caindo nesses golpes destas ameaças e vão perder dinheiro”, orienta Oded Vanunu, head de pesquisa de vulnerabilidade de produtos da Check Point Software..
Como evitar moedas fraudulentas
A empresa dá algumas dicas que considera importantes para os investidores evitarem serem vítimas de golpes e perder suas criptomoedas.
1. Diversificar carteiras digitais:
Ter uma carteira digital é o primeiro passo para poder utilizar bitcoins ou qualquer outra criptomoeda. Estas carteiras são a ferramenta através da qual os usuários armazenam e gerenciam as suas bitcoins. Uma das formas de as manter seguras é ter, no mínimo, duas carteiras digitais.
O objetivo é que o usuário possa usar uma delas para guardar as suas aquisições e outras para trocar criptomoeda. Assim, eles mantêm os seus ativos mais protegidos, uma vez que as carteiras guardam também as senhas de cada usuário. Estas são as partes fundamentais para a comercialização de criptomoeda e para a posse de uma chave pública, que é o que permite que os usuários enviem criptomoeda para carteiras de outros.
Se um cibercriminoso conseguir ter acesso a algum destes elementos por meio de um ataque, é com esta segunda carteira que a vítima fará o trading, enquanto a carteira que detém os bitcoins estará a salvo.
2. Ignorar os anúncios:
Muitas vezes, os usuários procuram por plataformas de carteiras digitais por meio do Google. É neste momento que pode ser cometido um dos grandes erros: clicar em um dos anúncios do Google Ads que aparece em primeiro lugar.
Por regra, os cibercriminosos estão por trás destes links com o objetivo de, por meio de sites maliciosos, roubar credenciais ou senhas. Assim, é mais seguro entrar em páginas que apareçam mais abaixo na página do buscador.
3. Testar as transações:
Para evitar cair numa armadilha de um cibercriminoso, uma das medidas que pode ser posta em prática é enviar transações de teste com um montante mínimo antes de enviar grandes quantidades de criptomoeda.
Desta forma, caso o envio seja feito para uma carteira digital falsa, será muito mais fácil detectar o erro e a perda será de uma quantidade muito menor de fundos.
4. Duplicar a atenção para aumentar a segurança:
Uma das melhores medidas para estar mais protegido contra qualquer tipo de ciberataque é a ativação da autenticação de dois fatores em plataformas em que tenha uma conta.
Desta forma, quando um atacante tentar iniciar sessão numa dessas de forma irregular, o usuário recebe uma mensagem de verificação de autenticidade, evitando acessos não autorizados.
Com a autenticação de dois fatores, em vez de ser pedida apenas a senha para entrar, o início de sessão necessita ainda que o usuário submeta uma segunda informação, tornando o acesso mais seguro.
LEIA MAIS
- Banco Central aprova as regras para o Ciclo 1 do seu Sandbox Regulatório que pode permitir soluções com blockchain e criptoativos
- "Tem um Bitcoiner no galinheiro", diz Pompliano sobre regulação de custódia cripto em bancos dos EUA
- Investidores institucionais devem alocar uma parte de seu capital no Bitcoin, diz VanEck