Golpes envolvendo o ecossistema de finanças descentralizadas (DeFi) estão crescendo mesmo no mercado de baixa das criptomoedas, segundo uma pesquisa da Check Point Research (CPR), um dos vetores dos golpes envolvendo DeFi são os ataques com contratos inteligentes 'contaminados'.

Neste tipo de golpe, segundo a empresa, geralmente há uma promessa de criptomoeda grátis e, para isso, os usuários devem conectar sua wallet descentralizada para receber os criptoativos gratuitamente. Porém, ao vincular a wallet e assinar a transação na verdade os usuários estão autorizando os golpistas a sacar todos os recursos armazenados na wallet.

Até o momento, mais de 74 mil carteiras interagiram com um único contrato inteligente malicioso, de acordo com dados da Etherscan. Além disso, muitos golpes usam plataformas famosas como o Uniswap, como isca para enganar os usuários, fazendo crer que determinado criptoativo tem 'parceria' com os holders do token da plataforma.

A atuação dos golpistas no mercado de DeFi rendeu até mesmo um alerta de Changpeng Zhao, CZ, CEO da Binance, que disparou um alarme quando tuitou sobre o potencial deste tipo de golpe.

“Nesse caso da Uniswap, os atacantes criaram um token ERC20 simples e o enviaram (gratuitamente) para usuários que possuem tokens UNI. O objetivo desse airdrop era atrair as vítimas para o site fraudulento do atacante. A campanha de phishing foi bem-sucedida, pois a transação do airdrop pareceu legítima em Etherscan[.]io”, explica Oded Vanunu, head de pesquisa de vulnerabilidade de produtos da Check Point Software.

De acordo com Vanunu, e conforme imagem abaixo, parece que o Uniswap V3 realmente enviou os tokens. Quando a vítima pressiona o token, ele a conecta ao site de phishing que era o UniswapLP[.]com (o site está inativo no momento):

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

"Ao pressionar o botão “Clique aqui para requerer”, a vítima concedeu ao atacante o acesso total à sua conta, permitindo também que acessasse todo o USDT da vítima.Por meio desse novo golpe de phishing, o atacante roubou US$ 8 milhões em ETH", afirma.

Dicas para não perder todas suas criptomoedas em golpe

Vanunu explica que o cibercriminoso falsificou o remetente para a Uniswap e que isso aconteceu porque os exploradores de blockchain, como o Etherscan, podem obter os dados da funcionalidade de emissão do contrato, que é apenas um registro (log) de transações. Esses logs são armazenados no blockchain e são acessíveis. Mas, a função de emissão não precisa necessariamente ser o endereço real.

Segundo os especialistas da Check Point Research (CPR), isso tudo é muito confuso para um usuário de cripto iniciante, e muitas vezes eles caem em tais golpes porque não estão familiarizados com os aplicativos que estão usando.

No entanto, eles precisam entender que mesmo as principais plataformas, como o Etherscan, podem ter erros (bugs). Por isso, eles recomendam aos usuários de cripto as seguintes regras importantes:

  1. Ler sempre o twitter e o site oficial da plataforma.
  2.  Olhar atentamente para a fonte oficial quando alguém enviar um airdrop ou qualquer outra coisa tentando se passar pela Uniswap ou qualquer outra grande plataforma.
  3. Ao procurar carteiras digitais ou plataformas de negociação e troca de criptomoedas, sempre consultar o site da plataforma. Se o usuário não conseguir encontrar os links em sua plataforma, então se tratará de uma fraude ou um golpe.
  4. E finalmente deve-se sempre verificar as URLs.

LEIA MAIS