Criptomoedas: Veja 7 tipos de roubos, ataques e golpes (e saiba como se proteger)

Leonardo Rubinstein Cavalcanti
10/05/2022 - 8:00
Hacker roubos fraudes crime criptomoedas
Saiba alguns dos artifícios usados por criminosos para fraudar ou roubar usuários deste mercado (Imagem: Freepik/rawpixel.com)

É comum que a tecnologia de blockchain e contratos inteligentes, por ser algo ainda muito novo, ainda apresente falhas em seus códigos. É por esse motivo que ocorrem tantas fraudes, roubos e crimes no mercado das criptomoedas e dos aplicativos descentralizados (DApps).

Contudo, os criminosos não usam somente falhas no código de programação de um protocolo. Já foram vistos ataques de engenharia social, onde o medo e a ansiedade foram ferramentas para roubar dinheiro de investidores desavisados.

O Crypto Times separou algumas das práticas mais comuns utilizadas por criminosos para aplicar essas fraudes. Confira (e se proteja):

Ataques de Oráculos

Muitos protocolos dependem de “oráculos“. Esses “oráculos” têm o objetivo de levar informações externas do blockchain – como preços de ativos – para dentro da rede.

Se um invasor puder manipular essas informações de preços, ele pode conseguir realizar roubos em protocolos descentralizados.

Um exemplo de ataque em oráculo foi observado em fevereiro de 2020, no aplicativo de empréstimos descentralizados bZx.

No ataque, o criminoso usou 5.500 Ethers (na época cotado a cerca de U$ 260) como garantia para adquirir 112 wBTC (cotado a U$ 10 mil) no protocolo Compound Finance.

Os empréstimos são apenas liberados pelo contrato inteligente caso a garantia seja um pouco maior do que o valor solicitado. Neste caso, o empréstimo foi concedido pela manipulação da informação passada pelo oráculo, o Kyber Network.

Ataque por meio de empréstimos instantâneos

Os empréstimos instantâneos, ou “flash loans”, são um tipo de empréstimo que os detentores de criptomoedas podem usar para facilitar a compra e venda de diferentes tipos de ativos em corretoras descentralizadas.

Geralmente, são utilizados por traders, que recorrem a contratos inteligentes para emitir os empréstimos instantaneamente, e pagar logo em seguida, em uma mesma operação.

No âmbito de práticas criminosas, os empréstimos instantâneos são usados geralmente como uma ferramenta para que os criminosos explorem falhas ou brechas nos protocolos.

Por exemplo, manipular “oráculos” geralmente requer um grande número de tokens. Muitos ataques usam empréstimos em flash para tomar e devolver um grande número de tokens na mesma transação. Desse modo, o ataque é facilitado.

Um exemplo recente desse tipo de crime aconteceu em março deste ano. O usuário fez um empréstimo instantâneo para comprar partes de um Bored Ape – token não fungível (NFT) da coleção Bored Ape Yatch Club – e na sequência o utilizou para receber o “airdrop” (distribuição) da ApeCoin, criptomoeda do projeto.

Ataques de Governança

Se um invasor puder acumular um grande número de tokens de governança, ele poderá decretar mudanças de exploração por meio do mecanismo de governança de um protocolo.

Por exemplo, imagine que um protocolo tenha um consenso pelo qual, caso 2 ⁄ 3 dos que possuem tokens de governança sejam majoritários e possam fazer mudanças em seu código.

Um criminoso pode explorar o sistema de governança de voto majoritário do protocolo ao concentrar esses 2/3 de tokens. Ou seja, qualquer indivíduo com 2/3 de participação (uma supermaioria) dos votos pode aprovar uma mudança.

Essa abordagem de ataque pode ser combinada com empréstimos instantâneos e causar estragos em protocolos com fragilidade em sua governança.

Todavia, geralmente são feitos em redes e protocolos menores. Para se tornar um dos validadores de uma rede já consolidada, é exigido um capital muito grande.

“Front running”

Protocolos programados incorretamente podem permitir que criminosos manipulem um sistema entre o momento em que uma transação é submetida à validação na rede e quando ela é de fato executada. 

A garantia de fungibilidade de um criptoativo se dá através do blockchain. Portanto, a tecnologia cripto é o que garante que não haverão duas moedas, ou transações, idênticas anotadas.

Todavia, uma das práticas mais comuns de “front running” é justamente quando um criminoso identifica uma transação que ainda vai ser validada na rede – de um terceiro usuário ou dele mesmo – e modifica esse registro mandando um outro igual.

Desse modo, o validador da rede pode acabar anotando no blockchain a operação do criminoso, mesmo que tenha sido mandada depois da que ele identificou.

O lucro do criminoso pode advir de manipulação de preços, na compra ou na venda, e até mesmo comprar antes por mais barato e vender para o usuário que solicitou a compra por mais caro.

Chaves de administração

Muitos protocolos têm uma chamada “chave de administração” que permite que uma carteira especial controle os fundos pertencentes ao protocolo. Se essa chave for comprometida, os fundos poderão ser roubados.

Engenharia social

Mesmo que um protocolo e sua interface sejam seguros, usuários mal-intencionados podem entrar no Discord e Telegram, fingindo ser membros da equipe principal e induzir os usuários a acessar sites ou oportunidades falsas. Os links mal intencionados também levam o nome de “pishing”.

Um exemplo recente de engenharia social utilizando invasão em comunidade e “pishing” foi o roubo da coleção de Bored Ape Yatch Club. Nele, o criminoso invadiu o Instagram e o Discord da comunidade e disponibilizou um link como se fosse um desenvolvedor, sob o pretexto de que a comunidade estava fazendo um lançamento.

Invasão de conta social

A conta de rede social de um projeto também é vulnerável à invasão por um agente mal-intencionado, que pode espalhar informações falsas que levam os usuários a desistir inadvertidamente de seus ativos.

Nesse tipo de ataque, o mecanismo utilizado é o medo. O criminoso invade um perfil oficial de uma comunidade de projeto e age como se algo fosse dar errado, desse modo assustando os investidores e fazendo eles venderem seus ativos.

A sensação de medo e posterior despejo de ativos no mercado – fazendo com que o preço caia – é apelidada de FUD, na tradução “medo, incerteza e dúvida”.

Receba as newsletters do Money Times!

Cadastre-se nas nossas newsletters e esteja sempre bem informado com as notícias que enriquecem seu dia! O Money Times traz 8 curadorias que abrangem os principais temas do mercado. Faça agora seu cadastro e receba as informações diretamente no seu e-mail. É de graça!

Disclaimer

O Money Times publica matérias de cunho jornalístico, que visam a democratização da informação. Nossas publicações devem ser compreendidas como boletins anunciadores e divulgadores, e não como uma recomendação de investimento.

Última atualização por Márcio Juliboni - 09/05/2022 - 18:16

Quer ficar por dentro de tudo que acontece no mercado cripto?
Receba de segunda a sexta as principais notícias e análises. É grátis!
Ao clicar no botão você autoriza o Money Times a utilizar os dados fornecidos para encaminhar conteúdos informativos e publicitários.
Cotações Crypto