Quando pessoas mal intencionadas conseguem violar a cibersegurança da Web3, cabe aos usuários ficarem de olho nas ameaças mais comuns da ganância humana, como o FOMO (medo de perder uma oportunidade, na sigla em inglês) em vez de prestarem atenção nas falhas na tecnologia.
Muitos esquemas prometem enormes retornos, investimentos ou benefícios exclusivos; a Comissão Federal de Comércio dos EUA (ou FTC) chama essas oportunidades e investimentos para ganhar dinheiro de “ esquemas ”.
Muito dinheiro perdido em golpes
De acordo com um relatório em junho de 2022 publicado pela FTC, mais de US$ 1 bilhão em criptomoedas foi roubado desde 2021. E os “locais de caça” dos hackers estão onde as pessoas se reúnem on-line.
“Quase metade das pessoas que informaram ter perdido suas criptomoedas em um esquema desde 2021 afirma que começou com um anúncio, uma publicação ou mensagem em uma plataforma de rede social”, afirmou a FTC.
Apesar de apelos fraudulentos parecerem bons demais para ser verdade, possíveis vítimas podem “cair na conversa” por conta da intensa volatilidade do mercado cripto; as pessoas não querem perder a próxima grande oportunidade.
Invasores têm NFTs como alvo
Junto com criptomoedas, tokens não fungíveis (ou NFTs ) estão se tornarando um alvo cada vez maior de golpistas. De acordo com a empresa de cibersegurança Web3 TRM Labs , a comunidade NFT perdeu cerca de US$ 22 milhões em esquemas e ataques de phishing desde maio.
Coleções superpopulares, como Bored Ape Yacht Club (ou BAYC ) são um alvo valioso. Em abril de 2022, a conta do BAYC no Instagram foi hackeada por golpistas que direcionaram vítimas para um site que roubou criptomoedas e NFTs de suas carteiras Ethereum .
Cerca de 91 NFTs, cujo valor total era de mais de US$ 2,8 milhões, foram roubados. Meses depois, uma invasão ao Discord do projeto também resultou no roubo de 200 ETH em NFTs de usuários.
Grandes holders de BAYC também foram vítimas de esquemas. No dia 17 de maio, o ator e produtor americano Seth Green tuitou que foi vítima de um ataque de phishing que resultou no roubo de quatro NFTs, incluindo o Bored Ape nº 8.398.
Além de destacar a ameaça apresentada pelos ataques de phishing, pode ter prejudicado um seriado de TV/streaming com base no NFT e planejado por Green, chamado “White Horse Tavern”.
NFTs BAYC apresentam direitos de licenciamento para o NFT em fins comerciais, como no caso da hamburgueria Bored & Hungry em Long Beach, na Califórnia.
Durante um bate-papo via Twitter Spaces no dia 9 de junho, Green afirmou ter recuperado o NFT roubado após pagar 165 ETH (mais de US$ 295 mil na época) a uma pessoa que havia comprado o NFT após o roubo.
“Phishing ainda é o vetor de ataque”, disse Luis Lubeck, um engenheiro de segurança na empresa de cibersegurança Web3, Halborn , ao Decrypt .
Lubeck afirma que usuários devem prestar atenção em sites falsos que pedem por informações de carteira , links clonados e projetos falsos.
Segundo ele, um ataque de phishing pode começar com engenharia social, perguntando ao usuário sobre o lançamento inicial de um token ou que vão maximizar seu dinheiro, com uma interface de programação de aplicações (ou API) ruim ou que sua conta foi violada e a senha precisa ser alterada.
Essas mensagens geralmente exigem uma resposta rápida, fazendo o usuário agir com base em FOMO.
No caso de Green, o ataque de phishing aconteceu via um link clonado que parecia legítimo.
Thought I was minting GutterCat clones- phishing link looked clean — Seth Green (@SethGreen) May 17, 2022
“Clone phishing” é um ataque em que um golpista utiliza um site, e-mail ou até um link e cria uma cópia quase perfeita que parece legítima. Green achou que estava emitindo clones de “GutterCat”, mas usou um site de phishing.
Quando Green conectou sua carteira ao site de phishing e assinou a transação para emitir o NFT, ele deu aos hackers acesso às suas chaves privadas e a seus Bored Apes.
Tipos de ciberataques
Violações de segurança podem afetar tanto empresas como pessoas. Embora a lista abaixo não esteja completa, ciberataques na Web3 geralmente entram nas seguintes categorias:
–
License.
